吳來美

摘要:由于在現(xiàn)在局域網(wǎng)建網(wǎng)的地域越來越復(fù)雜,很多地方應(yīng)用了無線技術(shù)來建設(shè)局域網(wǎng),但是由于無線網(wǎng)絡(luò)應(yīng)用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對(duì)危害無線局域網(wǎng)的一些因素的敘述,提出了一些應(yīng)對(duì)的安全方案,以保證無線局域網(wǎng)能夠安全、正常地運(yùn)行。

關(guān)鍵詞:WLAN;AP;WEP;SSID;安全措施

1 引言

隨著信息技術(shù)的飛速發(fā)展,人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高,希望不論在何時(shí)、何地、與何人均能進(jìn)行數(shù)據(jù)、語音、圖象等多種內(nèi)容通信,并希望能實(shí)現(xiàn)主機(jī)在網(wǎng)絡(luò)中自動(dòng)漫游,無線局域網(wǎng)將依靠其無法比擬的靈活性、可移動(dòng)性和極強(qiáng)的可擴(kuò)充性,使人們真正享受到簡單、方便、快捷的鏈接。

WLAN是Wireless LAN的簡稱,即無線局域網(wǎng)。通俗地說,無線局域網(wǎng)就是在不采用有線傳輸介質(zhì),只利用無線電波,提供傳統(tǒng)有線局域網(wǎng)的所有功能,網(wǎng)絡(luò)所需要的基礎(chǔ)設(shè)施不用埋藏在地下,布設(shè)在空中或隱藏在墻里,而網(wǎng)絡(luò)卻能夠隨著用戶的移動(dòng)來提供服務(wù)。

但當(dāng)用戶對(duì)WLAN的期望日益提高時(shí),無線通信設(shè)備是在自由空間中進(jìn)行傳輸,而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸,無法通過對(duì)傳輸媒介的接入控制來保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取,因而WLAN必須將安全問題擺在前所未有的重要位置。

2 WLAN的安全漏洞分析

IEEE 802.1x認(rèn)證協(xié)議發(fā)明者,即ExtremeNetworks公司副總裁VipinJain最在接受媒體采訪時(shí)表示:“談到無線網(wǎng)絡(luò),企業(yè)的IT經(jīng)理人最擔(dān)心兩件事:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,使得用戶無所適從;第二,我如何避免網(wǎng)絡(luò)遭到入侵或攻擊?無線媒體是一個(gè)共享的媒介,不會(huì)受限于建筑物實(shí)體界線,因此有人要入侵網(wǎng)絡(luò)可以說十分容易?！?/p>

首先應(yīng)該被考慮的問題是,由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介,因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問,無線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn),給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問WLAN,竊聽網(wǎng)絡(luò)中的數(shù)據(jù),有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無線網(wǎng)絡(luò)進(jìn)行攻擊,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后。

其次,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò),所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī),甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。

進(jìn)一步分析表明,WLAN安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面。訪問控制保證敏感數(shù)據(jù)只能由合法的授權(quán)用戶進(jìn)行訪問,而數(shù)據(jù)加密則保證所發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和解密。

因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。

3 無線局域網(wǎng)的安全措施

第一,首先確定安全策略,定位WLAN在整個(gè)工作中的主要用途,涉及傳輸數(shù)據(jù)和人員、設(shè)備,然后具體規(guī)劃AP(Access Point,無線訪問接入)的物理位置、客戶端的訪問權(quán)限和控制模式等。

第二,從網(wǎng)絡(luò)結(jié)構(gòu)著手,采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。限制WLAN信號(hào)的范圍,并將WLAN和重要的內(nèi)部網(wǎng)絡(luò)之間明確區(qū)分開來,在AP和內(nèi)部網(wǎng)絡(luò)之間采用防火墻進(jìn)行安全隔離,必要時(shí)采用物理隔離手段。這樣,即使WLAN出現(xiàn)了安全問題也不會(huì)立即導(dǎo)致內(nèi)部網(wǎng)絡(luò)的嚴(yán)重危機(jī)。

第三,設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施,防止非法用戶入侵。在無線網(wǎng)的站點(diǎn)上使用口令控制——當(dāng)然沒必要局限于無線網(wǎng),諸如Novell NetWare和Microsoft NT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器都提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)?？诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于無線局域網(wǎng)的用戶包括移動(dòng)用戶,而移動(dòng)用戶傾向于把他們的筆記本電腦移來移去,因此,嚴(yán)格的口令策略等于增加了一個(gè)安全級(jí)別,它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。

