无线网络安全疑问不应泛泛来看

今天小编就给大家整理了无线网络安全疑问不应泛泛来看，本文共5篇，希望对大家的工作和学习有所帮助，欢迎阅读!

篇1：无线网络安全疑问不应泛泛来看

无线网络安全问题其实不应该泛泛来看，针对不同的网络结构，以及所处环境，相应的安全策略应有所变动，例如家庭无线网络来说加密相对简单一些，对于企业级网络就相应的复杂。那么我们将要介绍的是在有数据交换的服务业中，无线网络安全的介绍。

金融服务提供商受到为数众多的客户资料安全保障规则的制约。像GLBA法案(Gramm-Leach-Bliley Act)，涉及面广而且比较抽象，但它要求对所有类型的网络必须进行风险鉴定和评估，实现安全措施并对其进行监控，这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准（PCI DSS），明确包含了在WLAN范围内必须执行的标准，例如检测异常操作，对无线传输的数据进行安全加密。虽然每种规则的具体情况不同，但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础：

1.了解你的敌人

要可靠保障无线网络的安全，你必须了解你所面临的威胁。例如，PCI DSS要求每一个处理持卡人数据的组织必须对未授权的无线接入点(AP)所造成的威胁进行评估，包括那些没有WLAN的公司。你需要从审核无线网络安全威胁着手，找出你业务中可能会遇到的威胁，并且评估敏感数据（比如个人财务信息，持卡人信息）所面临的风险。

2．了解你自己

许多用于减少无线网络安全威胁的保障措施是否有成效，取决于是否准确理解了网络的拓扑结构(包括有线和无线)，和识别已验证设备的能力。为了制定WLAN安全审核和执行的标准，你必须维护那些已被认可的接入点和客户的清单、它们的用户及其地址，以及各自预期实施的安全措施。

3．减少暴露

当WLAN的使用已被授权且数据流量通过一个敏感的网段时，一些规则如PCI DSS将会全力保证用户的安全。你可以通过对流量进行分割以减少暴露来降低风险。具体来说，就是使用防火墙对数据包进行检查，以防止数据包进入到不需相应权限即可访问的网段中，并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量，

作为一项规则，那些需要无线访问权限的网段需被看作是“隔离区”(DMZ) ：默认和否认一切，只允许必要的服务和特殊目的的流量通过。

4. 堵住漏洞使用传统的网络安全最佳做法

可以对所有暴露在无线网络中的基础设施（如接入点、控制器、DNS / DHCP服务器）的安全性进行强化。例如，更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。在这一步中，你需要解决无线传输特有的漏洞问题，比如说你需要选择非默认的网络名称（SSID）以防止意外的入侵，并通过动态频率选择（dynamic frequency selection）来规避射频干扰。同时，你还可以采取措施，防止公众场合的接入点受到物理干扰（例如，移除电缆，重置为默认设置）。

5．确保传输安全

目前的接入点都支持WPA2 (AES-CCMP)空中（over-the-air）加密，你需要尽可能多地使用它。如果传统的客户端要求的是WPA（TKIP/MIC）标注，请谨慎使用该密码，最好是在同其他用户隔离开的无线局域网（SSID）条件下使用。请避免WEP加密，因为更新的安全规定将不再允许使用这一冗长零碎的加密协议。此外，使用高层加密（例如，SSLv3/TLS，IPSec）可以有选择地对敏感应用程序流和交易进行保护，同时也请不要忘了对所包含的服务器和网关的安全性进行加强。

金融服务提供商受到为数众多的客户资料安全保障规则的制约。像GLBA法案(Gramm-Leach-Bliley Act)，涉及面广而且比较抽象，但它要求对所有类型的网络必须进行风险鉴定和评估，实现安全措施并对其进行监控，这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准（PCI DSS），明确包含了在WLAN范围内必须执行的标准，例如检测异常操作，对无线传输的数据进行安全加密。

篇2：小贴士：无线传感器网络安全疑问

无线传感器网络安全机制

安全是系统可用的前提,需要在保证通信安全的前提下,降低系统开销,研究可行的安全算法。由于无线传感器网络受到的安全威胁和移动ad hoc网络不同,所以现有的网络安全机制无法应用于本领域,需要开发专门协议。

