王俠

摘要:無(wú)線局域網(wǎng)是指采用無(wú)線傳輸媒介的局域網(wǎng)。由于無(wú)線局域網(wǎng)（WLAN）采用公共的電磁波作為載體，因此對(duì)越權(quán)存取和竊聽(tīng)的行為也更不容易防范。通過(guò)研究當(dāng)前無(wú)線局域網(wǎng)的各種安全問(wèn)題，提出一些安全措施手段，以此來(lái)提高無(wú)線局域網(wǎng)的安全性。關(guān)鍵詞:無(wú)線局域網(wǎng)；WLAN；安全

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)09-2029-03

Wireless LAN Security Issues and Countermeasures

WANG Xia

（Anhui Vocational College of Press and Publication, Hefei 230601, China）

Abstract: The wireless LAN (WLAN) is the LAN of using the wireless transmission medium. Because of using public electromagnetic waves as the carrier, therefore its not easy to prevent of unauthorized access and wiretapping behavior. Through the study of the current wireless LAN security issues and propose measures of safety in order to improve wireless LAN security.

Key words: Wireless LAN; WLAN;security

目前，無(wú)線局域網(wǎng)的應(yīng)用范圍非常廣泛，如企業(yè)大樓，機(jī)場(chǎng)，咖啡廳等。無(wú)線網(wǎng)絡(luò)不同于有線網(wǎng)絡(luò)，是利用無(wú)線電波在空中傳播，這使得在發(fā)送和接收數(shù)據(jù)時(shí)更容易被竊聽(tīng)。隨著無(wú)線網(wǎng)絡(luò)和各種無(wú)線設(shè)備的發(fā)展，人們?cè)谙硎苤憷耐瑫r(shí)，也要面臨無(wú)線局域網(wǎng)帶來(lái)的安全隱患，所以提高無(wú)線局域網(wǎng)安全性為人們帶來(lái)一個(gè)安全、穩(wěn)定、可靠的無(wú)線網(wǎng)絡(luò)環(huán)境顯得尤為重要。

1無(wú)線局域網(wǎng)簡(jiǎn)介

無(wú)線局域網(wǎng)(WLAN）是無(wú)線通信技術(shù)與局域網(wǎng)技術(shù)相結(jié)合的產(chǎn)物。它利用無(wú)線通信技術(shù)進(jìn)行局域網(wǎng)數(shù)據(jù)的傳輸，取代了有線傳輸介質(zhì)所構(gòu)成的局域網(wǎng)，使用戶能夠隨時(shí)隨地接入局域網(wǎng)并方便的使用局域網(wǎng)中的各種資源。

2無(wú)線局域網(wǎng)存在的安全問(wèn)題

2.1 AP偽裝和非法的AP

無(wú)線局域網(wǎng)有很多特點(diǎn)，易于訪問(wèn)和配置簡(jiǎn)單就是其中典型的特性。因?yàn)镮EEE802.11標(biāo)準(zhǔn)中沒(méi)有強(qiáng)制要求AP的真實(shí)性，所以攻擊者很容易偽裝成AP或是通過(guò)自己購(gòu)買(mǎi)的AP接入網(wǎng)絡(luò)，而不經(jīng)過(guò)授權(quán)來(lái)訪問(wèn)網(wǎng)絡(luò)中的資源，甚至盜取網(wǎng)絡(luò)中數(shù)據(jù)資料。同時(shí)黑客還可以利用侵入的無(wú)線網(wǎng)絡(luò)實(shí)施中間人攻擊，直至整個(gè)無(wú)線局域網(wǎng)的癱瘓。

2.2網(wǎng)絡(luò)竊聽(tīng)

無(wú)線局域網(wǎng)的信息傳遞時(shí)采用無(wú)線電波作為載體，由于無(wú)法將信息之發(fā)送給指定的用戶，所以數(shù)據(jù)通常都是以廣播方式發(fā)送的。攻擊者利用與無(wú)線網(wǎng)絡(luò)設(shè)備相似的設(shè)備，可以截獲無(wú)線信號(hào)并解析出數(shù)據(jù)。而且這種攻擊行為計(jì)劃不可能被監(jiān)測(cè)到。所以很多信息都被加密，但是攻擊者仍可以收集加密信息用于以后的分析，很多加密算法很容易在幾分鐘內(nèi)被破解。這樣，攻擊者就可以竊聽(tīng)到網(wǎng)絡(luò)中的敏感數(shù)據(jù)。

2.3非授權(quán)用戶的接入

許多無(wú)線局域網(wǎng)都使用SSID和MAC地址過(guò)濾作為安全的基本形式，在每個(gè)AP內(nèi)都會(huì)設(shè)置唯一的SSID，當(dāng)用戶端接入時(shí)，變驗(yàn)證其SSID與自己服務(wù)區(qū)域認(rèn)證的ID是否匹配，以及驗(yàn)證其MAC地址是否在AP中存有的MAC列表中。但是SSID和MAC地址過(guò)濾都是不安全的，無(wú)線監(jiān)聽(tīng)很容易地找到合法的SSID和MAC地址。

