无线局域网安全技术白皮书
1
目 录
1. 2.
无线局域网的安全威胁 .............................................................................................. 1 基本的无线局域网安全技术 ....................................................................................... 1 2.1 2.2 2.3 2.4
物理地址( MAC )过滤 .................................................................................. 1 服务区标识符 ( SSID ) 匹配 ............................................................................. 1 有线对等保密(WEP) .................................................................................... 2 端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) ....................... 4
2.5 WPA(Wi-Fi Protected Access) ............................................................................. 6 2.6 IEEE 802.11i ....................................................................................................... 8 2.7 CCMP加密 ......................................................................................................... 9 3.
无线局域网的安全策略 ............................................................................................ 13
1
无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
就目前而言,有很多种无线局域网的安全技术,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1. 无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:
(1)未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
(2)地址欺骗和会话拦截(中间人攻击)
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
(3)高级入侵(企业网)
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
1