導(dǎo)語：如何才能寫好一篇無線局域網(wǎng)論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

上面簡(jiǎn)單描述了WLAN的技術(shù)發(fā)展及安全現(xiàn)狀。本文主要介紹入侵檢測(cè)技術(shù)及其應(yīng)用于WLAN時(shí)的特殊要點(diǎn)，給出兩種應(yīng)用于不同架構(gòu)WLAN的入侵檢測(cè)模型及其實(shí)用價(jià)值。需要說明的是，本文研究的入侵檢測(cè)主要針對(duì)采用射頻傳輸?shù)腎EEE802.11a/b/gWLAN，對(duì)其他類型的WLAN同樣具有參考意義。

1、WLAN概述

1.1WLAN的分類及其國(guó)內(nèi)外發(fā)展現(xiàn)狀

對(duì)于WLAN，可以用不同的標(biāo)準(zhǔn)進(jìn)行分類。根據(jù)采用的傳播媒質(zhì)，可分為光WLAN和射頻WLAN。光WLAN采用紅外線傳輸，不受其他通信信號(hào)的干擾，不會(huì)被穿透墻壁偷聽，而早發(fā)射器的功耗非常低；但其覆蓋范圍小，漫射方式覆蓋16m，僅適用于室內(nèi)環(huán)境，最大傳輸速率只有4Mbit/s，通常不能令用戶滿意。由于光WLAN傳送距離和傳送速率方面的局限，現(xiàn)在幾乎所有的WLAN都采用另一種傳輸信號(hào)——射頻載波。射頻載波使用無線電波進(jìn)行數(shù)據(jù)傳輸，IEEE802.11采用2.4GHz頻段發(fā)送數(shù)據(jù)，通常以兩種方式進(jìn)行信號(hào)擴(kuò)展，一種是跳頻擴(kuò)頻（FHSS）方式，另一種是直接序列擴(kuò)頻（DSSS）方式。最高帶寬前者為3Mbit/s，后者為11Mbit/s，幾乎所有的WLAN廠商都采用DSSS作為網(wǎng)絡(luò)的傳輸技術(shù)。根據(jù)WLAN的布局設(shè)計(jì)，通常分為基礎(chǔ)結(jié)構(gòu)模式WLAN和移動(dòng)自組網(wǎng)模式WLAN兩種。前者亦稱合接入點(diǎn)（AP）模式，后者可稱無接入點(diǎn)模式。分別如圖1和圖2所示。

圖1基礎(chǔ)結(jié)構(gòu)模式WLAN

圖2移動(dòng)自組網(wǎng)模式WLAN

1.2WLAN中的安全問題WLAN的流行主要是由于它為使用者帶來方便，然而正是這種便利性引出了有線網(wǎng)絡(luò)中不存在的安全問題。比如，攻擊者無須物理連線就可以連接網(wǎng)絡(luò)，而且任何人都可以利用設(shè)備竊聽到射頻載波傳輸?shù)膹V播數(shù)據(jù)包。因此，著重考慮的安全問題主要有：

a）針對(duì)IEEE802.11網(wǎng)絡(luò)采用的有線等效保密協(xié)議（WEP）存在的漏洞，進(jìn)行破解攻擊。

b）惡意的媒體訪問控制（MAC）地址偽裝，這種攻擊在有線網(wǎng)中同樣存在。

C）對(duì)于含AP模式，攻擊者只要接入非授權(quán)的假冒AP，就可登錄欺騙合法用戶。

d）攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)自組網(wǎng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常稱為能源消耗攻擊。

e）在移動(dòng)自組網(wǎng)模式的局域網(wǎng)內(nèi)，可能存在惡意節(jié)點(diǎn)，惡意節(jié)點(diǎn)的存在對(duì)網(wǎng)絡(luò)性能的影響很大。