2.4 WEP加密機(jī)制的缺陷

WEP認(rèn)證采用共享密鑰認(rèn)證，通過(guò)客戶和計(jì)入點(diǎn)之間命令和回應(yīng)信息的交換。WEP使用RC4流密碼進(jìn)行加密。但WEP也存在缺少密鑰之力、完整性校驗(yàn)算法不合適、RC4算法存在弱點(diǎn)等嚴(yán)重安全缺陷。比如黑客程序Airsnort就能利用WEP的漏洞，攻擊網(wǎng)絡(luò)和竊取用戶數(shù)據(jù)。

2.5拒絕服務(wù)攻擊

如果非法業(yè)務(wù)流覆蓋了所有的頻段，合法業(yè)務(wù)流就不能到達(dá)用戶或接入點(diǎn)，這樣，如果有適當(dāng)?shù)脑O(shè)備和工具的話，攻擊者對(duì)接入點(diǎn)進(jìn)行泛洪攻擊或是對(duì)某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不斷地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能正常工作。另外，其他工作在此頻段上的設(shè)備也會(huì)擾亂使用這個(gè)頻率的無(wú)線網(wǎng)絡(luò)?？傊?，不管是故意的還是偶然的，拒絕服務(wù)攻擊都會(huì)使網(wǎng)絡(luò)徹底崩潰。

3無(wú)線局域網(wǎng)安全對(duì)策

3.1使用身份驗(yàn)證與授權(quán)技術(shù)

當(dāng)非法用戶掌握了網(wǎng)絡(luò)的SSID、MAC地址以及WEP密鑰等信息后，就可以嘗試建立與AP的關(guān)聯(lián)。如果沒(méi)有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么無(wú)線網(wǎng)絡(luò)將是完全開(kāi)放的。采用身份驗(yàn)證和授權(quán)機(jī)制，從而可以有效地控制非法用戶的權(quán)限。所以使用身份驗(yàn)證和授權(quán)機(jī)制可以讓攻擊者計(jì)劃無(wú)法獲得訪問(wèn)權(quán)限。

3.2運(yùn)用VPN技術(shù)

虛擬私有網(wǎng)絡(luò)（virtual Private Network）技術(shù)是一種成熟并且已經(jīng)廣泛使用的網(wǎng)絡(luò)安全技術(shù)。VPN技術(shù)具有用戶身份認(rèn)證，數(shù)據(jù)傳輸加密，數(shù)據(jù)有效認(rèn)證等功能，將該技術(shù)運(yùn)用到無(wú)線網(wǎng)絡(luò)中，能較大幅度的提高無(wú)線網(wǎng)絡(luò)的安全性，并且有效的防止無(wú)線局域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?、有效性和可靠性。VPN采用隧道加密技術(shù)，使得數(shù)據(jù)在輸出過(guò)程中一直保持加密狀態(tài)。由于無(wú)線網(wǎng)絡(luò)自身特定，使得傳輸數(shù)據(jù)的安全性很難保證，而VPN技術(shù)有效的解決的數(shù)據(jù)在無(wú)線網(wǎng)絡(luò)中傳輸?shù)陌踩浴：侠淼睦肰PN技術(shù)能有效的提高無(wú)線網(wǎng)絡(luò)的安全性。

3.3 SSID訪問(wèn)控制

用戶對(duì)多個(gè)無(wú)線接入點(diǎn)AP設(shè)置不同的SSID，將出廠時(shí)缺省的SSID更換為自定義的SSID，并禁用SSID廣播，起到隱身的作用，從發(fā)防止非法接入。如圖1。

圖1

圖2

3.4使用更加安全的加密算法

針對(duì)現(xiàn)在使用卡王類(lèi)具有密碼破解能力的專(zhuān)業(yè)網(wǎng)卡，要想提高無(wú)線網(wǎng)絡(luò)的密碼安全性，可以通過(guò)使用更加安全的加密算法。現(xiàn)階段主要使用有WEP、WPA和WPA2這三種加密方式。其中WEP是一種比較早期的加密算法，安全性不高。而WPA和WPA2是在WEP的基礎(chǔ)上產(chǎn)生的，安全性和可靠性都要比WEP強(qiáng)。其中WPA2是經(jīng)過(guò)WiFi聯(lián)盟驗(yàn)證的，并且是IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，應(yīng)該是無(wú)線局域網(wǎng)中首選的加密算法。當(dāng)然部分路由器廠商也在進(jìn)行加密算法的研究，來(lái)提高自身產(chǎn)品的安全性。他們也設(shè)計(jì)并提供了一些專(zhuān)門(mén)的加密算法，這些加密算法也能提高網(wǎng)絡(luò)的安全性，但使用范圍較小。如圖2。

