林鍇 國家地質(zhì)實(shí)驗(yàn)測(cè)試中心；北方工業(yè)大學(xué)

淺談無線網(wǎng)絡(luò)的安全解決方案

林鍇 國家地質(zhì)實(shí)驗(yàn)測(cè)試中心；北方工業(yè)大學(xué)

“Wi-Fi”是Wireless Fidelity的縮寫，原意是“無線保真”，現(xiàn)在被大多數(shù)人看做是美國電氣與電子工程師學(xué)會(huì)IEEE 802.11 a/b/n 無線局域網(wǎng)的代名詞。最近幾年，隨著技術(shù)的改進(jìn)以及生產(chǎn)成本的降低，無線局域網(wǎng)已經(jīng)逐漸走進(jìn)了人們的生活中，現(xiàn)在市面上在銷售的筆記本幾乎所有都內(nèi)置了無線網(wǎng)卡，多數(shù)人都能享受到無線網(wǎng)絡(luò)帶來的便捷，但是遺憾的是，多數(shù)人對(duì)于Wi-Fi的安全意識(shí)仍然停留在有線網(wǎng)絡(luò)的時(shí)代，因?yàn)樗麄兒雎粤艘粋€(gè)有線到無線最重要的變化——無線網(wǎng)絡(luò)是開放的，它不像有線網(wǎng)一樣擁有網(wǎng)線提供物理保護(hù)，我們的所有數(shù)據(jù)都通過廣播的形式暴露在空氣中。

1 、無線網(wǎng)絡(luò)的加密方式

1.1 WEP加密

既然Wi-Fi的數(shù)據(jù)是通過電磁波傳播，暴露在空氣中的，就一定要考慮到數(shù)據(jù)的安全問題，為了實(shí)現(xiàn)與有線網(wǎng)絡(luò)等效的數(shù)據(jù)傳輸，在1999年通過的IEEE 802.11標(biāo)準(zhǔn)中推出了一種叫做WEP（Wired Equivalent Privacy中文意思是有線等效加密）的加密方式。這種方法在當(dāng)時(shí)看來比較成熟，收發(fā)兩端通過RC4算法將數(shù)據(jù)加解密，而且具有校驗(yàn)過程來保證數(shù)據(jù)完整，確保數(shù)據(jù)傳播的安全性。

但是WEP的安全性卻受到了不斷的挑戰(zhàn)，在2001年時(shí)，Scott Fluhrer、Itsik Mantin和Adi Shamir就撰文指出了WEP加密的缺陷性，只要搜集到足夠多的數(shù)據(jù)包就可以計(jì)算出密碼。在同一年就出現(xiàn)了一個(gè)名為“Airsnort”的軟件，該軟件可以自動(dòng)截取并且計(jì)算WEP密碼，WEP的安全問題開始逐漸顯現(xiàn)。國內(nèi)的大多數(shù)用戶開始接觸破解WEP的工具是2004年發(fā)布的“Aircrack”（在WINDOWS下的版本為“WinAirCrackPack”），有了這些工具和符合軟件需求的無線網(wǎng)卡，人人都能成為“無線黑客”

1.2 WPA加密

考慮到WEP的安全問題，IEEE在2004年通過的IEEE 802.11i標(biāo)準(zhǔn)中，推出了WPA（Wi-Fi Protected Acess，Wi-Fi安全存?。┘用芊绞?，WPA仍然使用RC4 算法， 所以支持WEP的已有無線設(shè)備可以在只做軟件升級(jí)的情況下就支持它，但同時(shí)WPA又考慮了WEP的不足，使用了比WEP長(zhǎng)的IV、密鑰和動(dòng)態(tài)變化的密鑰機(jī)制，所以WPA的安全性較之Wep 加密大大提高。加上Wi-Fi 聯(lián)盟的影響力，使得WPA在推出之后得到了廣泛的應(yīng)用。

不過在2009年11月，研究員ErikTews在東京的PacSec大會(huì)上展示了如何將WPA加密方式中TKIP算法逆向還原出明文。根據(jù)Tews/Beck的方法，攻擊者嗅探數(shù)據(jù)包，略作修改影響校檢，校檢的結(jié)果會(huì)寄回接入點(diǎn)，允許攻擊者解密個(gè)別的數(shù)據(jù)包。不過這種攻擊只對(duì)短數(shù)據(jù)包有效，長(zhǎng)數(shù)據(jù)包仍然很安全。

WEP與WPA加密都被破解，這樣就使得目前無線通訊只能夠通過自己建立Radius驗(yàn)證服務(wù)器或使用WPA2來提高通訊安全了。不過WPA2并不是所有設(shè)備都支持的。

