无线上网七大安全困惑(2）

　　问题五：地址欺骗和会话拦截

　　由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。

　　除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

　　解决方案：同重要网络隔离

　　在802.11i被正式批准之前，MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。

　　问题六：流量分析与流量侦听

　　802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。早期，WEP非常容易被Airsnort、WEPcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。

　　解决方案：采用可靠的协议进行加密

　　如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

　　问题七：高级入侵

　　一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。

　　解决方案：隔离无线网络和核心网络

　　由于无线网络非常容易受到攻击，因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域，作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面，如防火墙的外面，接入访问核心网络采用VPN方式。