2、入侵檢測(cè)技術(shù)及其在WLAN中的應(yīng)用

IDS可分為基于主機(jī)的入侵檢修系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）。HIDS采用主機(jī)上的文件（特別是日志文件或主機(jī)收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包）作為數(shù)據(jù)源。HIDS最早出現(xiàn)于20世紀(jì)80年代初期，當(dāng)時(shí)網(wǎng)絡(luò)拓?fù)浜?jiǎn)單，入侵相當(dāng)少見，因此側(cè)重于對(duì)攻擊的事后分析?，F(xiàn)在的HIDS仍然主要通過記錄驗(yàn)證，只不過自動(dòng)化程度提高，且能做到精確檢測(cè)和快速響應(yīng)，并融入文件系統(tǒng)保護(hù)和監(jiān)聽端口等技術(shù)。與HIDS不同，NIDS采用原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，從中發(fā)現(xiàn)入侵跡象。它能在不影響使用性能的情況下檢測(cè)入侵事件，并對(duì)入侵事件進(jìn)行響應(yīng)。分布式網(wǎng)絡(luò)IDS則把多個(gè)檢測(cè)探針分布至多個(gè)網(wǎng)段，最后通過對(duì)各探針發(fā)回的信息進(jìn)行綜合分析來檢測(cè)入侵，這種結(jié)構(gòu)的優(yōu)點(diǎn)是管理起來簡(jiǎn)單方便，單個(gè)探針失效不會(huì)導(dǎo)致整個(gè)系統(tǒng)失效，但配置過程復(fù)雜。基礎(chǔ)結(jié)構(gòu)模式入侵檢測(cè)模型將采用這種分布式網(wǎng)絡(luò)檢測(cè)方法，而對(duì)于移動(dòng)自組網(wǎng)模式內(nèi)的入侵檢測(cè)模型將采用基于主機(jī)的入侵檢測(cè)模型。

當(dāng)前，對(duì)WLAN的入侵檢測(cè)大都處于試驗(yàn)階段，比如開源入侵檢測(cè)系統(tǒng)Snort的Snort－wire－less測(cè)試版，增加了Wifi協(xié)議字段和選項(xiàng)關(guān)鍵字，采用規(guī)則匹配的方法進(jìn)行入侵檢測(cè)，其AP由管理員手工配置，因此能很好地識(shí)別非授權(quán)的假冒AP，在擴(kuò)展AP時(shí)亦需重新配置。但是，由于其規(guī)則文件無有效的規(guī)則定義，使檢測(cè)功能有限，而且不能很好地檢測(cè)MAC地址偽裝和泛洪拒絕服務(wù)攻擊。2003年下半年，IBM提出WLAN入侵檢測(cè)方案，采用無線感應(yīng)器進(jìn)行監(jiān)測(cè)，該方案需要聯(lián)入有線網(wǎng)絡(luò)，應(yīng)用范圍有限而且系統(tǒng)成本昂貴，要真正市場(chǎng)化、實(shí)用化尚需時(shí)日。此外，作為概念模型設(shè)計(jì)的WIDZ系統(tǒng)實(shí)現(xiàn)了AP監(jiān)控和泛洪拒絕服務(wù)檢測(cè)，但它沒有一個(gè)較好的體系架構(gòu)，存在局限性。

在上述基礎(chǔ)上，我們提出一種基于分布式感應(yīng)器的網(wǎng)絡(luò)檢測(cè)模型框架，對(duì)含AP模式的WLAN進(jìn)行保護(hù)。對(duì)于移動(dòng)自組網(wǎng)模式的WLAN，則由于網(wǎng)絡(luò)中主機(jī)既要收發(fā)本機(jī)的數(shù)據(jù)，又要轉(zhuǎn)發(fā)數(shù)據(jù)（這些都是加密數(shù)據(jù)），文獻(xiàn)提出了采用異常檢測(cè)法對(duì)路由表更新異常和其他層活動(dòng)異常進(jìn)行檢測(cè)，但只提供了模型，沒有實(shí)現(xiàn)。此外，我們分析了移動(dòng)自組網(wǎng)模式中惡意節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)性能的影響，并提出一種基于聲譽(yù)評(píng)價(jià)機(jī)制的安全協(xié)議，以檢測(cè)惡意節(jié)點(diǎn)并盡量避開惡意節(jié)點(diǎn)進(jìn)行路由選擇，其中惡意節(jié)點(diǎn)的檢測(cè)思想值得借鑒。Snort－wireless可以作為基于主機(jī)的入侵檢測(cè)，我們以此為基礎(chǔ)提出一種應(yīng)用于移動(dòng)自組網(wǎng)入侵檢測(cè)的基于主機(jī)的入侵檢測(cè)模型架構(gòu)。