目前主要存在两种思路简介如下:

一种思想是从维护路由安全的角度出发,寻找尽可能安全的路由以保证网络的安全。如果路由协议被破坏导致传送的消息被篡改,那么对于应用层上的数据包来说没有任何的安全性可言。

一种方法是“有安全意识的路由”( SAR) ,其思想是找出真实值和节点之间的关系,然后利用这些真实值去生成安全的路由。该方法解决了两个问题,即如何保证数据在安全路径中传送和路由协议中的信息安全性。这种模型中,当节点的安全等级达不到要求时,就会自动的从路由选择中退出以保证整个网络的路由安全。可以通过多径路由算法改善系统的稳健性( robustness) ,数据包通过路由选择算法在多径路径中向前传送,在接收端内通过前向纠错技术得到重建。

另一种思想是把着重点放在安全协议方面,在此领域也出现了大量的研究成果。假定传感器网络的任务是为高级政要人员提供安全保护的,提供一个安全解决方案将为解决这类安全问题带来一个合适的模型，

在具体的技术实现上,先假定基站总是正常工作的,并且总是安全的,满足必要的计算速度、存储器容量,基站功率满足加密和路由的要求;通信模式是点到点,通过端到端的加密保证了数据传输的安全性;射频层总是正常工作。

基于以上前提,典型的无线传感器网络安全问题：

a、信息被非法用户截获;

b、一个节点遭破坏;

c、识别伪节点;

d、如何向已有传感器网络添加合法的节点。

此方案是不采用任何的路由机制。在此方案中,每个节点和基站分享一个唯一的64位密匙Keyj和一个公共的密匙KeyBS,发送端会对数据进行加密,接收端接收到数据后根据数据中的地址选择相应的密匙对数据进行解密。

无线传感器网络安全中的两种专用安全协议:

安全网络加密协议SNEP ( SensorNetwork Encryp tion Protocol)和基于时间的高效的容忍丢包的流认证协议μTESLA。SNEP的功能是提供节点到接收机之间数据的鉴权、加密、刷新,μTESLA的功能是对广播数据的鉴权。因为无线传感器网络可能是布置在敌对环境中,为了防止供给者向网络注入伪造的信息,需要在无线传感器网络中实现基于源端认证的安全组播。但由于在无线传感器网络中,不能使用公钥密码体制,因此源端认证的组播并不容易实现。传感器网络安全协议SP INK中提出了基于源端认证的组播机制uTESLA,该方案是对TESLA协议的改进,使之适用于传感器网络环境。其基本思想是采用Hash链的方法在基站生成密钥链,每个节点预先保存密钥链最后一个密钥作为认证信息,整个网络需要保持松散同步,基站按时段依次使用密钥链上的密钥加密消息认证码,并在下一时段公布该密钥。

篇3：无线网络安全疑问切忌不可片面看待

无线网络安全问题是个一直值得我们深入探讨的，关于各种加密，各种安全性的无线网络文章层出不穷，但是只要加密了就能保证我们的网络安全了吗？不是还有各种解密和破密的手段吗？

为什么企业在物理建筑和有线网络上的安全防范意识不能延伸到无线系统中呢？回答也许是企业对无线网络的安全性缺乏了解――人们可能会天真的以为信号不会跑到公司的围墙外面去，或者直觉认为如果你无法看见信息，就无法窃取信息。无线网络安全解决方案供应商提供的最令人信服的看法是：无线局域网技术的便利优势不是靠牺牲网络安全性得到的，这意味着企业需要为无线网络安全性做好充分的准备。

不能只依靠WEP

无线网络最基本的安全措施是WEP（Wired Equivalent Privacy）。WEP是所有经过Wi-Fi认证的无线局域网技术所支持的一项标准功能。由电子与电气工程师协会（IEEE）制定的WEP是用来：(a) 提供基本的安全性保证，(b) 防止有意的 ， (c) 利用一套基于40位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密，从而有效地保护网络。

