@局外人
2年前 提问
1个回答

WLAN的网络安全问题有哪些

X0_0X
2年前

WLAN的网络安全问题有以下这些:

  • WebPortal安全问题:WLAN的WebPortal由于在公网上能够访问,存在网页篡改、拒绝服务攻击等网站安全威胁。鉴于Web Portal对全国WLAN用户登录的重要性,建议在Web Portal前部署防火墙、防DDoS等安全防护系统,确保高安全强度。

  • ARP泛滥攻击:ARP泛滥攻击是指攻击者发起洪泛ARP广播请求,致使AC向各AP转发大量数据,造成网络拥塞。为应对该问题,AC应严格划分VLAN,将AP划分到不同VLAN中,严禁VLAN间互通,并禁止AP向与其关联的所有终端广播ARP报文。

  • 利用DNS端口绕开计费问题:WLAN用户在未通过网络认证时也需要进行DNS解析,因此目前AC会无条件允许所有目标端口为53的流量通过。未经过认证的用户应用Socket代理或者端口重定向工具将访问流量定向到 53 端口,再由互联网的特定服务器进行转发,从而实现免费访问互联网。应对措施在AC配置合法DNS地址白名单,阻止发往其他服务器的流量通过。

  • 对AP的DoS攻击:非法用户的接入导致合法用户的服务和性能被严重限制。无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,而且该带宽是共享给所有用户的。针对该问题要定期对网络进行检测,定位性能故障应当从监测和发现问题入手,无线网络测试仪能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。AP应支持DoS检测功能,并及时隔离非法用户。

  • 伪DHCP服务器攻击:在正常用户发送DHCP广播请求后,攻击者冒充DHCP服务器,响应用户并分配伪IP地址给用户,从而使攻击者可以劫持用户的上网请求,窃取用户敏感信息。为应对该问题,AC严格划分VLAN,缩小广播范围,并禁止AC向AP所在的VLAN转发DHCP请求。

  • IP地址滥用问题:WLAN中用户无需认证即可获得AC分配的公网IP地址。如果AC上的IP地址池中地址被非法终端耗尽,则会导致AC无法接入新用户,合法终端因为IP地址耗尽而无法正常接入。为应对该问题,应采用EAP-SIM/AKA等认证机制,先认证后分IP。AC只分配私网地址,通过NAT设备访问公网。