唐濤

鎮(zhèn)江高等?？茖W校 江蘇 212003

0 前言

無線網(wǎng)絡技術已經(jīng)廣泛應用到多個領域。無線技術是指在不使用物理線纜的前提下，從一點向另一點傳遞數(shù)據(jù)的方法，其中包括無線電、蜂窩網(wǎng)絡、紅外線和衛(wèi)星等技術。無線網(wǎng)絡具有的可移動性、安裝簡單、高靈活性和擴展能力，在對傳統(tǒng)有線網(wǎng)絡進行延伸的同時，使得各種無線設備廣泛普及，無線網(wǎng)絡技術被應用到多個領域。然而，由于無線網(wǎng)絡本身具有的動態(tài)拓撲、開放鏈路、資源有限等特點，使得無線網(wǎng)絡的安全問題頗令人擔憂。本文研究了當前無線局域網(wǎng)中面臨的一些主要安全問題，并嘗試給出相應的解決辦法。

近年來，計算機及通信技術發(fā)展突飛猛進，隨著有線網(wǎng)絡的快速發(fā)展和普及，無線網(wǎng)絡也隨著無線接入設備的發(fā)展而快速擴展著，其在技術上變得越來越成熟和快捷，在信息發(fā)展中起到了相當重要的作用，在多個領域得到了廣泛應用。其中尤以無線局域網(wǎng)為代表的無線網(wǎng)絡技術得到了相當廣泛的發(fā)展和應用。但是在無線網(wǎng)絡作為有線網(wǎng)絡的補充和延伸的同時，由于其本身的技術特性，使得無線網(wǎng)絡安全問題成為制約其發(fā)展的瓶頸，如何安全有效地使用無線網(wǎng)絡，必須引起大家足夠的重視。

1 無線局域網(wǎng)概述

無線局域網(wǎng)絡是一種相當便利的數(shù)據(jù)傳輸系統(tǒng)。它以無線電波作為傳輸介質(zhì)來代替有線局域網(wǎng)中的部分或者全部傳輸介質(zhì)(如雙絞線、同軸電纜等)而構(gòu)成的局域網(wǎng)。之所以稱其是局域網(wǎng)，是因為受到無線連接設備與終端之間距離的遠近限制而影響傳輸范圍，必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)絡?，F(xiàn)有的無線局域網(wǎng)中大都采用射頻技術來充分利用頻譜資源。無線局域網(wǎng)在有線局域網(wǎng)的基礎上通過無線集線器、無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等設備使無線通信得以實現(xiàn)。

1.1 無線局域網(wǎng)的優(yōu)勢

無線局域網(wǎng)相對有線網(wǎng)絡來說具有如下多種優(yōu)勢。

(1) 靈活性和可移動性：不受線纜限制，在信號覆蓋范圍內(nèi)可隨時隨地連接網(wǎng)絡。

(2) 容易安裝，成本低：無需布置安裝線纜，一般只要安裝一個或多個接入點設備，就可以建立覆蓋整個區(qū)域的局域網(wǎng)絡。

(3) 組網(wǎng)靈活：可迅速加入現(xiàn)有網(wǎng)絡并在適當環(huán)境下正常運行。

(4) 故障定位容易：容易定位故障，更換故障設備即可恢復網(wǎng)絡連接。

(5) 易于擴展：無線局域網(wǎng)的多種配置方式已與擴展多種網(wǎng)絡拓撲，并提供節(jié)點間的“漫游”功能。

因為種種優(yōu)勢，使得無線局域網(wǎng)在各行各業(yè)中得到了極其廣泛的應用。

1.2 無線局域網(wǎng)存在的不足

雖然無線網(wǎng)絡擁有如此眾多的優(yōu)點來彌補有線網(wǎng)絡的不足，但是，無線網(wǎng)絡自身的特點也注定了無線網(wǎng)絡仍然還有很多不足：

(1) 性能不穩(wěn)定：無線信號是通過無線發(fā)射裝置依靠無線電波進行傳輸?shù)?，在傳輸過程中建筑、樹木等障礙物都可能阻擋電磁波的傳輸，從而影響整個無線網(wǎng)絡性能。