3.5利用入侵監(jiān)測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是一種常用的網(wǎng)絡(luò)安全手段，利用入侵監(jiān)測(cè)系統(tǒng)，使網(wǎng)絡(luò)管理員能夠很容易地找出有問(wèn)題的AP，驗(yàn)明這些AP是否安全。從而找到非法AP的位置，無(wú)線入侵監(jiān)測(cè)軟件不但能找出非法入侵者，還能增強(qiáng)策略。使網(wǎng)絡(luò)更安全、更可靠。

3.6使用防火墻

一般無(wú)線路由器上都有防火墻功能，但使用者卻很少，其實(shí)開(kāi)啟防火墻功能是提高網(wǎng)絡(luò)安全非常有效的一種手段。在無(wú)線局域網(wǎng)環(huán)境中，一般都會(huì)配置一臺(tái)無(wú)線路由器，通過(guò)在路由器中設(shè)置相關(guān)參數(shù)，打開(kāi)防火墻功能。同時(shí)通過(guò)有效的防火墻設(shè)置，還可以避免拒絕服務(wù)等惡意的網(wǎng)絡(luò)攻擊。如圖3。

圖3

圖4

3.7使用靜態(tài)IP

大部分無(wú)線局域網(wǎng)用戶比較習(xí)慣使用DHCP服務(wù)來(lái)為網(wǎng)絡(luò)中的客戶端動(dòng)態(tài)分配IP，使得整個(gè)網(wǎng)絡(luò)配置和使用非常方便，簡(jiǎn)單方便的同時(shí)也帶來(lái)一些安全隱患。由于動(dòng)態(tài)分配IP地址，黑客可以很容易的了解網(wǎng)絡(luò)的地址分配情況和路由信息，方便了黑客對(duì)無(wú)線網(wǎng)絡(luò)的攻擊。而采用固定IP地址分配，黑客就需要花費(fèi)大量時(shí)間來(lái)了解網(wǎng)絡(luò)的結(jié)構(gòu)，這樣就為網(wǎng)絡(luò)安全人員帶來(lái)足夠的時(shí)間跟蹤黑客攻擊了。所以在網(wǎng)絡(luò)成員或用戶相對(duì)固定的情況下，考慮到無(wú)線局域網(wǎng)的安全性，建議為無(wú)線局域網(wǎng)用戶設(shè)備手動(dòng)分配固定的IP地址。還可以通過(guò)建立IP地址過(guò)濾規(guī)則，對(duì)于不符合要求的IP的地址拒絕接入無(wú)線網(wǎng)絡(luò)。如圖4。

3.8 MAC地址過(guò)濾

MAC地址是網(wǎng)絡(luò)中的硬件地址，每一塊網(wǎng)卡擁有惟一的MAC地址，無(wú)線網(wǎng)卡也是一樣。我們可以在AP上建立一張“MAC地址表”，只有合法的無(wú)線網(wǎng)卡MAC地址可以加入到列表中。如果有一個(gè)網(wǎng)卡需要連接AP，AP首先查找MAC地址表，如果包含該網(wǎng)卡信息則允許其連接無(wú)線網(wǎng)絡(luò)，否則拒絕該網(wǎng)卡連接無(wú)線網(wǎng)絡(luò)。如圖3。通過(guò)MAC地址過(guò)濾技術(shù)可以有效的防止非法網(wǎng)卡接入的無(wú)線網(wǎng)絡(luò)中，但是與此同時(shí)也帶來(lái)一定的麻煩。比如網(wǎng)卡的更換，就需要將新無(wú)線網(wǎng)卡地址加入的MAC地址表中，還有如果黑客故意偽造合法MAC地址也可能導(dǎo)致MAC地址過(guò)濾失效。

除了上面提到的安全策略以外，當(dāng)然還有一些其他的方法來(lái)提高無(wú)線局域網(wǎng)的安全性，比如屏蔽路由器等設(shè)備的WEB管理方式，設(shè)置健壯的管理員賬戶和密碼等。

4結(jié)束語(yǔ)

無(wú)線網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試，以確保網(wǎng)絡(luò)設(shè)備使用了更新更可靠的安全認(rèn)證機(jī)制?？傊灰Y(jié)合企業(yè)實(shí)際，合理組合安全機(jī)制，用戶就可以回避無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)而享受到無(wú)線接入的便捷。

參考文獻(xiàn)：

[1]馬建峰,朱建明.無(wú)線局域網(wǎng)安全——方法與技術(shù)[M].北京：機(jī)械工業(yè)出版社,2007.

[2]郭淵博.無(wú)線局域網(wǎng)安全：設(shè)計(jì)與實(shí)現(xiàn)[M].北京：國(guó)防工業(yè)出版社,2010.

[3]渠瑜.無(wú)線局域網(wǎng)入侵檢測(cè)技術(shù)研究[M].北京：中國(guó)人民解放軍信息工程大學(xué),2005.