1.3 WPA2加密

使用AES算法，能把原來的問題解決得更好，是無線局域網(wǎng)當(dāng)前的最高安全標(biāo)準(zhǔn)，由于AES對(duì)硬件要求比較高，因此WPA2 無法利用現(xiàn)有設(shè)備的基礎(chǔ)進(jìn)行升級(jí)，只能用于通過Wi-Fi 認(rèn)證的WPA2 設(shè)備。

表1 WEP、WPA和WPA2三種加密方式的比較

2 、無線網(wǎng)絡(luò)的誤區(qū)與設(shè)置建議

2.1 安全誤區(qū)一：不廣播SSID即隱身

很多人覺得如果關(guān)閉SSID的發(fā)送，蹭網(wǎng)者就不能得知區(qū)域中存在的局域網(wǎng)，所以就能高枕無憂的使用WEP加密甚至不加密，以得到更高的傳輸速度。但是這樣存在一個(gè)明顯的漏洞，如果攻擊者使用“Deauth攻擊”使無線路由器與用戶之間的連接斷開，當(dāng)客戶端嘗試重新連接路由器時(shí)，攻擊者就會(huì)截取到數(shù)據(jù)包中包括的SSID標(biāo)識(shí)，使“不廣播SSID”變得毫無意義。除此之外，“抓包分析”“暴力破解”等方式也可以輕易取得SSID，所以認(rèn)為只要關(guān)閉SSID的發(fā)送就能防止蹭網(wǎng)、防止入侵是毫無根據(jù)的。

圖1 關(guān)閉SSID廣播

2.2 安全誤區(qū)二：綁定MAC地址即安全

很多無線路由器都內(nèi)置綁定MAC地址的功能，這個(gè)功能可以允許或者禁止指定MAC地址的網(wǎng)卡訪問無線路由器，當(dāng)設(shè)定好已知設(shè)備的MAC地址后選擇了“列表中生效規(guī)則之外的MAC地址訪問本無線網(wǎng)絡(luò)”，那么即使他人獲得了WEP/WPA密碼，也無法訪問到無線路由，而且這種方法不僅對(duì)無線端起作用，對(duì)有線端同樣生效。

圖2 MAC地址過濾

這種方法看起來天衣無縫，但是卻無法防止“MAC地址仿冒”的破解方法，破解者可以截獲數(shù)據(jù)包，從數(shù)據(jù)包中分析出MAC地址后更改自身的MAC地址，之后利用合法的身份連接無線路由，這樣就繞過了MAC地址過濾的排查，打到了入侵的目的。

3 、安全解決方案

目前相對(duì)安全的設(shè)置方案，就是使用復(fù)雜密碼的“WPA2-AES”加密方式，并盡量開啟“MAC地址過濾”。另外一個(gè)很重要的就是，用戶一定要為無線路由器的管理賬號(hào)設(shè)置復(fù)雜的密碼，并且更改用戶名，默認(rèn)的“admin”帳戶最好刪除，換為自己建立的賬戶。

如果想要擺脫復(fù)雜的設(shè)置，也可以在資金允許的條件下購買帶有“WPS”功能的無線路由器。WPS（Wi-Fi Protected Setup，Wi-Fi保護(hù)設(shè)置）可以簡(jiǎn)化無線網(wǎng)絡(luò)的安全加密設(shè)置，可以自動(dòng)設(shè)定網(wǎng)絡(luò)名SSID、配置WPA2加密方式和密碼，用戶幾乎不需過多干涉。

圖3 支持“WPS”功能的無線路由器和無線上網(wǎng)卡上會(huì)有一個(gè)功能鍵

4 、結(jié)束語

盡管各個(gè)無線局域網(wǎng)的情況不盡相同，但是大都面臨相似的網(wǎng)絡(luò)安全環(huán)境，本文主要介紹了3 種常見的網(wǎng)絡(luò)加密協(xié)議，以及它們各自的優(yōu)缺點(diǎn)，并相應(yīng)的提出了對(duì)于應(yīng)對(duì)無線網(wǎng)絡(luò)安全問題的解決機(jī)制，為無線局域網(wǎng)的安全提供了理想的建議。

[1]馮錫平, 劉元安.MIMO-OFDM 技術(shù)與IEEE802.11n 標(biāo)準(zhǔn)[J].現(xiàn)代電信科技.2005(03):22-24.

[2]馬建峰, 吳振強(qiáng).無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社.2008.57-77.

[3]沈芳陽.基于IEEE 802.11 系列標(biāo)準(zhǔn)的無線局域網(wǎng)安全性研究[D].廣東工業(yè)大學(xué).2004.103-112.

[4]姜瑋.無線網(wǎng)絡(luò)安全防范技術(shù)比較.網(wǎng)絡(luò)通訊及安全.2009.10,

842 6-8427

10.3969/j.issn.1001-8972.2010.20.031