3、WLAN中的入侵檢測(cè)模型架構(gòu)

在含AP模式中，可以將多個(gè)WLAN基本服務(wù)集（BSS）擴(kuò)展成擴(kuò)展服務(wù)集（ESS），甚至可以組成一個(gè)大型的WLAN。這種網(wǎng)絡(luò)需要一種分布式的檢測(cè)框架，由中心控制臺(tái)和監(jiān)測(cè)組成，如圖3所示。

圖3含AP模式的分布式入侵檢測(cè)系統(tǒng)框架

網(wǎng)絡(luò)管理員中心控制臺(tái)配置檢測(cè)和瀏覽檢測(cè)結(jié)果，并進(jìn)行關(guān)聯(lián)分析。監(jiān)測(cè)的作用是監(jiān)聽無線數(shù)據(jù)包、利用檢測(cè)引擎進(jìn)行檢測(cè)、記錄警告信息，并將警告信息發(fā)送至中心控制臺(tái)。

由此可見，監(jiān)測(cè)是整個(gè)系統(tǒng)的核心部分，根據(jù)網(wǎng)絡(luò)布線與否，監(jiān)測(cè)可以采用兩種模式：一種是使用1張無線網(wǎng)卡再加1張以大網(wǎng)卡，無線網(wǎng)卡設(shè)置成“雜湊”模式，監(jiān)聽所有無線數(shù)據(jù)包，以太網(wǎng)卡則用于與中心服務(wù)器通信；另一種模式是使用2張無線網(wǎng)卡，其中一張網(wǎng)卡設(shè)置成“雜湊”模式，另一張則與中心服務(wù)器通信。

分組捕獲完成后，將信息送至檢測(cè)引擎進(jìn)行檢測(cè)，目前最常用的IDS主要采用的檢測(cè)方法是特征匹配，即把網(wǎng)絡(luò)包數(shù)據(jù)進(jìn)行匹配，看是否有預(yù)先寫在規(guī)則中的“攻擊內(nèi)容”或特征。盡管多數(shù)IDS的匹配算法沒有公開，但通常都與著名的開源入侵檢測(cè)系統(tǒng)Snort的多模檢測(cè)算法類似。另一些IDS還采用異常檢測(cè)方法（如Spade檢測(cè)引擎等），通常作為一種補(bǔ)充方式。無線網(wǎng)絡(luò)傳輸?shù)氖羌用軘?shù)據(jù)，因此，該系統(tǒng)需要重點(diǎn)實(shí)現(xiàn)的部分由非授權(quán)AP的檢測(cè)。通常發(fā)現(xiàn)入侵之后，監(jiān)測(cè)會(huì)記錄攻擊特征，并通過安全通道（采用一定強(qiáng)度的加密算法加密，有線網(wǎng)絡(luò)通常采用安全套接層（SSL）協(xié)議，無線網(wǎng)絡(luò)通常采用無線加密協(xié)議（WEP））將告警信息發(fā)給中心控制臺(tái)進(jìn)行顯示和關(guān)聯(lián)分析等，并由控制臺(tái)自動(dòng)響應(yīng)（告警和干擾等），或由網(wǎng)絡(luò)管理員采取相應(yīng)措施。

在移動(dòng)自組網(wǎng)模式中，每個(gè)節(jié)點(diǎn)既要收發(fā)自身數(shù)據(jù)，又要轉(zhuǎn)發(fā)其他節(jié)點(diǎn)的數(shù)據(jù)，而且各個(gè)節(jié)點(diǎn)的傳輸范圍受到限制，如果在該網(wǎng)絡(luò)中存在或加入惡意節(jié)點(diǎn)，網(wǎng)絡(luò)性能將受到嚴(yán)重影響。惡意節(jié)點(diǎn)的攻擊方式可以分為主動(dòng)性攻擊和自私性攻擊。主動(dòng)性攻擊是指節(jié)點(diǎn)通過發(fā)送錯(cuò)誤的路由信息、偽造或修改路由信息等方式，對(duì)網(wǎng)絡(luò)造成干擾；自私性攻擊是指網(wǎng)絡(luò)中的部分節(jié)點(diǎn)可能因資源能量和計(jì)算能量等緣故，不愿承擔(dān)其他節(jié)點(diǎn)的轉(zhuǎn)發(fā)任務(wù)所產(chǎn)生的干擾。因此，對(duì)惡意節(jié)點(diǎn)的檢測(cè)并在相應(yīng)的路由選擇中避開惡意節(jié)點(diǎn)，也是該類型WLAN需要研究的問題。

