我們基本上可以從下面幾個方面考慮解決wlan存在的安全問題。
1.首先確定安全策略,定位wlan在整個工作中的主要用途,涉及傳輸資料和人員、裝置。然後具體規劃ap的物理位置、客戶端的訪問許可權和控制模式等。
2.從網路結構著手。限制wlan訊號的範圍,並將wlan和重要的內部網路之間明確區分開來,在ap和內部網路之間採用防火牆進行安全隔離,必要時採用物理隔離手段。
這樣即使wlan出現了安全問題也不會立即導致內部網路的嚴重危機。
3.避免adhoc網路的產生。這需要治理員對員工的培訓,以及對網路的不斷監控。
4.禁用使用者計算機的某些作業系統和應用程式對wlan的自動連線功能,避免這些使用者無意識地連線到未知wlan中。
5.充分利用wlan本身提供的安全特性進行安全保障。比如對於ap可以做以下工作:a)更改預設的口令。一般裝置出廠時的口令都非常簡單,必須要更改;
b)採用加密手段。儘管wep已經被證實是比較脆弱的,但是採用加密方式比明文傳播還是要安全一些;
c)設定採用mac位址的方式對客戶端驗證。在沒有實施更加強壯的身份驗證措施之前,這種防範措施還是必要的;
d)更改ssid,並且配置ap不廣播ssid。
e)更改snmp設定。這種防範措施是和有線網路裝置相同的。
6.在wlan本身傳輸的資料重要性較高,或者連線到乙個密級較高的網路的情況下,可以考慮採用進一步的安全防範措施:
a)採用802.1x進行高階別的網路訪問控制。儘管802.
1x標準最初是為有線乙太網設計制定的,但它可以用於wlan。802.1x匯入了認證伺服器,可以對wlan中的主客體進行高階別的認證,認證方式可以選擇採用傳統的radius伺服器進行。
b)採用tkip技術替代現有的簡單wep加密技術。這種方式的優勢在於不需要全部更換硬體裝置,僅僅通過更新驅動程式和軟體就可以實現。另外,目前正在制訂中的802.
11i提供了進行了加密強化的wep2(基於aes),以及強化的認證協議eap。但是802.11i的成熟和推廣尚且需要一段時間。
c)在wlan之上採用vpn技術,進一步增強要害資料的安全性。vpn技術同樣不是專門為wlan設計的,但是可以作為要害性wlan的增強保護。
7.採用wlan專用入侵檢測系統對網路進行監控,及時發現非法接入的ap以及假冒的客戶端,並且對wlan的安全狀況進行實時的分析和監控。
8.在wlan的客戶端採用個人防火牆、防病毒軟體等措施保障不受到針對客戶端攻擊行為的損害。
正如上文所述,wlan的安全既可以依靠wlan本身具有的安全保障措施提供,也需要借助一些專用的安全產品來實現,同時需要有一套合理的wlan專用安全治理規範和制度。下面介紹一些可以用於wlan的安全產品。
wlan安全產品
冠群金辰公司是一家專業的資訊保安方案和服務提供商,提供防火牆、入侵檢測、主機核心防護、防病毒、vpn、漏洞掃瞄、內容過濾網關等一系列安全產品,並具有強大的安全服務能力和研發能力。下面主要介紹三種產品:wlan入侵檢測系統、vpn和掌上裝置的防病毒系統。
wlan入侵檢測系統
wlan入侵檢測系統是冠群金辰研發中的一種基於網路的入侵檢測系統,除了能夠對普通有線網路的入侵模式進行識別和響應,主要是針對採用802.11b協議的wlan進行網路安全狀態的判定和分析,wlan入侵檢測系統採用了分布式的結構,將進行資料採集的sensor分布在wlan的邊緣和要害地點,並且通過有線的方式將收集到的資訊統一傳輸到乙個集中的資訊處理平台。資訊處理平台通過對802.
11b協議的解碼和分析,判定有無異常現象,比如非法接入的ap和終端裝置、中間人攻擊、有無違反規定傳輸資料的情況,以及通過對無線網路進行的效能和狀態分析,識別拒絕服務攻擊現象。它能夠自動發現網路中存在的adhoc網路,並且通過通知治理員來及時阻止可能造成的進一步損害。基於web介面的安全治理介面讓治理員可以進行策略的集中配置和分發,以及觀察網路狀況、產生報表。
wlan入侵檢測系統通過結合協議分析、特徵比對以及異常狀況檢測三種技術,對wlan網路流量進行深入分析,並且能夠實時阻斷非法連線。
純均vpn
純均vpn系統是冠群金辰公司的軟體vpn解決方案,具有部署靈活,成本低廉的特點。通過將vpn技術結合到wlan中,可以大大彌補wep加密方式的不足,提高資料的安全性。純均vpn採用已經獲得國家認可的加密演算法,沒有安全隱患。
而且純均vpn的認證使用外掛程式方式,您可使用任何認證方式,可支援智慧卡,生物裝置,x.509證書等。安裝了純均vpn後,終端使用者(客戶端)不必擔心需了解複雜的加密演算法和指定安全網路路徑名。
實際上,他們可與原來一樣獲取應用伺服器上的資料,甚至不知道純均vpn在進行加密和解密資料。安裝在客戶端和伺服器上的純均vpn做了所有工作。所有安全策
略由純均vpnadministrator來維護和分發。
無線區域網監控解決方案
無線網路技術在近一兩年開始全面普及,無論是在家庭使用者還是企業使用者中,我們都能看到無線技術的影子。其中,利用無線路由器組建無線區域網可能是我們最常見的一種無線技術應用,但今天我們講的不是無線區域網技術,而是另外一種無線技術,無線網路監控技術。眾所周知,採用無線網路技術給我們帶來了極大的方便,採用無...
無線區域網的優勢
無線區域網的網路速度與乙太網相當,乙個 ap 最多可支援多達上百個使用者的接入,最大傳輸範圍可達到幾十公里,具有以下的鮮明特點 具有高移動性,通訊範圍不受環境條件的限制,拓寬了網路的傳輸範圍。在有線區域網中,兩個站點的距離在使用銅纜 粗纜 時被限制在 500m 即使採用單模光纖也只能達到 3000 ...
寬頻小區的無線區域網接入解決方案
近幾年來,寬頻網路的建設掀起了陣陣熱潮,寬頻應用也隨之越來越多。與此同時,各種寬頻接入手段也就應運而生。在各種寬頻接入技術中,adsl cablemodem 乙太網 wlan等均有所應用。誠然,作為可運營的寬頻接入手段,在運營的最初因wlan的標準問題 安全問題 認證計費體系等問題,人們曾一度對其產...