除了设计一套强大的安全解决方案，避免简单错误的发生也是非常明智的。避免一些错误，如没有开启WEP、将访问点设置在防火墙之内、使用缺省的WEP 秘钥、以及没有定期变更加密秘钥等，能够提高无线网络的安全性。从理论上讲，WEP秘钥就是一套共享密码，其能够使用户对在无线网络上传送的加密数据进行解密。实际上， 就是在公司楼宇外通过笔记本电脑获取一串加密数据流，利用从互联网上得到的专用软件对其进行解密，从而得到企业网络的访问秘钥。 通过这种反解码过程获得秘钥，并进入公司的网络。

加密秘钥算法本身并不存在缺陷，只是秘钥的管理不善导致了 的入侵。企业网络系统管理员经常会为整个公司分配一个秘钥，一旦 获得秘钥，就能访问公司所有的专有信息和网络资源。管理员也许会赋予每一个用户不同的秘钥，但这些用户却可能从来不对其进行变更。一旦 获得了访问权限，他们便可以一直进行非法访问，并共享企业的重要资源。管理严格的小型企业网络可以使用方便的手动秘钥管理。但是，随着无线网络用户的增加，这种手动管理方式会变得非常烦杂，容易造成网络系统管理人员的工作疏忽，

通过动态秘钥管理实现更好的安全性

目前，消除WEP安全性方面缺陷的工作正在加紧进行，不论是WECA还是IEEE任务组i（TGi）都在努力对WEP进行改进。相关的规范会在年中发布，并有可能在20年底成为Wi-Fi认证标准的一个组成部分。

在标准改进工作正在进行的同时，3Com公司也在积极的加强用户大规模实施无线联网技术的信心。特别是，3Com公司正在利用一种被称为动态安全链路（DSL）的技术来满足用户在无线局域网技术管理和认证等方面的需求。当一台3Com公司的接入点设备与3Com公司无线客户端设备协同工作时，动态安全链路会自动生成一个新的128位加密秘钥，其对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的无线网络安全性，帮助用户从手工的输入工作中解脱出来。由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥，因此，即使 攻破加密防线并获取了网络的访问权，所获取的秘钥也只能工作几个小时，从而降低了企业因此需要承担的潜在损失。

为进一步提高安全性，动态安全链路技术还能够支持用户认证，即要求所有的用户在开始每一个会话之前提供用户名和密码。相对基于设备MAC地址的认证策略，基于用户的认证功能可以为企业网络实现较高级别的安全和管理能力。基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效，而且每当类似事件发生时，都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。动态安全链路的另一个优势在于其自动和动态的秘钥管理能力完全是由访问点设备自身来实施，因此这套解决方案不需要增加任何服务器设备和其他基础设备。这种安全性实施策略非常适用不需要大量资金就可实现无线局域网技术安全性的小型企业，同时对希望以非集中化方式来实现无线网络安全性的也是理想的选择。

大型网络需要更高的安全性

大型无线网络安全性管理不仅需要可以自动变更秘钥的DSL功能，还需要更多安全性功能，从而来满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密秘钥管理技术、更加灵活的认证机制、以及整个基础网络的集中用户管理，所有这些无法全部存储在一部无线局域网技术设备的有限内存中。

尽管WEP和DSL解决方案中的安全性功能已经本地化-- 即在无线局域网技术设备内部进行管理-- 但是一个能够支持上千名用户，具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS (拨号用户远程认证服务) 进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。

篇4：深析：企业无线网络安全疑问(一)

企业无线网络安全问题是很多管理员们觉得比较复杂的问题，那么应该从哪些方面进行分析，从哪些方面入手呢？下面将为大家具体介绍一下，希望通过此文能让大家对企业无线网络安全问题有一个总结。

企业无线网络安全问题一、无线身份认证

传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠，但现在已经证明，以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包， 们可以使用常见的字典攻击工具来发现空中传输的密码，通过中间人攻击来窃取会话信息，或尝试进行重放攻击。

因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用，所以IETF和IEEE标准委员会已经与领先的无线供应商合作，建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。

企业无线网络安全问题二、802.1xWiFi身份认证

IEEE无线局域网委员会对802.1x进行了增强，并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题，并允许使用可扩展身份认证协议（EAP）子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性，以及对这些信息进行加密。作为一种身份认证框架，802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准，而且没有指定应该优先使用哪一种EAP身份认证方法，这样，当开发出更新的身份认证技术时，就可以对其进行扩展和升级。