我們的檢測(cè)模型建立在HIDS上，甚至可以實(shí)現(xiàn)路由協(xié)議中的部分安全機(jī)制，如圖4所示。

圖4移動(dòng)自組網(wǎng)模式中的入侵檢測(cè)架構(gòu)

當(dāng)數(shù)據(jù)包到達(dá)主機(jī)后，如果屬于本機(jī)數(shù)據(jù)，數(shù)據(jù)包將被解密，在將它遞交給上層之前，先送至基于主機(jī)的誤用檢測(cè)引擎進(jìn)行檢測(cè)，根據(jù)檢測(cè)結(jié)果，對(duì)正常數(shù)據(jù)包放行，對(duì)攻擊數(shù)據(jù)包則進(jìn)行記錄，并根據(jù)響應(yīng)策略進(jìn)行響應(yīng)。此外，還可以在誤用檢測(cè)模型的基礎(chǔ)上輔以異常檢測(cè)引擎，根據(jù)以往的研究成果，可以在網(wǎng)絡(luò)層或應(yīng)用層上進(jìn)行，也可以將其做入路由協(xié)議中，以便提高檢測(cè)速度和檢測(cè)效率。

篇2

關(guān)鍵字：WLAN，WEP，SSID，DHCP，安全措施

1、引言

WLAN是WirelessLAN的簡(jiǎn)稱，即無線局域網(wǎng)。所謂無線網(wǎng)絡(luò)，顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)，由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜，可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性，在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入，無線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是，當(dāng)用戶對(duì)WLAN的期望日益升高時(shí)，其安全問題隨著應(yīng)用的深入表露無遺，并成為制約WLAN發(fā)展的主要瓶頸。[1]

2、威脅無線局域網(wǎng)的因素

首先應(yīng)該被考慮的問題是，由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介，因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問，無線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域，具體情況要根據(jù)建筑材料和環(huán)境而定，這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn)，給入侵者有機(jī)可乘，可以在預(yù)期范圍以外的地方訪問WLAN，竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無線網(wǎng)絡(luò)進(jìn)行攻擊，當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后。

其次，由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)，所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī)，甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。

IEEE802.1x認(rèn)證協(xié)議發(fā)明者VipinJain接受媒體采訪時(shí)表示：“談到無線網(wǎng)絡(luò)，企業(yè)的IT經(jīng)理人最擔(dān)心兩件事：首先，市面上的標(biāo)準(zhǔn)與安全解決方案太多，使得用戶無所適從；第二，如何避免網(wǎng)絡(luò)遭到入侵或攻擊？無線媒體是一個(gè)共享的媒介，不會(huì)受限于建筑物實(shí)體界線，因此有人要入侵網(wǎng)絡(luò)可以說十分容易。”[1]因此WLAN的安全措施還是任重而道遠(yuǎn)。

3、無線局域網(wǎng)的安全措施

3.1采用無線加密協(xié)議防止未授權(quán)用戶

保護(hù)無線網(wǎng)絡(luò)安全的最基本手段是加密，通過簡(jiǎn)單的設(shè)置AP和無線網(wǎng)卡等設(shè)備，就可以啟用WEP加密。無線加密協(xié)議(WEP)是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。許多無線設(shè)備商為了方便安裝產(chǎn)品，交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換，有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問題就是用于標(biāo)識(shí)每個(gè)無線網(wǎng)絡(luò)的服務(wù)者身份(SSID)，在部署無線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID?，F(xiàn)在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。[2]

但是目前IEEE802.11標(biāo)準(zhǔn)中的WEP安全解決方案，在15分鐘內(nèi)就可被攻破，已被廣泛證實(shí)不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相當(dāng)困難的，同時(shí)也要定期的更改WEP，保證無線局域網(wǎng)的安全。如果設(shè)備提供了動(dòng)態(tài)WEP功能，最好應(yīng)用動(dòng)態(tài)WEP，值得我們慶幸的，WindowsXP本身就提供了這種支持，您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同時(shí)，應(yīng)該使用IPSec，VPN，SSH或其他

