摘要：隨著局域網(wǎng)建網(wǎng)地域規(guī)模的不斷擴(kuò)大，應(yīng)用無(wú)線網(wǎng)絡(luò)建設(shè)局域網(wǎng)的技術(shù)也日趨成熟。但是無(wú)線網(wǎng)絡(luò)技術(shù)是應(yīng)用電磁波作為傳輸媒介的，因此安全問(wèn)題就顯得尤為重要。通過(guò)對(duì)危害無(wú)線局域網(wǎng)的一些因素的敘述，提出了一些解決的安全措施，以保證無(wú)線局域網(wǎng)能夠安全、正常地運(yùn)行。

關(guān)鍵詞：WLAN AP WEP SSID 安全措施

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：Ａ文章編號(hào)：１６７３－２９１Ｘ（２０11）26－０290－02

引言

隨著信息技術(shù)的飛速發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高，希望不論在何時(shí)、何地、與何人均能進(jìn)行數(shù)據(jù)、語(yǔ)音、圖像等多種內(nèi)容通信，并希望能實(shí)現(xiàn)主機(jī)在網(wǎng)絡(luò)中自動(dòng)漫游。無(wú)線局域網(wǎng)依靠其無(wú)法比擬的靈活性、可移動(dòng)性和極強(qiáng)的可擴(kuò)充性，使人們真正享受到簡(jiǎn)單、方便、快捷的鏈接。

WLAN是Wireless LAN的簡(jiǎn)稱，即無(wú)線局域網(wǎng)。通俗地說(shuō)，無(wú)線局域網(wǎng)就是在不采用有線傳輸介質(zhì)，只利用無(wú)線電波，提供傳統(tǒng)有線局域網(wǎng)的所有功能。網(wǎng)絡(luò)所需要的基礎(chǔ)設(shè)施不用埋藏在地下，布設(shè)在空中或隱藏在墻里，而網(wǎng)絡(luò)卻能夠隨著用戶的移動(dòng)來(lái)提供服務(wù)。

但當(dāng)用戶對(duì)WLAN的期望日益提高時(shí)，無(wú)線通信設(shè)備是在自由空間中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，無(wú)法通過(guò)對(duì)傳輸媒介的接入控制來(lái)保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取，因而WLAN必須將安全問(wèn)題擺在前所未有的重要位置。

一、WLAN的安全漏洞分析

IEEE802.1x認(rèn)證協(xié)議的發(fā)明者，即Extreme Networks公司總裁VipinJain在接受媒體采訪時(shí)表示：“說(shuō)起無(wú)線網(wǎng)絡(luò)，企業(yè)的IT經(jīng)理人最擔(dān)心兩件事：第一，市面上的標(biāo)準(zhǔn)和安全解決方案太多，使用戶不知聽(tīng)從哪一個(gè)好；第二，無(wú)線媒體是一個(gè)共享的媒介，不會(huì)受限于建筑物實(shí)體界線，因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易，所以如何避免網(wǎng)絡(luò)遭到入侵或攻擊又成為了新的難題?！?/p>

首先應(yīng)該被考慮的問(wèn)題是，由于WLAN是以無(wú)線電波作為上網(wǎng)的傳輸媒介，因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問(wèn)。無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域，具體情況要根據(jù)建筑材料和環(huán)境而定，這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn)，給入侵者有機(jī)可乘，可以在預(yù)期范圍以外的地區(qū)反復(fù)訪問(wèn)WLAN，竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)，在入侵者擁有了網(wǎng)絡(luò)訪問(wèn)權(quán)以后，有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊。

其次，由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)，所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī)，甚至產(chǎn)生比普通網(wǎng)絡(luò)更嚴(yán)重的后果。

進(jìn)一步分析表明，WLAN安全性主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)加密兩方面。訪問(wèn)控制保證敏感數(shù)據(jù)只能由合法的授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證所發(fā)射的數(shù)據(jù)只能被所期望的用戶接受和解密。

因此，WLAN中存在的安全威脅因素主要是：竊聽(tīng)、截取后者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。

二、無(wú)線局域網(wǎng)的安全措施

第一，首先確定安全策略，定位WLAN在整個(gè)工作中的主要用途，涉及傳輸數(shù)據(jù)和人員、設(shè)備，然后具體規(guī)劃AP（Access Point，無(wú)線訪問(wèn)接入）的物理位置、客戶端的訪問(wèn)權(quán)限和控制模式等。

第二，從網(wǎng)絡(luò)結(jié)構(gòu)入手，采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。限制WLAN信號(hào)的范圍，并將WLAN和重要的內(nèi)部網(wǎng)絡(luò)之間明確區(qū)分開(kāi)來(lái)，在AP和內(nèi)部網(wǎng)絡(luò)之間采用防火墻進(jìn)行安全隔離，必要時(shí)采用物理隔離手段，這樣，即使WLAN出現(xiàn)了安全問(wèn)題也不會(huì)立即導(dǎo)致內(nèi)部網(wǎng)絡(luò)的嚴(yán)重危機(jī)。