(2) 傳輸速率慢：無線信道傳輸速率相比有線信道的傳輸速率低得多，使用范圍有限，多適用于個人終端或小規(guī)模的網(wǎng)絡應用。

(3) 安全性有待提高：無線信號是發(fā)散的以廣播形式傳輸信號。理論上說，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，從而造成通訊信息的泄露。

1.3 無線局域網(wǎng)安全現(xiàn)狀

由于無線傳輸?shù)奶攸c限制，不可能做到將發(fā)射數(shù)據(jù)僅僅傳送給一名特定的目標接收，因此數(shù)據(jù)發(fā)射覆蓋范圍內(nèi)的任何無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)，惡意用戶可以繞過防火墻，在視距范圍內(nèi)截獲和非法插入數(shù)據(jù)，數(shù)據(jù)傳輸?shù)陌踩缘玫搅藰O大威脅。我們認為無線網(wǎng)絡安全性包括了兩個方面：①訪問控制：確保敏感數(shù)據(jù)僅由獲得授權(quán)的用戶訪問。②保密性：確保傳送的數(shù)據(jù)只被目標接收人接收。事實上，無線網(wǎng)絡受大量安全風險和安全問題的困擾。

2 無線局域網(wǎng)存在的安全問題

2.1 非授權(quán)服務

移動設備的增加導致更多非授權(quán)用戶接入到了網(wǎng)絡中來享受各種網(wǎng)絡服務，非授權(quán)無線用戶的任意“無線”將加重整個網(wǎng)絡的負擔，產(chǎn)生一系列安全隱患，甚至導致整個網(wǎng)絡的崩潰。我們必須采取一些安全措施和手段來防止和管理非授權(quán)用戶的接入。

2.1.1 基于服務集標識符(Service Set ID,SSID)

SSID相當于一個簡單的口令系統(tǒng)。對多個AP設置不同SSID，無線基站訪問AP時需提供正確SSID，并對資源訪問權(quán)限作出限制。因為網(wǎng)絡內(nèi)任何人都可以通過工具得到這個SSID，所以應該配置AP禁止向外廣播其自有SSID，方能保證通訊的安全。此時無線基站必須主動發(fā)送正確SSID才能與AP進行聯(lián)系。

2.1.2 物理地址(Media Access Controller,MAC)過濾

由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，因此可以在AP中手工配置以物理地址為基礎的訪問控制表，確保只有進行過地址注冊的網(wǎng)卡才能進入網(wǎng)絡，以實現(xiàn)物理地址過濾。AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游。如果用戶數(shù)量增加，隨時手工維護地址列表將會變得非常困難，這將注定此方式只適用于小規(guī)模網(wǎng)絡。理論上，MAC地址完全可以在IP數(shù)據(jù)包中進行偽造以換取AP信任取得通信資格。綜上所述，這種物理地址過濾的方法也是較低安全級別的授權(quán)認證方法。

2.1.3 連線對等保密(Wired Equivalent Protection,WEP)

通過在鏈路層采用RC4對稱加密技術，使得用戶擁有的加密金鑰必須與AP的密鑰相同時才能獲得網(wǎng)絡資源，此方法用于防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。雖然WEP提供了多種密鑰機制，但其本身仍然存在許多缺陷。比如攻擊者通過截獲多組數(shù)據(jù)來進行破解，從而導致整個網(wǎng)絡暴露在安全隱患中。

2.1.4 虛擬專用網(wǎng)絡(Virtual Private Network,VPN)

VPN被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。它利用隧道及加密技術保證專用數(shù)據(jù)網(wǎng)絡的安全性。用戶可以借助 VPN來抵抗無線網(wǎng)絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

2.1.5 端口訪問控制技術(802.1x)

802.1 x是用于無線局域網(wǎng)的一種增強性的網(wǎng)絡安全解決方案。當無線工作站與AP關聯(lián)后，通過802.1x認證以確定是否可以使用AP。通過認證，AP提供邏輯端口允許用戶上網(wǎng)。反之無法接入網(wǎng)絡。

