摘 要：探討現(xiàn)行無線局域網(wǎng)面臨的任意侵入、未授權(quán)使用等安全問題，剖析其存在的基本原理，闡述了無線局域網(wǎng)安全國際標準，并基于此深入分析WEP的認證和加密、禁用DHCP服務(wù)、物理地址(MAC)過濾、采用身份驗證和授權(quán)、應(yīng)用無線局域網(wǎng)的入侵監(jiān)測系統(tǒng)、應(yīng)用VPN技術(shù)等安全措施的原理和設(shè)置方法，最后提出選擇各種措施的基本原則，為安全設(shè)置提供了參照標準。

關(guān)鍵詞：無線局域網(wǎng)絡(luò)； 安全設(shè)置； 優(yōu)化； WEP加密； 虛擬專用網(wǎng)

中圖分類號：

TN915.08-34

文獻標識碼：A

文章編號：1004-373X(2011)19

-0108

-03

Optimization of Security Setting of Wireless LAN

MENG Xiang-feng

(Weinan Teachers University， Weinan 714000， China)

Abstract： The safety problems of arbitrary invasion and unauthorized use from the current WLAN are discussed. The international standard for the wireless LAN′s safety is elaborated， the principles and setting methods of security measures such as authentication and encryption of WEP， forbiddance of DHCP service， physical address′ (MAC) filter， authentication and authorization， application of wireless local area network intrusion monitoring system and application of VPN technology. Finally， the basic principles of selecting various measures are proposed， and the reference standard is provided for security settings.

Keywords： wireless LAN; security setting; optimization; WEP encryption; virtual private network

基金項目：陜西省自然科學基金無線多媒體傳感器網(wǎng)絡(luò)多節(jié)點協(xié)同圖像處理關(guān)鍵技術(shù)研究(2011JM8020)

0 引 言

近年來，無線局域網(wǎng)以其接入速率高，組網(wǎng)靈活等諸多優(yōu)點發(fā)展迅猛。但由于無線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的，它具有更大的開放性，因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。無線網(wǎng)絡(luò)的這種電磁輻射的傳輸方式是無線網(wǎng)絡(luò)安全保密問題尤為突出的主要原因，也成為制約WLAN 快速發(fā)展的主要問題。

1 無線局域網(wǎng)安全分析

網(wǎng)絡(luò)的安全問題是需要在建立時就應(yīng)該進行考慮，無線局域網(wǎng)絡(luò)也是如此。以下對無線局域網(wǎng)所面臨的風險進行分析。

(1) 容易侵入。為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)就必須發(fā)送有特定參數(shù)的信標幀，這樣為攻擊者的攻擊提供了必要的網(wǎng)絡(luò)信息。

(2) 未經(jīng)授權(quán)使用服務(wù)。開放式訪問方式是無線局域網(wǎng)的主要訪問方式，沒有經(jīng)過授權(quán)就使用網(wǎng)絡(luò)資源不僅會使帶寬費大大增加，而且還會導致法律糾紛。

(3) 非法的AP。無線局域網(wǎng)有很多特定，易于訪問和配置簡單就是其中典型的特性，任何人的計算機都可以通過自己購買的AP連入網(wǎng)絡(luò)，而不經(jīng)過授權(quán)來實現(xiàn)。

(4) 地址欺騙和會話攔截。攻擊者可以通過AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在然后裝扮成AP進入網(wǎng)絡(luò)， 通過截獲會話幀發(fā)現(xiàn)AP中存在的認證缺陷，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡(luò)。

(5) 拒絕服務(wù)攻擊。一種方式是設(shè)置一個信號發(fā)生器，產(chǎn)生足夠的射頻干擾信號，使得用戶的無線網(wǎng)卡無法正常地工作。另一種方式是偽裝 802.11 信息幀，AP 收到 CTS(Clear To Send) 幀后，只允許 CTS 幀的發(fā)送者進行傳輸，而使其他用戶連接處于等待狀態(tài)，只要黑客不斷發(fā)送CTS 信號幀，其他用戶將一直處于等待狀態(tài)。

