無線局域網(wǎng)安全風(fēng)險分析和解決
時間:2010-07-15 22:37:49 整理:佚名 []
我們基本上可以從下面幾個方面考慮解決WLAN存在的安全問題。
1.首先確定安全策略,定位WLAN在整個工作中的主要用途,涉及傳輸數(shù)據(jù)和人員、設(shè)備。然后具體規(guī)劃AP的物理位置、客戶端的訪問權(quán)限和控制模式等。
2.從網(wǎng)絡(luò)結(jié)構(gòu)著手。限制WLAN信號的范圍,并將WLAN和重要的內(nèi)部網(wǎng)絡(luò)之間明確區(qū)分開來,在AP和內(nèi)部網(wǎng)絡(luò)之間采用防火墻進(jìn)行安全隔離,必要時采用物理隔離手段。這樣即使WLAN出現(xiàn)了安全問題也不會立即導(dǎo)致內(nèi)部網(wǎng)絡(luò)的嚴(yán)重危機(jī)。
3.避免Ad Hoc網(wǎng)絡(luò)的產(chǎn)生。這需要管理員對員工的培訓(xùn),以及對網(wǎng)絡(luò)的不斷監(jiān)控。
4.禁用用戶計算機(jī)的某些操作系統(tǒng)和應(yīng)用程序?qū)LAN的自動連接功能,避免這些用戶無意識地連接到未知WLAN中。
5.充分利用WLAN本身提供的安全特性進(jìn)行安全保障。比如對于AP可以做以下工作:
a)更改缺省的口令。一般設(shè)備出廠時的口令都非常簡單,必須要更改;
b)采用加密手段。盡管WEP已經(jīng)被證明是比較脆弱的,但是采用加密方式比明文傳播還是要安全一些;
c)設(shè)置采用MAC地址的方式對客戶端驗證。在沒有實施更加強(qiáng)壯的身份驗證措施之前,這種防范措施還是必要的;
d)更改SSID,并且配置AP不廣播SSID。
e)更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。
6.在WLAN本身傳輸?shù)臄?shù)據(jù)重要性較高,或者連接到一個密級較高的網(wǎng)絡(luò)的情況下,可以考慮采用進(jìn)一步的安全防范措施:
a)采用802.1x進(jìn)行高級別的網(wǎng)絡(luò)訪問控制。盡管802.1x標(biāo)準(zhǔn) 初是為有線以太網(wǎng)設(shè)計制定的,但它可以用于WLAN。802.1x導(dǎo)入了認(rèn)證服務(wù)器,可以對WLAN中的主客體進(jìn)行高級別的認(rèn)證,認(rèn)證方式可以選擇采用傳統(tǒng)的RADIUS服務(wù)器進(jìn)行。
b)采用TKIP技術(shù)替代現(xiàn)有的簡單WEP加密技術(shù)。這種方式的優(yōu)勢在于不需要全部更換硬件設(shè)備,僅僅通過更新驅(qū)動程序和軟件就可以實現(xiàn)。另外,目前正在制訂中的802.11i提供了進(jìn)行了加密強(qiáng)化的WEP2(基于AES),以及強(qiáng)化的認(rèn)證協(xié)議EAP。但是802.11i的成熟和推廣尚且需要一段時間。
c)在WLAN之上采用VPN技術(shù),進(jìn)一步增強(qiáng)關(guān)鍵數(shù)據(jù)的安全性。VPN技術(shù)同樣不是專門為WLAN設(shè)計的,但是可以作為關(guān)鍵性WLAN的增強(qiáng)保護(hù)。
7.采用WLAN 專用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控,及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端,并且對WLAN的安全狀況進(jìn)行實時的分析和監(jiān)控。
8.在WLAN的客戶端采用個人防火墻、防病毒軟件等措施保障不受到針對客戶端攻擊行為的損害。
正如上文所述,WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供,也需要借助一些專用的安全產(chǎn)品來實現(xiàn),同時需要有一套合理的WLAN專用安全管理規(guī)范和制度。下面介紹一些可以用于WLAN的安全產(chǎn)品。
WLAN安全產(chǎn)品
