現(xiàn)在，無(wú)線局域網(wǎng)已經(jīng)形成了主流趨勢(shì)，各類(lèi)公司都想把有線LAN和無(wú)線LAN進(jìn)行集成，我們學(xué)校就是這種情況，作為網(wǎng)絡(luò)管理人員都希望無(wú)線能夠提供和有線一樣的安全性，但無(wú)線網(wǎng)絡(luò)確實(shí)存在很多問(wèn)題，最近我們學(xué)校的無(wú)線局域網(wǎng)就基本處于癱瘓狀態(tài)，大部分機(jī)器會(huì)瞬間掉線或大面積的斷網(wǎng)，不停的提示受到ARP攻擊，看癥狀應(yīng)該是ARP欺騙在作怪，但奇怪的是有線網(wǎng)絡(luò)很正常，只在2號(hào)樓使用無(wú)線網(wǎng)絡(luò)的時(shí)候會(huì)出現(xiàn)問(wèn)題。在不斷的排查解決問(wèn)題的過(guò)程中，我翻閱了很多資料，對(duì)無(wú)線局域網(wǎng)的安全及防范有了些心得體會(huì)。

一、無(wú)線局域網(wǎng)的安全機(jī)制

無(wú)線局域網(wǎng)的安全性，主要包括訪問(wèn)控制和加密。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶(hù)訪問(wèn)，加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶(hù)接收和理解。IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線局域網(wǎng)的訪問(wèn)控制和加密:系統(tǒng)ID(SSID)和有線對(duì)等加密(WEP)。

1.認(rèn)證機(jī)制

當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過(guò)認(rèn)證。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一是開(kāi)放系統(tǒng)認(rèn)證，二是共享密鑰認(rèn)證。

認(rèn)證使用的服務(wù)組標(biāo)識(shí)符提供一個(gè)最底層的接入控制。一個(gè)SSID是一個(gè)無(wú)線局域網(wǎng)子系統(tǒng)內(nèi)通用的網(wǎng)絡(luò)名稱(chēng)，它服務(wù)于該子系統(tǒng)內(nèi)的邏輯段。因?yàn)镾SID本身沒(méi)有安全性，所以用SSID作為接入控制是不夠安全的。接入點(diǎn)作為無(wú)線局域網(wǎng)用戶(hù)的連接設(shè)備，通常廣播SSID。

2.WEP加密

WEP即有線對(duì)等保密，它提供了兩種用于無(wú)線局域網(wǎng)的WEP加密方案:第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享-包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶(hù)適配器。當(dāng)用戶(hù)得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶(hù)安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶(hù)適配器建立一個(gè)與其他用戶(hù)聯(lián)系的密鑰表。比前種方案安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。WEP標(biāo)準(zhǔn)是在無(wú)線網(wǎng)的早期創(chuàng)建的，它的主要問(wèn)題是設(shè)計(jì)上的缺陷:陳舊低效!但仍是現(xiàn)在許多個(gè)人甚至公司保障安全的常用的方法。

二、影響無(wú)線網(wǎng)絡(luò)安全的因素

1.MAC地址和WEP密鑰的安全缺陷

標(biāo)準(zhǔn)的WEP支持每個(gè)信息包加密功能，并不支持對(duì)每個(gè)信息包的驗(yàn)證。黑客可從對(duì)已知數(shù)據(jù)包的響應(yīng)來(lái)重構(gòu)信息流，發(fā)送欺騙信息包。彌補(bǔ)這個(gè)安全弱點(diǎn)的途徑之一是定期更換WEP密鑰。

2.來(lái)自外部的非法訪問(wèn)和ARP攻擊

眾所周知ARP攻擊不是病毒，卻勝似病毒。一些非法入侵者只要了解了ARP的工作原理，就能利用各種手段發(fā)動(dòng)ARP攻擊。

3.虛假接入點(diǎn)

無(wú)線網(wǎng)絡(luò)經(jīng)常會(huì)出現(xiàn)無(wú)法連接的問(wèn)題，這時(shí)我們需要檢測(cè)網(wǎng)絡(luò)中是否存在虛假接入點(diǎn)。簡(jiǎn)單的檢測(cè)方法是在你的有線網(wǎng)絡(luò)中的一臺(tái)電腦中打開(kāi)命令行模式，然后ping無(wú)線接入點(diǎn)的IP地址，如果沒(méi)有響應(yīng)，可能是網(wǎng)絡(luò)中存在虛假接入點(diǎn)。