WEP的替代方法。不要僅使用WEP來保護(hù)數(shù)據(jù)。

3.2改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播

SSID是無線接人的身份標(biāo)識(shí)符，用戶用它來建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的，并且每個(gè)廠商都用自己的缺省值。例如，3COM的設(shè)備都用“101”。因此，知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無線服務(wù)。你需要給你的每個(gè)無線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的SSID。如果可能的話。還應(yīng)該禁止你的SSID向外廣播。這樣，你的無線網(wǎng)絡(luò)就不能夠通過廣播的方式來吸納更多用戶．當(dāng)然這并不是說你的網(wǎng)絡(luò)不可用．只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。[3]

3.3靜態(tài)IP與MAC地址綁定

無線路由器或AP在分配IP地址時(shí)，通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配，這對(duì)無線網(wǎng)絡(luò)來說是有安全隱患的，“不法”分子只要找到了無線網(wǎng)絡(luò)，很容易就可以通過DHCP而得到一個(gè)合法的IP地址，由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性?！安环ā狈肿硬灰椎玫胶戏ǖ腎P地址，即使得到了，因?yàn)檫€要驗(yàn)證綁定的MAC地址，相當(dāng)于兩重關(guān)卡。[4]設(shè)置方法如下：

首先，在無線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”)，以后要固定使用的IP地址，其網(wǎng)卡的MAC地址都如實(shí)填寫好，最后點(diǎn)“執(zhí)行”就可以了。

3.4VPN技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用

對(duì)于高安全要求或大型的無線網(wǎng)絡(luò)，VPN方案是一個(gè)更好的選擇。因?yàn)樵诖笮蜔o線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)。

對(duì)于無線商用網(wǎng)絡(luò)，基于VPN的解決方案是當(dāng)今WEP機(jī)制和MAC地址過濾機(jī)制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中，VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協(xié)議，包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。同樣，VPN技術(shù)可以應(yīng)用在無線的安全接入上，在這個(gè)應(yīng)用中，不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)。AP可以被定義成無WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無線網(wǎng)絡(luò)分割成多個(gè)無線服務(wù)子網(wǎng))，但是無線接入網(wǎng)絡(luò)VLAN(AP和VPN服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密，并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機(jī)制和MAC地址過濾接入不同，VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。

3.5無線入侵檢測(cè)系統(tǒng)

無線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似，但無線入侵檢測(cè)系統(tǒng)增加了無線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測(cè)系統(tǒng)已用于無線局域網(wǎng)。來監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無線入侵檢測(cè)系統(tǒng)不但能找出入侵者，還能加強(qiáng)策略。通過使用強(qiáng)有力的策略，會(huì)使無線局域網(wǎng)更安全。無線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址欺騙。他是通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶無線入侵檢測(cè)系統(tǒng)可以通過提供商來購買，為了發(fā)揮無線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無線入侵檢測(cè)系統(tǒng)的解決方案。[1]

3.6采用身份驗(yàn)證和授權(quán)

當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí)，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。開放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗(yàn)證的問題在于，如果您沒有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么您的無線網(wǎng)絡(luò)將是完全開放的，就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng)，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過明文傳輸給STA的，因此如果有人能夠同時(shí)截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰。采用其他的身份驗(yàn)證／授權(quán)機(jī)制。使用802.1x，VPN或證書對(duì)無線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限。

[5]

3.7其他安全措施

除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)，例如設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽也難以理解其中的內(nèi)容；加強(qiáng)企業(yè)內(nèi)部管理等等的方法來加強(qiáng)WLAN的安全性。

4、結(jié)論

無線網(wǎng)絡(luò)應(yīng)用越來越廣泛，但是隨之而來的網(wǎng)絡(luò)安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對(duì)不安全因素給出了解決的安全措施，有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段，但是由于現(xiàn)在各個(gè)無線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣，所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣，但是安全措施的思路是正確的，能夠保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護(hù)無線局域網(wǎng)的安全。

參考文獻(xiàn)

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007,(5):91-94.

[2]王秋華,章堅(jiān)武.淺析無線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息.2005,(17):18.

[3]邊鋒.不得不說無線網(wǎng)絡(luò)安全六種簡(jiǎn)單技巧[J].計(jì)算機(jī)與網(wǎng)絡(luò).2006,(20):6.