唐濤

鎮(zhèn)江高等專科學(xué)校 江蘇 212003

0 前言

無線網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛應(yīng)用到多個領(lǐng)域。無線技術(shù)是指在不使用物理線纜的前提下，從一點向另一點傳遞數(shù)據(jù)的方法，其中包括無線電、蜂窩網(wǎng)絡(luò)、紅外線和衛(wèi)星等技術(shù)。無線網(wǎng)絡(luò)具有的可移動性、安裝簡單、高靈活性和擴展能力，在對傳統(tǒng)有線網(wǎng)絡(luò)進行延伸的同時，使得各種無線設(shè)備廣泛普及，無線網(wǎng)絡(luò)技術(shù)被應(yīng)用到多個領(lǐng)域。然而，由于無線網(wǎng)絡(luò)本身具有的動態(tài)拓撲、開放鏈路、資源有限等特點，使得無線網(wǎng)絡(luò)的安全問題頗令人擔憂。本文研究了當前無線局域網(wǎng)中面臨的一些主要安全問題，并嘗試給出相應(yīng)的解決辦法。

近年來，計算機及通信技術(shù)發(fā)展突飛猛進，隨著有線網(wǎng)絡(luò)的快速發(fā)展和普及，無線網(wǎng)絡(luò)也隨著無線接入設(shè)備的發(fā)展而快速擴展著，其在技術(shù)上變得越來越成熟和快捷，在信息發(fā)展中起到了相當重要的作用，在多個領(lǐng)域得到了廣泛應(yīng)用。其中尤以無線局域網(wǎng)為代表的無線網(wǎng)絡(luò)技術(shù)得到了相當廣泛的發(fā)展和應(yīng)用。但是在無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和延伸的同時，由于其本身的技術(shù)特性，使得無線網(wǎng)絡(luò)安全問題成為制約其發(fā)展的瓶頸，如何安全有效地使用無線網(wǎng)絡(luò)，必須引起大家足夠的重視。

1 無線局域網(wǎng)概述

無線局域網(wǎng)絡(luò)是一種相當便利的數(shù)據(jù)傳輸系統(tǒng)。它以無線電波作為傳輸介質(zhì)來代替有線局域網(wǎng)中的部分或者全部傳輸介質(zhì)(如雙絞線、同軸電纜等)而構(gòu)成的局域網(wǎng)。之所以稱其是局域網(wǎng)，是因為受到無線連接設(shè)備與終端之間距離的遠近限制而影響傳輸范圍，必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)絡(luò)。現(xiàn)有的無線局域網(wǎng)中大都采用射頻技術(shù)來充分利用頻譜資源。無線局域網(wǎng)在有線局域網(wǎng)的基礎(chǔ)上通過無線集線器、無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等設(shè)備使無線通信得以實現(xiàn)。

1.1 無線局域網(wǎng)的優(yōu)勢

無線局域網(wǎng)相對有線網(wǎng)絡(luò)來說具有如下多種優(yōu)勢。

(1) 靈活性和可移動性：不受線纜限制，在信號覆蓋范圍內(nèi)可隨時隨地連接網(wǎng)絡(luò)。

(2) 容易安裝，成本低：無需布置安裝線纜，一般只要安裝一個或多個接入點設(shè)備，就可以建立覆蓋整個區(qū)域的局域網(wǎng)絡(luò)。

(3) 組網(wǎng)靈活：可迅速加入現(xiàn)有網(wǎng)絡(luò)并在適當環(huán)境下正常運行。

(4) 故障定位容易：容易定位故障，更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。

(5) 易于擴展：無線局域網(wǎng)的多種配置方式已與擴展多種網(wǎng)絡(luò)拓撲，并提供節(jié)點間的“漫游”功能。

因為種種優(yōu)勢，使得無線局域網(wǎng)在各行各業(yè)中得到了極其廣泛的應(yīng)用。

1.2 無線局域網(wǎng)存在的不足

雖然無線網(wǎng)絡(luò)擁有如此眾多的優(yōu)點來彌補有線網(wǎng)絡(luò)的不足，但是，無線網(wǎng)絡(luò)自身的特點也注定了無線網(wǎng)絡(luò)仍然還有很多不足：