第三，設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施，防止非法用戶入侵。在無(wú)線網(wǎng)的站點(diǎn)上使用口令控制，當(dāng)然沒(méi)必要局限于無(wú)線網(wǎng)，諸如Novell NetWare和Microsoft NT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器都提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)，口令應(yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于無(wú)線局域網(wǎng)的用戶包括移動(dòng)用戶，而移動(dòng)用戶傾向于把他們的筆記本電腦移來(lái)移去，因此，嚴(yán)格的口令策略等于增加了一個(gè)安全級(jí)別，它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。

第四，設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容。假如數(shù)據(jù)要求有極高的安全性，譬如說(shuō)是商用網(wǎng)或軍用網(wǎng)上的數(shù)據(jù)，那么可能需要采取一些特殊的措施。最后也是最高級(jí)別的安全措施就是在網(wǎng)絡(luò)上發(fā)送帶局域網(wǎng)之前要用軟件或硬件的方法驚醒加密，只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù)、讀取這些數(shù)據(jù)。如果需要全面的安全保障，加密是最好的方法，一些網(wǎng)絡(luò)操作系統(tǒng)具有加密能力，基于每個(gè)用戶或服務(wù)器、價(jià)位較低的第三方加密產(chǎn)品也可以勝任，并可為用戶提供最好的性能、質(zhì)量服務(wù)和技術(shù)支持。

第五，充分利用WLAN本身提供的安全特性進(jìn)行安全保障。比如對(duì)于AP可以做以下工作：一是更改缺省的口令。一般設(shè)備出廠時(shí)的口令都非常簡(jiǎn)單，必須要更改。二是加密手段。盡管WEP（Wired Equivalent Privacy加密技術(shù)）已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。三是采用MAC地址的方式對(duì)客戶端進(jìn)行驗(yàn)證。在沒(méi)有實(shí)施更加強(qiáng)壯的身份驗(yàn)證措施之前，這種反防范措施還是必要的。四是更改SSID（Service Set Identifier的縮寫(xiě)，意思是：服務(wù)集標(biāo)識(shí)），并且配置AP不廣播SSID。五是更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。

第六，采用WLAN專用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對(duì)WLAN的安全狀況進(jìn)行實(shí)時(shí)的分析和監(jiān)控。

第七，加強(qiáng)企業(yè)內(nèi)部管理制度，解決來(lái)自公司內(nèi)部員工的泄密破壞。采用的安全方法如下：采用端口訪問(wèn)技術(shù)（802.1x）進(jìn)行控制，防治非授權(quán)的非法接入和訪問(wèn)；歸于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接；布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查，通過(guò)調(diào)節(jié)AP天線的角度和發(fā)射功率防止A拍的覆蓋范圍超出辦公區(qū)域，同時(shí)要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò)；禁止員工私自安裝AP，可通過(guò)筆記本配置無(wú)線網(wǎng)卡和無(wú)線掃描軟件進(jìn)行掃描；制定無(wú)線網(wǎng)絡(luò)管理規(guī)定，規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員，禁止設(shè)置P2P的Ad hoc網(wǎng)絡(luò)結(jié)構(gòu)；禁止用戶計(jì)算機(jī)的某些操作系統(tǒng)對(duì)WLAN的自動(dòng)連接功能，避免這些用戶無(wú)意識(shí)地連接到未知WLAN中；在WLAN的客戶端采用個(gè)人防火墻、防病毒軟件等措施保障不受到針對(duì)客戶端攻擊行為的損害；跟蹤無(wú)線網(wǎng)絡(luò)技術(shù)，特別是安全技術(shù)（如802.1 1i規(guī)范了TKIP和AES），對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)。

三、結(jié)論

無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，但是隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，本文中分析了WLAN的不安全因素，并且針對(duì)這些不安全因素給出了解決的安全措施，能有效地防范截取、竊聽(tīng)或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段，能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護(hù)無(wú)線局域網(wǎng)的安全。無(wú)線網(wǎng)絡(luò)安全技術(shù)在很大程度上已經(jīng)得到了改善，即使這樣，要真正構(gòu)建端到端的安全無(wú)線網(wǎng)絡(luò)還是任重道遠(yuǎn)。

收稿日期：2011-06-10

作者簡(jiǎn)介：鐘文濤（1989-），男，山東平度人，學(xué)生，從事網(wǎng)絡(luò)工程研究。

參考文獻(xiàn)：

[1] 陳偉，歐陽(yáng)宏基.無(wú)線局域網(wǎng)安全技術(shù)研究[J].福建電腦，2009，（4）.

[2] 宋濤.無(wú)線局域網(wǎng)的安全措施[J].電信交換，2004，（3）.

[3] 王秋華，章堅(jiān)武.淺談無(wú)線網(wǎng)絡(luò)事件的安全措施[J].中國(guó)科技信息，2005，（17）.

[4] 冷月.無(wú)線網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計(jì)算機(jī)應(yīng)用文摘，2006，（26）.

[5] 甄華.簡(jiǎn)析IEEE802.11無(wú)線局域網(wǎng)安全技術(shù)[J].科技信息，2009，（17）.

[責(zé)任編輯王 莉]