802.1x使用一个外部身份认证服务器（通常是RADIUS）对客户端进行身份认证。目前，除了执行简单的用户身份认证外，一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。

与较早的802.11b实现方案相比，802.1x的优势包括：

(1)身份认证基于用户，每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样，就不再需要那些依靠MAC地址过滤和静态WEP密钥（易于被伪造）的基于设备的身份认证方法。

(2)ADIUS服务器集中了所有的用户账户和策略，不再要求每一接入点拥有身份认证数据库的一份拷贝，从而简化了账户信息的管理和协调。

(3)RADIUS作为一种对远程接入进行身份认证的方法，多年以来得到了普遍认可和采纳。人们对它十分了解，而且它本身也是一种成熟的技术。

(4)公司可以选择最适合其安全需求的EAP身份认证协议――在要求高安全性的情况下可选择双向证书，在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。

(5)为提供所要求的可扩展性，可以以分层的方式部署身份认证服务器。

(6)与将用户账户存放在每一接入点上的无线接入点管理解决方案相比，802.1x的总拥有成本（TCO）更低，

企业无线网络安全问题三、扩展身份认证协（EAP）

EAP的类型多种多样。EAP是802.1x的一种子协议，用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型，还可以指定相关的数据安全机制。

无线安全需求推动了802.1x和安全数据传输的发展，为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准，这些新的EAP安全协议应继续使用现有的硬件。

企业无线网络安全问题四、无线加密

与无线网络相关的另一个担心的问题是数据保密问题，而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络，因为网络交换机只在发送方和接收方之间转发单播流量，所以 不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输，所以数据保密就成为一个重大的担忧。因此，用于保护无线数据包的加密方法必须足够稳定和可靠，而且在客户端和接入点之间进行密钥交换时，必须进行身份认证和加密处理。

IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。

企业无线网络安全问题五、WEP与802.1x的配合

由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性，使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中，而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏，这些WEP密钥就可能被窃，从而危及无线网络的安全。

利用802.1x身份认证和WEP，可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证，802.1x解决了静态WEP密钥所存在的安全问题，其解决途径是在每次执行802.1x身份认证时都重发新的密钥，从而实现了动态WEP。这样，用户不再需要在便携机上输入一个静态WEP密钥，因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外，其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥，或强制要求在一定的时间间隔之后才能再次进行身份认证。

在802.1xWEP加密技术中，WEP加密方法仍然使用，但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在，人们可以不再那么担心便携机和手持设备被窃，因为静态密钥将不会存放在这些设备上。

企业无线网络安全问题六、AES和IEEE802.11i

IEEE802.11涉及到无线安全的所有方面，包括身份认证、数据保密（AES）、数据完整性、安全快速的跨区、安全的分离认证、安全的数据分离以及安全的IBSS。

802.11i标准中包括的一项重大数据保密增强内容是美国商务部颁发的NIST高级加密标准（AES）。AES是一项联邦信息处理标准（FIPS出版物编号197），定义了美国 应该如何保护敏感的一般性信息。AES可在不同的模式下或算法中使用，同时，IEEE802.11i的实现将基于CBCMAC计数器模式（CCM），即使用计数器模式实现数据保密，使用CBC-MAC保护数据完整性。

AES是一种对称迭代数据块密码技术，使用相同的加密密钥进行加密和解密。加密过程在802.11数据包的数据部分使用了多次迭代，并在离散的固定长度块中对明文的文本数据进行加密。AES使用128位数据块（配置128位加密密钥）对数据进行加密，同时基于TKIP和MIC提供的增强功能，并使用很多类似的算法来实现高水平的数据保护。

因为AES增加了处理方面的开销，所以需要购买新的客户端和接入点或无线局域网交换机，以支持802.11i的增强数据保密功能。802.11i已经获得批准，而802.11i兼容的产品应该在第4季度开始有限供应市场。拥有较老硬件的企业需要确定是否值得为了安全性的增强而付出购买802.11i兼容硬件的成本。

篇5：“嚼不烂的舌根”的无线网络安全疑问

安全第一，不论是人身，财产，各个方面安全都是首位。无线网络安全当然也是头等大事。对于无线网络安全的“话头”，就像“嚼不烂的舌根”，强调，强调，再强调。那么，下面10点，还是希望大家再看一遍，让我们的无线网络安全“0”漏洞。

