郭 力

(廣東省理工職業(yè)技術(shù)學(xué)校,廣東@廣州@510500)

摘要:無(wú)線局域網(wǎng)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶(hù)的自由,可提供無(wú)線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時(shí)帶來(lái)了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。分析了無(wú)線局域網(wǎng)常見(jiàn)的安全問(wèn)題,并提供了相應(yīng)的對(duì)策。

關(guān)鍵詞:無(wú)線;局域網(wǎng);安全;措施

1無(wú)線局域網(wǎng)中常見(jiàn)的安全問(wèn)題

1.12.5GHz方面

目前,用于無(wú)線局域網(wǎng)的IEEE 802.11b以及IEEE 802.11g標(biāo)準(zhǔn)使用的都是2.5GHz的無(wú)線電波進(jìn)行網(wǎng)絡(luò)通信,沒(méi)有使用授權(quán)的限制。而且通常IEEE 802.11b標(biāo)準(zhǔn)的無(wú)線產(chǎn)品覆蓋范圍在100～300米之間,還可以穿透墻壁。所以,任何人都可以通過(guò)一臺(tái)安裝了無(wú)線網(wǎng)卡的電腦在無(wú)線覆蓋范圍內(nèi)進(jìn)行監(jiān)聽(tīng),網(wǎng)絡(luò)數(shù)據(jù)很容易被泄漏,特別是在公司內(nèi)部很容易發(fā)生。

1.2WEP脆弱性

雖然常見(jiàn)的IEEE 802.11b和IEEE 802.11g標(biāo)準(zhǔn)使用了WEP加密,但也是不安全的。因?yàn)?WEP一般采用40位(10個(gè)數(shù)字)的密鑰,這樣采用了WEP加密的無(wú)線網(wǎng)卡和無(wú)線AP之間的連接很容易被破解。更嚴(yán)重的安全隱患在于默認(rèn)情況下通過(guò)Windows XP創(chuàng)建的無(wú)線網(wǎng)絡(luò)連接以及無(wú)線路由器禁用WEP加密。

1.3拒絕服務(wù)攻擊與干擾

在有線局域網(wǎng)中我們可以通過(guò)防火墻阻止DoS(拒絕服務(wù))攻擊,但是攻擊者可以通過(guò)無(wú)線局域網(wǎng)繞過(guò)防火墻,對(duì)公司或其他網(wǎng)絡(luò)實(shí)施攻擊。另外,雖然無(wú)線局域網(wǎng)使用了擴(kuò)頻技術(shù),但是惡意攻擊者還可以通過(guò)干擾器來(lái)進(jìn)行信號(hào)干擾,而且干擾源又不容易被查出來(lái)。

1.4服務(wù)集標(biāo)識(shí)符(SSID)

如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶(hù)自己配置客戶(hù)端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶(hù)。目前有的廠家支持“任何(ANY)”SSID方式,只要無(wú)線工作站在任何AP范圍內(nèi),客戶(hù)端都會(huì)自動(dòng)連接到AP,這將跳過(guò)SSID安全功能。

2無(wú)線局域網(wǎng)安全防范措施

2.1端口訪問(wèn)控制技術(shù)(802.1x)

該技術(shù)也是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站STA與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為STA打開(kāi)這個(gè)邏輯端口,否則不允許用戶(hù)上網(wǎng)。802.1x要求無(wú)線工作站安裝802.1x客戶(hù)端軟件,無(wú)線訪問(wèn)點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶(hù)端,將用戶(hù)的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問(wèn)控制能力之外,還提供基于用戶(hù)的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公共無(wú)線接入解決方案。

2.2加密無(wú)線網(wǎng)絡(luò)

在無(wú)線局域網(wǎng)中,為了保證網(wǎng)絡(luò)連接的安全性,通?？梢圆扇EP加密技術(shù)。目前,該加密技術(shù)一般可以提供64/128位長(zhǎng)度的密鑰機(jī)制,有的產(chǎn)品甚至支持256位的密鑰機(jī)制。要啟用WEP加密功能,首先可以打開(kāi)無(wú)線路由器的“基本設(shè)置”頁(yè)面,默認(rèn)情況WEP是處于禁用狀態(tài)的。接著,在WEP處選擇“開(kāi)啟”選項(xiàng),點(diǎn)擊“WEP密鑰設(shè)置”按鈕,在密鑰設(shè)置頁(yè)面中,可以創(chuàng)建64位或128位的密鑰。例如,我們要?jiǎng)?chuàng)建一個(gè)64位的密鑰,那么可以點(diǎn)擊“創(chuàng)建”按鈕來(lái)創(chuàng)建4個(gè)密鑰,記下這些密鑰,點(diǎn)擊“應(yīng)用”按鈕。

2.3連線對(duì)等保密(WEP)

在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù),用戶(hù)的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。WEP提供了40位(有時(shí)也稱(chēng)為64位)和128位長(zhǎng)度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一個(gè)密鑰,一個(gè)用戶(hù)丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護(hù),擴(kuò)展能力差。目前為了提高安全性,建議采用128位加密鑰匙。

2.4綜合預(yù)防

(1)許多安全問(wèn)題都是由于無(wú)線訪問(wèn)點(diǎn)沒(méi)有處在一個(gè)封閉的環(huán)境中造成的。所以,首先就應(yīng)注意合理放置訪問(wèn)點(diǎn)的天線。以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶(hù)附近,因?yàn)椴Ａo(wú)法阻擋信號(hào)。你最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號(hào)泄露到墻外。(2)將信號(hào)天線問(wèn)題處理好之后,再將其加一層“保護(hù)膜”,即一定要采用無(wú)線加密協(xié)議(WEP)。(3)建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對(duì)無(wú)線網(wǎng)絡(luò)而言,這很有意義。如果采取這項(xiàng)措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無(wú)疑也就增加了難度)。(4)使用訪問(wèn)列表(也稱(chēng)之為訪問(wèn)控制列表)。為了進(jìn)一步保護(hù)你的無(wú)線網(wǎng)絡(luò),建議選用此項(xiàng)特性,但請(qǐng)注意,并不是所有的無(wú)線訪問(wèn)點(diǎn)都支持。因?yàn)榇隧?xiàng)特性可以具體地指定允許哪些機(jī)器連接到訪問(wèn)點(diǎn)。支持這項(xiàng)特性的訪問(wèn)點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議 TFTP,定期下載更新的列表,非常有用。(5)綜合使用無(wú)線和有線策略。無(wú)線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無(wú)線網(wǎng)絡(luò)安全的策略能夠最大限度提高安全水平。