三、無(wú)線局域網(wǎng)的安全解決方案

文章開(kāi)頭提到的我校的無(wú)線網(wǎng)絡(luò)問(wèn)題是通過(guò)此種方式解決的:

1.確定范圍

在大型的無(wú)線網(wǎng)絡(luò)環(huán)境中，如果僅部分用戶(hù)無(wú)法連接網(wǎng)絡(luò)很有可能是某個(gè)接入點(diǎn)出現(xiàn)了故障。通過(guò)察看出問(wèn)題的客戶(hù)端的物理位置，能大概判斷是哪個(gè)接入點(diǎn)出現(xiàn)問(wèn)題。

2.檢查接入點(diǎn)的可連接性

要檢測(cè)無(wú)線接入點(diǎn)的連接，可以ping它的IP，如果沒(méi)有響應(yīng)，可能是無(wú)線連接出了問(wèn)題。

3.軟件防護(hù)

使用ARP防護(hù)軟件，如360安全衛(wèi)士。

當(dāng)然每個(gè)無(wú)線局域網(wǎng)的結(jié)構(gòu)和配置不同，問(wèn)題也不同，又由于無(wú)線網(wǎng)絡(luò)通過(guò)空氣傳播的不確定性，還有很多問(wèn)題解決不了，但通過(guò)實(shí)踐總結(jié)對(duì)無(wú)線路由器的安全設(shè)置，一般有以下幾種方案:

1.開(kāi)啟IP地址過(guò)濾，限制使用MAC地址

通過(guò)開(kāi)啟此功能允許特定的無(wú)線網(wǎng)絡(luò)設(shè)備與本地?zé)o線路由器連接，只有IP地址在列表中的用戶(hù)才能正常訪問(wèn)無(wú)線網(wǎng)絡(luò)，其他的就無(wú)法連入網(wǎng)絡(luò)了。

2.禁用接入點(diǎn)的DHCP服務(wù)

無(wú)線接入點(diǎn)都自帶DHCP功能。一般這些DHCP服務(wù)器都會(huì)將192.168.0.x這個(gè)地址段分配給無(wú)線客戶(hù)端。而且DHCP接入點(diǎn)也不接受別的IP地址的連接請(qǐng)求。這意味著具有靜態(tài)IP地址或從其他DHCP獲取IP的客戶(hù)端可能無(wú)法正常連接，要解決這個(gè)問(wèn)題，應(yīng)該在每個(gè)接入點(diǎn)上設(shè)定不同的IP地址分配范圍，以防止地址重疊。

3.拒絕SSID對(duì)外廣播

同一生產(chǎn)商推出的無(wú)線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來(lái)連接無(wú)線網(wǎng)絡(luò)，就極易建立起一條非法的連接。因此，最好能夠?qū)SID命名為一些較有個(gè)性的名字，或者干脆“禁止SSID廣播”。

4.VPN技術(shù)

VPN即“虛擬專(zhuān)用網(wǎng)絡(luò)”。它從90年代以來(lái)一直被作為一種點(diǎn)到點(diǎn)的安全方式。它就好比是架設(shè)了一條專(zhuān)線一樣，但并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線路。

如下圖所示:要在在遠(yuǎn)程辦公室的出口設(shè)備上配置Easy VPN Remote端;網(wǎng)絡(luò)能夠安全互訪，可以配置總部到分部的VPN。

四、總結(jié)

網(wǎng)絡(luò)的開(kāi)放性決定了它的復(fù)雜性和多樣性，而新興的無(wú)線網(wǎng)絡(luò)在給我們帶來(lái)更多便捷的同時(shí)也帶來(lái)了很多新的網(wǎng)絡(luò)安全問(wèn)題，因此無(wú)線網(wǎng)絡(luò)安全技術(shù)已成為21世紀(jì)信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)ヌ剿?

作者單位:江蘇省前黃高中國(guó)際分校信息技術(shù)組