冠群金辰公司是一家專業(yè)的信息安全方案和服務(wù)提供商,提供防火墻、入侵檢測、主機(jī)核心防護(hù)、防病毒、VPN、漏洞掃描、內(nèi)容過濾網(wǎng)關(guān)等一系列安全產(chǎn)品,并具有強(qiáng)大的安全服務(wù)能力和研發(fā)能力。下面主要介紹三種產(chǎn)品:WLAN入侵檢測系統(tǒng)、VPN和掌上設(shè)備的防病毒系統(tǒng)。
WLAN入侵檢測系統(tǒng)
WLAN入侵檢測系統(tǒng)是冠群金辰研發(fā)中的一種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),除了能夠?qū)ζ胀ㄓ芯網(wǎng)絡(luò)的入侵模式進(jìn)行識別和響應(yīng),主要是針對采用802.11b協(xié)議的WLAN進(jìn)行網(wǎng)絡(luò)安全狀態(tài)的判斷和分析,WLAN入侵檢測系統(tǒng)采用了分布式的結(jié)構(gòu),將進(jìn)行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點,并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋集中的信息處理平臺。信息處理平臺通過對802.11b協(xié)議的解碼和分析,判斷有無異常現(xiàn)象,比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況,以及通過對無線網(wǎng)絡(luò)進(jìn)行的性能和狀態(tài)分析,識別拒絕服務(wù)攻擊現(xiàn)象。它能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的Ad Hoc網(wǎng)絡(luò),并且通過通知管理員來及時阻止可能造成的進(jìn)一步損害。基于Web界面的安全管理界面讓管理員可以進(jìn)行策略的集中配置和分發(fā),以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報表。
WLAN入侵檢測系統(tǒng)通過結(jié)合協(xié)議分析、特征比對以及異常狀況檢測三種技術(shù),對WLAN網(wǎng)絡(luò)流量進(jìn)行深入分析,并且能夠?qū)崟r阻斷非法連接。
純均VPN
純均VPN系統(tǒng)是冠群金辰公司的軟件VPN解決方案,具有部署靈活,成本低廉的特點。通過將VPN技術(shù)結(jié)合到WLAN中,可以大大彌補(bǔ)WEP加密方式的不足,提高數(shù)據(jù)的安全性。純均VPN采用已經(jīng)獲得國家認(rèn)可的加密算法,沒有安全隱患。而且純均VPN的認(rèn)證使用插件方式,您可使用任何認(rèn)證方式,可支持智能卡,生物設(shè)備,X.509 證書等。安裝了純均VPN后, 終用戶(客戶端)不必?fù)?dān)心需了解復(fù)雜的加密算法和指定安全網(wǎng)絡(luò)路徑名。實際上,他們可與原來一樣獲取應(yīng)用服務(wù)器上的數(shù)據(jù),甚至不知道純均VPN在進(jìn)行加密和解密數(shù)據(jù)。安裝在客戶端和服務(wù)器上的純均VPN做了所有工作。所有安全策略由純均VPN Administrator來維護(hù)和分發(fā)。
KILL for Pocket PC
隨著WLAN技術(shù)的發(fā)展和市場的成熟,掌上設(shè)備也逐漸邁入了支持WLAN的行列。Intersil等公司專門為微軟公司的Windows CE系列平臺(包括Pocket PC)推出了軟件驅(qū)動程序。微軟公司的掌上電腦操作系統(tǒng)Windows Pocket PC成為新型智能終端中具有強(qiáng)大競爭力的操作系統(tǒng)。冠群金辰公司推出的KILL for Pocket PC是為了迎合這一新興市場的需要而推出的一個掌上電腦防病毒產(chǎn)品。這樣能夠保證采用掌上設(shè)備通過WLAN傳播到服務(wù)器和其他計算機(jī)的文件是無毒的,保證了整體網(wǎng)絡(luò)的安全性。