2 無線局域網(wǎng)安全標準

在國際上，為了確保不同廠家生產(chǎn)設(shè)備之間的互操性，ITU-R，IEEE和Wi-Fi聯(lián)盟3個組織制定了WLAN標準。常見的WLAN標準有IEEE 802.11a，IEEE 802.11b，IEEE 802.11g，IEEE 802.11i和IEEE 802.11n等。WAPI是無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)，是一種無線局域網(wǎng)安全協(xié)議，同時也是中國無線局域網(wǎng)強制性標準中的安全機制。

3 無線局域網(wǎng)安全問題的處理措施

3.1 WEP的認證和加密

目前，多數(shù)廠商正在研制并推出基于網(wǎng)絡(luò)層的WLAN安全解決方案，為克服IEEE 802.11開放認證的不足，利用RADIUS實現(xiàn)無線局域網(wǎng)的用戶認證。

(1) 認證機制的改進方案。采用基于RADIUS(遠程撥號用戶認證服務(wù))服務(wù)器/802.lx EAP協(xié)議(基于局域網(wǎng)的擴展認證協(xié)議)框架的第三方認證。認證方先將用戶的接入或訪問請求轉(zhuǎn)送授權(quán)方，然后由授權(quán)方確定或授權(quán)認證方是否容許STA接人；

(2) 加密算法的改進方案。數(shù)據(jù)加密采用基于CTR/CBC-MAC模式的高級算法加密AES。AES分組加密算法是美國的標準加密算法，其抗攻擊性已得到驗證和檢驗。采用CTR/CBC-MAC模式的AES分組加密算法可以避免IEEE 802.11標準中的WEP加密算法的脆弱性，提高了數(shù)據(jù)加密的安全等級。如圖1為AES算法加密流程。

圖1 AES算法加密流程

3.2 禁用DHCP服務(wù)

鑒于用DHCP服務(wù)來動態(tài)分配IP地址的方式配置無線網(wǎng)絡(luò)較簡單，因此被許多無線網(wǎng)絡(luò)用戶采用，這就為無線網(wǎng)絡(luò)帶來了安全隱患。因無線網(wǎng)絡(luò)入侵者可以很容易的從DHCP服務(wù)獲得一個合法的IP地址。當DHCP服務(wù)被禁用時，入侵者在嘗試接入無線網(wǎng)絡(luò)時，必須先破譯IP地址、子網(wǎng)掩碼及所需的TCP/IP參數(shù)等，這樣就可以提高破譯無線網(wǎng)絡(luò)的難度。

對于家庭用戶可以為每個終端用戶分配一個固定的IP地址，并在無線路由器上設(shè)定合法終端用戶的IP地址表，這樣就可以有效地防止非法入侵，保護無線網(wǎng)絡(luò)的通信安全。

3.3 物理地址(MAC)過濾

每塊接入網(wǎng)絡(luò)的網(wǎng)卡都有惟一的物理地址，即MAC地址，該地址由48位二進制組成，因此，可以通過為每一個無線局域網(wǎng)手工創(chuàng)建一組允許訪問或者不允許訪問該無線網(wǎng)絡(luò)的MAC地址列表，以實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新，可擴展性差；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認證。

3.4 采用身份驗證和授權(quán)

如果當入侵者通過一定的途徑了解到網(wǎng)絡(luò)的SSID、MAC地址、WEP密鑰等相關(guān)信息時，他們就可據(jù)此嘗試與AP建立聯(lián)系，從而使無線網(wǎng)絡(luò)出現(xiàn)安全隱患，所以在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進行身份驗證將成為必要的安全措施。身份驗證是系統(tǒng)安全的一個基礎(chǔ)方面，它主要是用于確認嘗試登錄域或訪問網(wǎng)絡(luò)資源的每一位用戶的身份。如果開放身份驗證那就意味著只需要向AP提供SSID或正確的WEP密鑰，而此時如果沒有其他的保護或身份驗證機制，那么此時的無線網(wǎng)絡(luò)對每一位已獲知網(wǎng)絡(luò)SSID、MAC地址、WEP密鑰等相關(guān)信息的用戶來說將會處于完全開放的狀態(tài)，后果可想而知。

3.5 應(yīng)用無線局域網(wǎng)的入侵監(jiān)測系統(tǒng)