(1) 性能不穩(wěn)定：無線信號是通過無線發(fā)射裝置依靠無線電波進行傳輸?shù)模趥鬏斶^程中建筑、樹木等障礙物都可能阻擋電磁波的傳輸，從而影響整個無線網(wǎng)絡(luò)性能。

(2) 傳輸速率慢：無線信道傳輸速率相比有線信道的傳輸速率低得多，使用范圍有限，多適用于個人終端或小規(guī)模的網(wǎng)絡(luò)應(yīng)用。

(3) 安全性有待提高：無線信號是發(fā)散的以廣播形式傳輸信號。理論上說，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，從而造成通訊信息的泄露。

1.3 無線局域網(wǎng)安全現(xiàn)狀

由于無線傳輸?shù)奶攸c限制，不可能做到將發(fā)射數(shù)據(jù)僅僅傳送給一名特定的目標接收，因此數(shù)據(jù)發(fā)射覆蓋范圍內(nèi)的任何無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)，惡意用戶可以繞過防火墻，在視距范圍內(nèi)截獲和非法插入數(shù)據(jù)，數(shù)據(jù)傳輸?shù)陌踩缘玫搅藰O大威脅。我們認為無線網(wǎng)絡(luò)安全性包括了兩個方面：①訪問控制：確保敏感數(shù)據(jù)僅由獲得授權(quán)的用戶訪問。②保密性：確保傳送的數(shù)據(jù)只被目標接收人接收。事實上，無線網(wǎng)絡(luò)受大量安全風險和安全問題的困擾。

2 無線局域網(wǎng)存在的安全問題

2.1 非授權(quán)服務(wù)

移動設(shè)備的增加導(dǎo)致更多非授權(quán)用戶接入到了網(wǎng)絡(luò)中來享受各種網(wǎng)絡(luò)服務(wù)，非授權(quán)無線用戶的任意“無線”將加重整個網(wǎng)絡(luò)的負擔，產(chǎn)生一系列安全隱患，甚至導(dǎo)致整個網(wǎng)絡(luò)的崩潰。我們必須采取一些安全措施和手段來防止和管理非授權(quán)用戶的接入。

2.1.1 基于服務(wù)集標識符(Service Set ID,SSID)

SSID相當于一個簡單的口令系統(tǒng)。對多個AP設(shè)置不同SSID，無線基站訪問AP時需提供正確SSID，并對資源訪問權(quán)限作出限制。因為網(wǎng)絡(luò)內(nèi)任何人都可以通過工具得到這個SSID，所以應(yīng)該配置AP禁止向外廣播其自有SSID，方能保證通訊的安全。此時無線基站必須主動發(fā)送正確SSID才能與AP進行聯(lián)系。

2.1.2 物理地址(Media Access Controller,MAC)過濾

由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，因此可以在AP中手工配置以物理地址為基礎(chǔ)的訪問控制表，確保只有進行過地址注冊的網(wǎng)卡才能進入網(wǎng)絡(luò)，以實現(xiàn)物理地址過濾。AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游。如果用戶數(shù)量增加，隨時手工維護地址列表將會變得非常困難，這將注定此方式只適用于小規(guī)模網(wǎng)絡(luò)。理論上，MAC地址完全可以在IP數(shù)據(jù)包中進行偽造以換取AP信任取得通信資格。綜上所述，這種物理地址過濾的方法也是較低安全級別的授權(quán)認證方法。

2.1.3 連線對等保密(Wired Equivalent Protection,WEP)

通過在鏈路層采用RC4對稱加密技術(shù)，使得用戶擁有的加密金鑰必須與AP的密鑰相同時才能獲得網(wǎng)絡(luò)資源，此方法用于防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。雖然WEP提供了多種密鑰機制，但其本身仍然存在許多缺陷。比如攻擊者通過截獲多組數(shù)據(jù)來進行破解，從而導(dǎo)致整個網(wǎng)絡(luò)暴露在安全隱患中。

2.1.4 虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)

VPN被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它利用隧道及加密技術(shù)保證專用數(shù)據(jù)網(wǎng)絡(luò)的安全性。用戶可以借助 VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

2.1.5 端口訪問控制技術(shù)(802.1x)

802.1 x是用于無線局域網(wǎng)的一種增強性的網(wǎng)絡(luò)安全解決方案。當無線工作站與AP關(guān)聯(lián)后，通過802.1x認證以確定是否可以使用AP。通過認證，AP提供邏輯端口允許用戶上網(wǎng)。反之無法接入網(wǎng)絡(luò)。