第四,設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽也難以理解其中的內(nèi)容。假如單位的數(shù)據(jù)要求有極高的安全性,譬如說是商用網(wǎng)或軍用網(wǎng)上的數(shù)據(jù),那么單位可能需要采取一些特殊的措施。最后也是最高級(jí)別的安全措施就是在網(wǎng)絡(luò)上整體使用加密產(chǎn)品。數(shù)據(jù)包中的數(shù)據(jù)在發(fā)送到局域網(wǎng)之前要用軟件或硬件的方法進(jìn)行加密,只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù)、讀取這些數(shù)據(jù)。如果需要全面的安全保障,加密是最好的方法,一些網(wǎng)絡(luò)操作系統(tǒng)具有加密能力,基于每個(gè)用戶或服務(wù)器、價(jià)位較低的第三方加密產(chǎn)品也可以勝任,并可為用戶提供最好的性能、質(zhì)量服務(wù)和技術(shù)支持。

第五,充分利用WLAN本身提供的安全特性進(jìn)行安全保障。比如對(duì)于AP可以做以下工作:一是更改缺省的口令。一般設(shè)備出廠時(shí)的口令都非常簡單,必須要更改。二是采用加密手段。盡管WEP(Wired Equivalent Privacy加密技術(shù))已經(jīng)被證明是比較脆弱的,但是采用加密方式比明文傳播還是要安全一些。三是采用MAC地址的方式對(duì)客戶端進(jìn)行驗(yàn)證。在沒有實(shí)施更加強(qiáng)壯的身份驗(yàn)證措施之前,這種防范措施還是必要的。四是更改SSID(Service Set Identifier的縮寫,意思是:服務(wù)集標(biāo)識(shí)),并且配置AP不廣播SSID。五是更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。

第六,采用WLAN 專用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控,及時(shí)發(fā)現(xiàn)非法接入的AP以及假冒的客戶端,并且對(duì)WLAN的安全狀況進(jìn)行實(shí)時(shí)的分析和監(jiān)控。

第七,加強(qiáng)企業(yè)內(nèi)部管理制度,解決來自公司內(nèi)部員工的泄密破壞。采用的安全方法如下:采用端口訪問技術(shù)(802.1x)進(jìn)行控制,防止非授權(quán)的非法接入和訪問;對(duì)于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接;布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查,通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時(shí)要讓保安人員在公司附近進(jìn)行巡查,防止外部人員在公司附近接入網(wǎng)絡(luò);禁止員工私自安裝AP,可通過筆記本配置無線網(wǎng)卡和無線掃描軟件進(jìn)行掃描;制定無線網(wǎng)絡(luò)管理規(guī)定,規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員,禁止設(shè)置P2P的Ad hoc網(wǎng)絡(luò)結(jié)構(gòu);禁用用戶計(jì)算機(jī)的某些操作系統(tǒng)和應(yīng)用程序?qū)LAN的自動(dòng)連接功能,避免這些用戶無意識(shí)地連接到未知WLAN中;在WLAN的客戶端采用個(gè)人防火墻、防病毒軟件等措施保障不受到針對(duì)客戶端攻擊行為的損害;跟蹤無線網(wǎng)絡(luò)技術(shù),特別是安全技術(shù)(如802.11i規(guī)范了TKIP和AES),對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)。

4 結(jié)論

無線網(wǎng)絡(luò)應(yīng)用越來越廣泛,但是隨之而來的網(wǎng)絡(luò)安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對(duì)不安全因素給出了解決的安全措施,有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段,能夠保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性,有效地維護(hù)無線局域網(wǎng)的安全。無線網(wǎng)絡(luò)安全技術(shù)在很大的程度上已經(jīng)得到了改善,即使這樣,要真正構(gòu)建端到端的安全無線網(wǎng)絡(luò)還是任重道遠(yuǎn)。

參考文獻(xiàn)

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007, (5).

[2]王秋華,章堅(jiān)武.淺析無線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國科技信息.2005, (17).

[3]邊鋒.不得不說無線網(wǎng)絡(luò)安全六種簡單技巧[J].計(jì)算機(jī)與網(wǎng)絡(luò).2006, (20).

[4]冷月.無線網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計(jì)算機(jī)應(yīng)用文摘.2006,(26).

[5]宋濤.無線局域網(wǎng)的安全措施[J]. 電信交換.2004, (1).