一般來說，在無線網(wǎng)絡(luò)中，加密和認證等安全技術(shù)能夠減少入侵，但不能排除入侵，因此安裝入侵監(jiān)測系統(tǒng)是有必要的。在無線網(wǎng)絡(luò)領(lǐng)域，對入侵監(jiān)測的研究已經(jīng)廣泛的展開并已經(jīng)設(shè)計出了一些有效的入侵監(jiān)測系統(tǒng)，隨著無線網(wǎng)絡(luò)入侵監(jiān)測技術(shù)迅速發(fā)展，必將進一步提高WLAN的安全性。圖2為含AP模式的分布式的入侵檢測系統(tǒng)框架，以供讀者參考。

圖2 含AP模式的分布式入侵檢測系統(tǒng)框架

3.6 應(yīng)用VPN技術(shù)

應(yīng)用VPN(虛擬專用網(wǎng)絡(luò))技術(shù)是一個較好的增強無線網(wǎng)絡(luò)安全的措施。VPN是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。它雖然不屬于IEEE 802.11標準定義，但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素。VPN采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩Ｄ壳皟煞N具有代表意義的VPN技術(shù)是IPsec VPN和SSLVPN。將VPN安全技術(shù)與其他無線安全技術(shù)結(jié)合起來，是一個較理想的增強WLAN安全的處理措施。

4 無線網(wǎng)絡(luò)安全措施的選擇

應(yīng)用的方便性與安全性之間永遠是一對矛盾。安全性越高，則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中，不能不考慮應(yīng)用的方便性。因此，在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。此外，如果在資金可以保證的前提下，在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御，也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的，因此，最后一道防線就是使用者，只有每一個使用者加強無線網(wǎng)絡(luò)安全意識，才能真正實現(xiàn)無線網(wǎng)絡(luò)的安全。否則，黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2 min內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。

現(xiàn)在，不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時，因為對無線網(wǎng)絡(luò)的安全不夠重視，對局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時，也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作，并完成全部無線網(wǎng)絡(luò)的統(tǒng)一身份驗證，是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接，確保無線網(wǎng)絡(luò)的高安全性，提高企業(yè)的信息化的水平。

5 結(jié) 語

目前，無線技術(shù)發(fā)展越來越普及，無線網(wǎng)絡(luò)安全也應(yīng)隨之不斷改善。只有通過將用戶的認證許可以及數(shù)據(jù)傳輸?shù)募用芄δ艿榷囗棸踩胧┙Y(jié)合起來，才能保障無線網(wǎng)絡(luò)內(nèi)用戶的信息和數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄?，有效地維護無線局域網(wǎng)的安全。WLAN正處于快速發(fā)展時期，而其安全問題更值得關(guān)注。只有在現(xiàn)有的WLAN安全框架基礎(chǔ)上，不斷改進保密措施，使其更加安全可靠，才能推動WLAN的健康發(fā)展。也只有這樣，WLAN才能順利地與其他現(xiàn)有有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)乃至3G網(wǎng)絡(luò)實現(xiàn)互聯(lián)互通，發(fā)揮自身巨大的潛力。

參 考 文 獻

［1］馬建峰，吳振強.無線局域網(wǎng)安全體系結(jié)構(gòu)［M］.北京:高等教育出版社，2008.

［2］安力.無線局域網(wǎng)的分布式入侵檢測方案［J］.科技創(chuàng)新導報，2009(9):28-29.

［3］趙琴.淺談無線網(wǎng)絡(luò)的安全性研究［J］.機械管理開發(fā)，2008，23(1):89-90.

［4］孫利民，李建中.無線局域網(wǎng)絡(luò)［M］.北京：清華大學出版社，2005.

［5］張園，王青松.無線局域網(wǎng)安全技術(shù)綜述［J］.計算機與現(xiàn)代化，2008(11):28-30.

［6］謝希仁.計算機網(wǎng)絡(luò)［M］.北京：電子工業(yè)出版社，2008.

［7］金漢均，仲紅，汪雙頂.VPN虛擬專用網(wǎng)安全實踐教程［M］.北京：清華大學出版社，2010.