綜合來看，解決未授權(quán)服務最好的辦法就是阻止未被認證用戶的接入。通過加密辦法對認證過程進行加密是進行認證的前提，同時，通過 VPN技術可以有效保護通過電波傳輸?shù)木W(wǎng)絡流量。當然定期對網(wǎng)絡進行測試也能確保網(wǎng)絡設備使用了安全認證機制并確保網(wǎng)絡設備的正常配置和使用。

2.2 服務和性能的限制

有限的無線局域網(wǎng)的傳輸帶寬被AP所有用戶共享。如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果攻擊者發(fā)送廣播流量，就會同時阻塞多個AP；當攻擊者在與無線網(wǎng)絡相同的無線信道內(nèi)發(fā)送信號時，被攻擊的網(wǎng)絡會產(chǎn)生自適應，大大影響無線網(wǎng)絡的傳輸。

我們認為，定位性能故障應從監(jiān)測和發(fā)現(xiàn)問題入手，使用無線網(wǎng)絡測試儀可以有效識別網(wǎng)絡速率、幀類型，幫助進行故障定位，以解決服務和性能的限制。

2.3 地址欺騙和會話攔截

目前802.11無線局域網(wǎng)并不對數(shù)據(jù)幀進行認證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流輕易獲得并解析其中的MAC地址，再利用這些地址進行惡意攻擊。如果攻擊者通過截獲會話幀發(fā)現(xiàn)了AP中存在的認證缺陷，并通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在，繼而裝扮成合法AP進入無線局域網(wǎng)，再通過這樣的AP進一步獲取認證身份信息即可順利進入核心網(wǎng)絡，這將給整個網(wǎng)絡帶來沉重的打擊。目前，在沒有采用對802.11 MAC幀進行認證的技術前，通過會話攔截實現(xiàn)的網(wǎng)絡入侵是無法避免的。

一旦攻擊者進入無線局域網(wǎng)，就有辦法通過無線局域網(wǎng)侵入核心網(wǎng)絡。解決此問題的辦法是將無線局域網(wǎng)布置到核心網(wǎng)絡的安全外殼之外，這樣，即使無線局域網(wǎng)被攻破，利用各種安全手段，核心網(wǎng)絡仍然能夠保證其安全性。

2.4 非法入侵、非法AP、流量分析與流量偵聽

無線局域網(wǎng)易于訪問和配置簡單的特性，使得非法入侵和非法AP實現(xiàn)起來非常容易，同時攻擊者可以采用被動方式監(jiān)聽網(wǎng)絡流量以截獲未加密網(wǎng)絡流量。此時我們需要通過加強網(wǎng)絡訪問控制、定期進行站點審查和采用可靠協(xié)議進行數(shù)據(jù)加密等手段來解決問題。

3 總結(jié)

無線網(wǎng)絡在受到越來越多用戶認可的同時，其在應用過程中暴露出來的安全問題也倍受人們關注。本文通過分析無線局域網(wǎng)中的各種安全隱患，給出了相應安全技術對策，這對選擇合適的無線局域網(wǎng)安全技術提供了參考依據(jù)。但是世界上沒有絕對安全的技術，若想在使用網(wǎng)絡時重要信息不被竊取，除了養(yǎng)成良好的網(wǎng)絡使用習慣外，還需要依靠安全技術的發(fā)展和完善來保證無線網(wǎng)絡的正常安全運行。

[1] 李一川,高恒聚,王亦飛,樊夢.無線網(wǎng)絡的技術綜述[J].科技信息.2011.

[2] 陳云龍.淺析無線局域網(wǎng)的安全問題及措施[J].信息與電腦(理論版).2010.

[3] 謝庭勝.淺析無線局域網(wǎng)安全技術[J].電腦學習.2010.

[4] 田永民.基于無線網(wǎng)絡WLAN安全機制分析[J].數(shù)字技術與應用.2011.

[5] http://info.10010.com/profile/xwdt/ztbd/file251.html.

[6] http://security.zdnet.com.cn/files/klist-125-258879-1.htm.