1.首先確定安全策略,定位WLAN在整個工作中的主要用途,涉及傳輸數(shù)據(jù)和人員、設(shè)備。然后具體規(guī)劃AP的物理位置、客戶端的訪問權(quán)限和控制模式等。
2.從網(wǎng)絡(luò)結(jié)構(gòu)著手。限制WLAN信號的范圍,并將WLAN和重要的內(nèi)部網(wǎng)絡(luò)之間明確區(qū)分開來,在AP和內(nèi)部網(wǎng)絡(luò)之間采用防火墻進(jìn)行安全隔離,必要時采用物理隔離手段。這樣即使WLAN出現(xiàn)了安全問題也不會立即導(dǎo)致內(nèi)部網(wǎng)絡(luò)的嚴(yán)重危機(jī)。
3.避免Ad Hoc網(wǎng)絡(luò)的產(chǎn)生。這需要管理員對員工的培訓(xùn),以及對網(wǎng)絡(luò)的不斷監(jiān)控。
4.禁用用戶計算機(jī)的某些操作系統(tǒng)和應(yīng)用程序?qū)LAN的自動連接功能,避免這些用戶無意識地連接到未知WLAN中。
5.充分利用WLAN本身提供的安全特性進(jìn)行安全保障。比如對于AP可以做以下工作:
a)更改缺省的口令。一般設(shè)備出廠時的口令都非常簡單,必須要更改;
b)采用加密手段。盡管WEP已經(jīng)被證明是比較脆弱的,但是采用加密方式比明文傳播還是要安全一些;
c)設(shè)置采用MAC地址的方式對客戶端驗證。在沒有實施更加強(qiáng)壯的身份驗證措施之前,這種防范措施還是必要的;
d)更改SSID,并且配置AP不廣播SSID。
e)更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。
6.在WLAN本身傳輸?shù)臄?shù)據(jù)重要性較高,或者連接到一個密級較高的網(wǎng)絡(luò)的情況下,可以考慮采用進(jìn)一步的安全防范措施:
a)采用802.1x進(jìn)行高級別的網(wǎng)絡(luò)訪問控制。盡管802.1x標(biāo)準(zhǔn) 初是為有線以太網(wǎng)設(shè)計制定的,但它可以用于WLAN。802.1x導(dǎo)入了認(rèn)證服務(wù)器,可以對WLAN中的主客體進(jìn)行高級別的認(rèn)證,認(rèn)證方式可以選擇采用傳統(tǒng)的RADIUS服務(wù)器進(jìn)行。
b)采用TKIP技術(shù)替代現(xiàn)有的簡單WEP加密技術(shù)。這種方式的優(yōu)勢在于不需要全部更換硬件設(shè)備,僅僅通過更新驅(qū)動程序和軟件就可以實現(xiàn)。另外,目前正在制訂中的802.11i提供了進(jìn)行了加密強(qiáng)化的WEP2(基于AES),以及強(qiáng)化的認(rèn)證協(xié)議EAP。但是802.11i的成熟和推廣尚且需要一段時間。
c)在WLAN之上采用VPN技術(shù),進(jìn)一步增強(qiáng)關(guān)鍵數(shù)據(jù)的安全性。VPN技術(shù)同樣不是專門為WLAN設(shè)計的,但是可以作為關(guān)鍵性WLAN的增強(qiáng)保護(hù)。
7.采用WLAN 專用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控,及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端,并且對WLAN的安全狀況進(jìn)行實時的分析和監(jiān)控。
8.在WLAN的客戶端采用個人防火墻、防病毒軟件等措施保障不受到針對客戶端攻擊行為的損害。
正如上文所述,WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供,也需要借助一些專用的安全產(chǎn)品來實現(xiàn),同時需要有一套合理的WLAN專用安全管理規(guī)范和制度。下面介紹一些可以用于WLAN的安全產(chǎn)品。
WLAN安全產(chǎn)品
冠群金辰公司是一家專業(yè)的信息安全方案和服務(wù)提供商,提供防火墻、入侵檢測、主機(jī)核心防護(hù)、防病毒、VPN、漏洞掃描、內(nèi)容過濾網(wǎng)關(guān)等一系列安全產(chǎn)品,并具有強(qiáng)大的安全服務(wù)能力和研發(fā)能力。下面主要介紹三種產(chǎn)品:WLAN入侵檢測系統(tǒng)、VPN和掌上設(shè)備的防病毒系統(tǒng)。
