無線局域網的安全風險分析和解決方案

2019-11-05 02:38:54

字體：大中小

來源：轉載

供稿：網友

　　WLAN安全解決方案
　　　　我們基本上可以從下面幾個方面考慮解決WLAN存在的安全問題。
　　　　1.首先確定安全策略，定位WLAN在整個工作中的主要用途，涉及傳輸數據和人員、設備。然后具體規劃AP的物理位置、客戶端的訪問權限和控制模式等。
　　　　2.從網絡結構著手。限制WLAN信號的范圍，并將WLAN和重要的內部網絡之間明確區分開來，在AP和內部網絡之間采用防火墻進行安全隔離，必要時采用物理隔離手段。這樣即使WLAN出現了安全問題也不會立即導致內部網絡的嚴重危機。
　　　　3.避免Ad Hoc網絡的產生。這需要治理員對員工的培訓，以及對網絡的不斷監控。
　　　　4.禁用用戶計算機的某些操作系統和應用程序對WLAN的自動連接功能，避免這些用戶無意識地連接到未知WLAN中。
　　[[The No.1 Picture.]]
　　5.充分利用WLAN本身提供的安全特性進行安全保障。比如對于AP可以做以下工作：
　　　　a)更改缺省的口令。一般設備出廠時的口令都非常簡單，必須要更改；
　　　　b)采用加密手段。盡管WEP已經被證實是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些；
　　　　c)設置采用MAC地址的方式對客戶端驗證。在沒有實施更加強壯的身份驗證措施之前，這種防范措施還是必要的；
　　　　d)更改SSID，并且配置AP不廣播SSID。
　　　　e)更改SNMP設置。這種防范措施是和有線網絡設備相同的。
　　　　6.在WLAN本身傳輸的數據重要性較高，或者連接到一個密級較高的網絡的情況下，可以考慮采用進一步的安全防范措施：
　　　　a)采用802.1x進行高級別的網絡訪問控制。盡管802.1x標準最初是為有線以太網設計制定的，但它可以用于WLAN。802.1x導入了認證服務器，可以對WLAN中的主客體進行高級別的認證，認證方式可以選擇采用傳統的RADIUS服務器進行。
　　　　b)采用TKip技術替代現有的簡單WEP加密技術。這種方式的優勢在于不需要全部更換硬件設備，僅僅通過更新驅動程序和軟件就可以實現。另外，目前正在制訂中的802.11i提供了進行了加密強化的WEP2（基于AES），以及強化的認證協議EAP。但是802.11i的成熟和推廣尚且需要一段時間。
　　　　c)在WLAN之上采用VPN技術，進一步增強要害數據的安全性。VPN技術同樣不是專門為WLAN設計的，但是可以作為要害性WLAN的增強保護。
　　　　7.采用WLAN 專用入侵檢測系統對網絡進行監控，及時發現非法接入的AP以及假冒的客戶端，并且對WLAN的安全狀況進行實時的分析和監控。
　　　　8.在WLAN的客戶端采用個人防火墻、防病毒軟件等措施保障不受到針對客戶端攻擊行為的損害。
　　　　正如上文所述，WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供，也需要借助一些專用的安全產品來實現，同時需要有一套合理的WLAN專用安全治理規范和制度。下面介紹一些可以用于WLAN的安全產品。
　　　　冠群金辰公司的WLAN安全產品
　　　　冠群金辰公司是一家專業的信息安全方案和服務提供商，提供防火墻、入侵檢測、主機核心防護、防病毒、VPN、漏洞掃描、內容過濾網關等一系列安全產品，并具有強大的安全服務能力和研發能力。下面主要介紹三種產品：WLAN入侵檢測系統、VPN和掌上設備的防病毒系統。
　　　　WLAN入侵檢測系統
　　　　WLAN入侵檢測系統是冠群金辰研發中的一種基于網絡的入侵檢測系統，除了能夠對普通有線網絡的入侵模式進行識別和響應，主要是針對采用802.11b協議的WLAN進行網絡安全狀態的判定和分析，WLAN入侵檢測系統采用了分布式的結構，將進行數據采集的Sensor分布在WLAN的邊緣和要害地點，并且通過有線的方式將收集到的信息統一傳輸到一個集中的信息處理平臺。信息處理平臺通過對802.11b協議的解碼和分析，判定有無異常現象，比如非法接入的AP和終端設備、中間人攻擊、有無違反規定傳輸數據的情況，以及通過對無線網絡進行的性能和狀態分析，識別拒絕服務攻擊現象。它能夠自動發現網絡中存在的Ad Hoc網絡，并且通過通知治理員來及時阻止可能造成的進一步損害。基于Web界面的安全治理界面讓治理員可以進行策略的集中配置和分發，以及觀察網絡狀況、產生報表。
　　　　WLAN入侵檢測系統通過結合協議分析、特征比對以及異常狀況檢測三種技術，對WLAN網絡流量進行深入分析，并且能夠實時阻斷非法連接。
　　　　純均VPN
　　　　純均VPN系統是冠群金辰公司的軟件VPN解決方案，具有部署靈活，成本低廉的特點。通過將VPN技術結合到WLAN中，可以大大彌補WEP加密方式的不足，提高數據的安全性。純均VPN采用已經獲得國家認可的加密算法，沒有安全隱患。而且純均VPN的認證使用插件方式，您可使用任何認證方式，可支持智能卡，生物設備，X.509 證書等。安裝了純均VPN后，最終用戶（客戶端）不必擔心需了解復雜的加密算法和指定安全網絡路徑名。實際上，他們可與原來一樣獲取應用服務器上的數據，甚至不知道純均VPN在進行加密和解密數據。安裝在客戶端和服務器上的純均VPN做了所有工作。所有安全策略由純均VPN Administrator來維護和分發。
　　　　KILL for Pocket PC
　　　　隨著WLAN技術的發展和市場的成熟，掌上設備也逐漸邁入了支持WLAN的行列。Intersil等公司專門為微軟公司的Windows CE系列平臺（包括Pocket PC）推出了軟件驅動程序。微軟公司的掌上電腦操作系統Windows Pocket PC成為新型智能終端中具有強大競爭力的操作系統。冠群金辰公司推出的KILL for Pocket PC是為了迎合這一新興市場的需要而推出的一個掌上電腦防病毒產品。這樣能夠保證采用掌上設備通過WLAN傳播到服務器和其他計算機的文件是無毒的，保證了整體網絡的安全性。

上一篇：東山再起的無線局域網

下一篇：無線局域網讓神探耳更聰目更明