WIFI安全問題解析

　　流量分析與流量偵聽的問題?

　　802.11無 法防止攻擊者采用被動方式監聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有漏洞可以被攻擊者利用，它僅 能保護用戶和網絡通信的初始數據，並且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。早期，WEP非常容易被 Airsnort、WEPcrack一類的工具解密，但後來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展，最新的無線局域網產品的防護 功能更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這麼短的時間內產生足夠的數據證實攻擊者破獲密鑰。

　　解決辦法：如果用戶的無線網絡用於傳輸比較敏感的數據，那麼僅用WEP/WAP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。

　　為什麼我的無線網絡容易侵入?

　　無線局域網非常容易被發現，為了能夠使用戶發現無線網絡的存在，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。

　 　解決方案：容易訪問不等於容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的洩漏，當然通過強大的網絡訪問控制可以減少無線網絡配置的風 險。如果將AP安置在像防火牆這樣的網絡安全設備的外面，最好考慮通過VPN技術連接到主干網絡，更好的辦法是使用基於IEEE802.1x的新的無線網 絡產品。IEEE802.1x定義了用戶級認證的新的幀的類型，借助於企業網已經存在的用戶數據庫，將前端基於IEEE802.1X無線網絡的認證轉換到 後端基於有線網絡的RASIUS認證。

　　面對高級入侵該如何應付?

　　一旦攻擊者進入無線網絡，它將成為進一步入侵其他系 統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼，以防止非法攻擊，但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可 以通過簡單配置就可快速地接入網絡主干，但這樣會使網絡暴露在攻擊者面前。即使有一定邊界安全設備的網絡，同樣也會使網絡暴露出來從而遭到攻擊。