WLAN入侵檢測系統(tǒng)
WLAN入侵檢測系統(tǒng)是冠群金辰研發(fā)中的一種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),除了能夠?qū)ζ胀ㄓ芯網(wǎng)絡(luò)的入侵模式進(jìn)行識別和響應(yīng),主要是針對采用802.11b協(xié)議的WLAN進(jìn)行網(wǎng)絡(luò)安全狀態(tài)的判斷和分析,WLAN入侵檢測系統(tǒng)采用了分布式的結(jié)構(gòu),將進(jìn)行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點,并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋集中的信息處理平臺。信息處理平臺通過對802.11b協(xié)議的解碼和分析,判斷有無異常現(xiàn)象,比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況,以及通過對無線網(wǎng)絡(luò)進(jìn)行的性能和狀態(tài)分析,識別拒絕服務(wù)攻擊現(xiàn)象。它能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的Ad Hoc網(wǎng)絡(luò),并且通過通知管理員來及時阻止可能造成的進(jìn)一步損害。基于Web界面的安全管理界面讓管理員可以進(jìn)行策略的集中配置和分發(fā),以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報表。
WLAN入侵檢測系統(tǒng)通過結(jié)合協(xié)議分析、特征比對以及異常狀況檢測三種技術(shù),對WLAN網(wǎng)絡(luò)流量進(jìn)行深入分析,并且能夠?qū)崟r阻斷非法連接。
純均VPN
純均VPN系統(tǒng)是冠群金辰公司的軟件VPN解決方案,具有部署靈活,成本低廉的特點。通過將VPN技術(shù)結(jié)合到WLAN中,可以大大彌補(bǔ)WEP加密方式的不足,提高數(shù)據(jù)的安全性。純均VPN采用已經(jīng)獲得國家認(rèn)可的加密算法,沒有安全隱患。而且純均VPN的認(rèn)證使用插件方式,您可使用任何認(rèn)證方式,可支持智能卡,生物設(shè)備,X.509 證書等。安裝了純均VPN后, 終用戶(客戶端)不必?fù)?dān)心需了解復(fù)雜的加密算法和指定安全網(wǎng)絡(luò)路徑名。實際上,他們可與原來一樣獲取應(yīng)用服務(wù)器上的數(shù)據(jù),甚至不知道純均VPN在進(jìn)行加密和解密數(shù)據(jù)。安裝在客戶端和服務(wù)器上的純均VPN做了所有工作。所有安全策略由純均VPN Administrator來維護(hù)和分發(fā)。
KILL for Pocket PC
隨著WLAN技術(shù)的發(fā)展和市場的成熟,掌上設(shè)備也逐漸邁入了支持WLAN的行列。Intersil等公司專門為微軟公司的Windows CE系列平臺(包括Pocket PC)推出了軟件驅(qū)動程序。微軟公司的掌上電腦操作系統(tǒng)Windows Pocket PC成為新型智能終端中具有強(qiáng)大競爭力的操作系統(tǒng)。冠群金辰公司推出的KILL for Pocket PC是為了迎合這一新興市場的需要而推出的一個掌上電腦防病毒產(chǎn)品。這樣能夠保證采用掌上設(shè)備通過WLAN傳播到服務(wù)器和其他計算機(jī)的文件是無毒的,保證了整體網(wǎng)絡(luò)的安全性。
百度中找“無線局域網(wǎng)安全風(fēng)險分析和解決”的內(nèi)容
GOOGLE中找“無線局域網(wǎng)安全風(fēng)險分析和解決”的內(nèi)容
|
 |
關(guān)鍵詞:無線局域網(wǎng)安全風(fēng)險分析和解決 相關(guān)文章