1、更改默认管理员密码（和用户名）

在核心的大多数Wi - Fi无线家庭网络的接入点或路由器里。要设置这些设备制造商提供的网页，让业主进入其网络地址和登录帐户信息。这些Web工具是因为它有一个登录界面（用户名和密码），以便只有合法拥有者能够登录。但是对于制造商提供的密码，是简单的密码，相信一般的 都可以攻破，所以，第一件事就是要修改默认管理员的密码和用户名。

2、打开（兼容）的WPA / WEP加密

所有Wi - Fi设备支持某些形式的加密。例如：加密技术发送的邮件打乱了，这使邮件不会轻易被人阅读的。今天几种的加密技术存在Wi - Fi。当然你会希望选择最强的加密形式，可以保护你的无线网络。但是，这些加密技术中，所有的Wi - Fi无线网络上的设备必须共享相同的加密设置。因此，你可能需要找到一个“最低共同demoninator”来设置。

3、更改默认的SSID

接入点和路由器都使用一个称为SSID的网络产品 。船舶制造商通常用相同的SSID设置它们的产品。例如：为Linksys设备的SSID通常是“Linksys的。”的确，同一生产商推出的无线路由器或AP都使用了相同的SSID，一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，就极易建立起一条非法的连接，从而给我们的无线网络带来威胁。因此，建议最好能够将 SSID命名为一些较有个性的名字、更改SSID的默认配置，能保护网络上的无线网络安全性。

4、启用MAC地址过滤

每一块的Wi - Fi设备具有独特的标识，称为物理地址或MAC地址 。接入点和路由器保存的所有设备连接到他们的MAC地址的轨道上。许多这样的产品提供了选择权给业主并在他们家中设备MAC地址的，这限制了网络，只允许从这些设备连接上网，

这使 和他们的软件程序可以很容易伪造MAC地址。所以，最好还是启用MAC地主过滤。

5、 禁用SSID广播

在Wi - Fi网络，无线接入点或路由器通常通过空中广播定期的网络名称（SSID）。这项功能是专为业务和移动热点领域Wi - Fi客户端提供的，提醒他们可能会超出范围开始漫游了。在家里，这是不必要的漫游功能，而且增加SSID广播可能性会有人尝试登录到你的家庭网络。幸运的是，大多数Wi - Fi接入点虽然允许SSID广播功能，但是可以由网络管理员禁用。

6、不要自动连接到开放的Wi - Fi网络

连接到一个开放的Wi ?CFi免费的无线热点或你的邻居的无线网络路由器上，会增加你计算机的安全风险。虽然通常都不会启用，但是大多数计算机都有个设置可以允许自动连接再没有通知你的情况下，所以此设置不应该启用除了临时情况外。

7、分配到设备静态IP地址

大多数家庭网络倾向于使用动态IP地址。DHCP技术确实是很容易建立动态IP，但不幸的是，这也方便网络 的攻击，谁都可以很容易地获得你网络DHCP中有效的IP地址。你应该打开路由器或接入点让DHCP关闭，设定一个固定的IP地址范围，然后配置每个连接的设备相匹配。使用专用IP（如10.0.0.x） 的地址范围 ，以防止在互联网上被别人获取你的IP地址。

8、每台计算机上启用路由器防火墙

现代网络路由器包含有内置防火墙的功能，但也存在着选择禁用它们。为了提供额外保护，应该确保安装和运行在连接到路由器的每台计算机的个人防火墙软件都打开。

9、立场的路由器要选择无线网络安全的接入点地

Wi - Fi信号通常都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围的话，就很容易为他人发现和利用。 Wi - Fi信号，会经常接触到邻近的房屋和街道，例如。当安装无线家庭网络，接入点或路由器的地位决定了它的范围。所以，尝试在家中心位置设备，而不是靠近窗户，以此减少渗漏。

10、关闭网络在非长时间用的时候

任何情况下，最行之有效的无线网络安全策略便是从物理上关闭无线网络，这样任何 都无从下手。因此，建议用户在不使用无线网络的时候直接切掉无线接入点的电源。