綜合來看，解決未授權(quán)服務(wù)最好的辦法就是阻止未被認證用戶的接入。通過加密辦法對認證過程進行加密是進行認證的前提，同時，通過 VPN技術(shù)可以有效保護通過電波傳輸?shù)木W(wǎng)絡(luò)流量。當然定期對網(wǎng)絡(luò)進行測試也能確保網(wǎng)絡(luò)設(shè)備使用了安全認證機制并確保網(wǎng)絡(luò)設(shè)備的正常配置和使用。

2.2 服務(wù)和性能的限制

有限的無線局域網(wǎng)的傳輸帶寬被AP所有用戶共享。如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果攻擊者發(fā)送廣播流量，就會同時阻塞多個AP；當攻擊者在與無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號時，被攻擊的網(wǎng)絡(luò)會產(chǎn)生自適應(yīng)，大大影響無線網(wǎng)絡(luò)的傳輸。

我們認為，定位性能故障應(yīng)從監(jiān)測和發(fā)現(xiàn)問題入手，使用無線網(wǎng)絡(luò)測試儀可以有效識別網(wǎng)絡(luò)速率、幀類型，幫助進行故障定位，以解決服務(wù)和性能的限制。

2.3 地址欺騙和會話攔截

目前802.11無線局域網(wǎng)并不對數(shù)據(jù)幀進行認證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流輕易獲得并解析其中的MAC地址，再利用這些地址進行惡意攻擊。如果攻擊者通過截獲會話幀發(fā)現(xiàn)了AP中存在的認證缺陷，并通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在，繼而裝扮成合法AP進入無線局域網(wǎng)，再通過這樣的AP進一步獲取認證身份信息即可順利進入核心網(wǎng)絡(luò)，這將給整個網(wǎng)絡(luò)帶來沉重的打擊。目前，在沒有采用對802.11 MAC幀進行認證的技術(shù)前，通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

一旦攻擊者進入無線局域網(wǎng)，就有辦法通過無線局域網(wǎng)侵入核心網(wǎng)絡(luò)。解決此問題的辦法是將無線局域網(wǎng)布置到核心網(wǎng)絡(luò)的安全外殼之外，這樣，即使無線局域網(wǎng)被攻破，利用各種安全手段，核心網(wǎng)絡(luò)仍然能夠保證其安全性。

2.4 非法入侵、非法AP、流量分析與流量偵聽

無線局域網(wǎng)易于訪問和配置簡單的特性，使得非法入侵和非法AP實現(xiàn)起來非常容易，同時攻擊者可以采用被動方式監(jiān)聽網(wǎng)絡(luò)流量以截獲未加密網(wǎng)絡(luò)流量。此時我們需要通過加強網(wǎng)絡(luò)訪問控制、定期進行站點審查和采用可靠協(xié)議進行數(shù)據(jù)加密等手段來解決問題。

3 總結(jié)

無線網(wǎng)絡(luò)在受到越來越多用戶認可的同時，其在應(yīng)用過程中暴露出來的安全問題也倍受人們關(guān)注。本文通過分析無線局域網(wǎng)中的各種安全隱患，給出了相應(yīng)安全技術(shù)對策，這對選擇合適的無線局域網(wǎng)安全技術(shù)提供了參考依據(jù)。但是世界上沒有絕對安全的技術(shù)，若想在使用網(wǎng)絡(luò)時重要信息不被竊取，除了養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣外，還需要依靠安全技術(shù)的發(fā)展和完善來保證無線網(wǎng)絡(luò)的正常安全運行。

[1] 李一川,高恒聚,王亦飛,樊夢.無線網(wǎng)絡(luò)的技術(shù)綜述[J].科技信息.2011.

[2] 陳云龍.淺析無線局域網(wǎng)的安全問題及措施[J].信息與電腦(理論版).2010.

[3] 謝庭勝.淺析無線局域網(wǎng)安全技術(shù)[J].電腦學(xué)習(xí).2010.

[4] 田永民.基于無線網(wǎng)絡(luò)WLAN安全機制分析[J].數(shù)字技術(shù)與應(yīng)用.2011.

[5] http://info.10010.com/profile/xwdt/ztbd/file251.html.

[6] http://security.zdnet.com.cn/files/klist-125-258879-1.htm.