無線網絡WIFI安全問答

　　無線網絡因為他的無線的特征往往會存在許多的安全問題，主要是傳送的數據是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和牆壁，發射的數據可能到達預期之外的，數據安全也就成為最重要的問題。由於無線網絡非常容易受到攻擊，因此被認為是一種不可靠的網絡，下面就列舉幾個WIFI無線的安全的問題及解決辦法：

　　流量分析與流量偵聽的問題？

　　802.11無法防止攻擊者采用被動方式監聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有漏 洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，並且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機 會。早期，WEP非常容易被Airsnort、WEPcrack一類的工具解密，但後來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展， 最新的無線局域網產品的防護功能更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這麼短的時間內產生足夠的數據證實攻擊者破獲密鑰。

　　解決辦法：如果用戶的無線網絡用於傳輸比較敏感的數據，那麼僅用WEP/WAP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。

　　為什麼我的無線網絡容易侵入？

　　無線局域網非常容易被發現，為了能夠使用戶發現無線網絡的存在，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。

　　解決方案：容易訪問不等於容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的洩漏，當然通過強大的網絡訪問控制可以減少無線網絡配置的風險。如果將AP安置在像防火牆這樣的網絡安全設備的外面，最好考慮通過VPN技術連接到主干網絡，更好的辦法是使用基於IEEE802.1x的新的無線網絡產品。IEEE802.1x定義了用戶級認證的新的幀的類型，借助於企業網已經存在的用戶數據庫，將前端基於IEEE802.1X無線網絡的認證轉換到後端基於有線網絡的RASIUS認證。

　　面對高級入侵該如何應付？

　　一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼，以防止非法攻擊，但是在 外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干，但這樣會使網絡暴露在攻擊者面前。即使有一定邊界安 全設備的網絡，同樣也會使網絡暴露出來從而遭到攻擊。

　　解決方案：由於無線網絡非常容易受到攻擊，因此被認為是一種不可靠的網絡。很多公司把無線網絡布置在諸如休息室、培訓教室等公共區域，作為提供給客人的接入方式。應將網絡布置在核心網絡防護外殼的外面，如防火牆的外面，接入訪問核心網絡采用VPN方式。

　　常見的帶寬和性能的限制問題？

　　無線局域網的傳輸帶寬是有限的，由於物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標准的一半，並且該帶寬是被AP所有用戶共享的。無線 帶寬可以被幾種方式吞噬：來自有線網絡遠遠超過無線網絡帶寬的網絡流量，如果攻擊者從快速以太網發送大量的Ping流量，就會輕易地吞噬AP有限的帶寬； 如果發送廣播流量，就會同時阻塞多個AP;攻擊者可以在同無線網絡相同的無線信道內發送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應， 同樣影響無線網絡的傳輸；另外，傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。