蔣靜 葉晰

[摘 要]文章簡要介紹了無線網(wǎng)絡(luò)在電子商務(wù)中的應(yīng)用，著重描述了無線網(wǎng)絡(luò)的基本概念和網(wǎng)絡(luò)安全的基本內(nèi)容，并說明了建立一個(gè)安全無線網(wǎng)絡(luò)的可行性和必要性。

[關(guān)鍵詞]網(wǎng)絡(luò)無線局域網(wǎng) 網(wǎng)絡(luò)安全技術(shù) AP配置 電子商務(wù)

近幾年來電子商務(wù)和電子政務(wù)等信息化工程日益完善，然而從安全的角度來看，電子商務(wù)網(wǎng)站所面臨的網(wǎng)絡(luò)安全問題卻始終如揮之不去的夢魘。隨著人們對網(wǎng)絡(luò)通信要求的不斷提高，無線網(wǎng)絡(luò)迅速滲透到人們工作、生活的各個(gè)領(lǐng)域。但由于無線網(wǎng)絡(luò)環(huán)境的復(fù)雜性、網(wǎng)絡(luò)協(xié)議本身存在的安全隱患和漏洞，網(wǎng)絡(luò)中的各種突發(fā)事件難以預(yù)測,這些問題的出現(xiàn)都給網(wǎng)絡(luò)安全的實(shí)施帶來相當(dāng)大的難度。

一、無線網(wǎng)絡(luò)的安全配置

無線局域網(wǎng)相對于有線網(wǎng)有著靈活機(jī)動(dòng)，配置方便，不受地域限制等特點(diǎn)；但也正是基于以上這些特點(diǎn)，引發(fā)了無線網(wǎng)絡(luò)自身特有的安全性問題。我們知道，黑客們要攻擊有線局域網(wǎng)，首先他們必須在物理上接入局域網(wǎng)，而對于無線局域網(wǎng)，則問題就簡單的多，只要靠近發(fā)射源附近即可，如公司停車場等。為了提高無線局域網(wǎng)的安全，IEEE 802 委員會在 802.11 系列協(xié)議上采取了以下三種方法來增強(qiáng)網(wǎng)絡(luò)的安全性：

1.SSID(服務(wù)集標(biāo)識符)網(wǎng)絡(luò)接入控制

SSID網(wǎng)絡(luò)接入控制技術(shù)通過對多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入。由于AP會向外廣播其SSID,使其安全性大幅度下降。封閉式網(wǎng)絡(luò)則是封閉AP對SSID的播報(bào)，無線局域網(wǎng)中的各個(gè)終端設(shè)備必須知道所要接入的無線網(wǎng)絡(luò)標(biāo)識SSID,才能夠接入無線局域網(wǎng)，否則用戶通過終端設(shè)備根本不會發(fā)覺這個(gè)區(qū)域具有無線局域網(wǎng)覆蓋。

2.MAC過濾控制

每個(gè)客戶端的無線網(wǎng)卡都由一個(gè)唯一的物理地址標(biāo)識，我們稱這個(gè)地址為MAC地址。如D-Link 無線網(wǎng)卡的MAC地址為: 00-0D-88-F0-0C-FB，NetGear WG121無線網(wǎng)卡的MAC地址為: 00-09-5B-D0-EC-67。其中，MAC 地址的前三個(gè)字節(jié)（如00-0D-88 或00-09-5B）稱為組織惟一標(biāo)識符（organizationally unique identifier, OUI）, OUI由IEEE控制，并分配給各個(gè)網(wǎng)絡(luò)產(chǎn)品制造商。MAC過濾是降低大量攻擊威脅的最簡單方法之一。我們可以在DP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。

3.WEP(有線等效保密)安全機(jī)制

WEP的全稱是有線對等保密機(jī)制(Wired Equivalent Privacy)，是IEEE802.11的共享密鑰機(jī)制中所規(guī)定的加密方式。WEP在鏈路層采用ＲＣ4對稱加密技術(shù),但使用加密方式會減少網(wǎng)絡(luò)連接速度的15%~20%。WEP加密的其主要缺陷為：

(1)WEP采用的RC4加密算法存在弱點(diǎn)，密鑰長度太短。用WepCrack與Airoppeek等工具可較容易捕獲WEP密碼。

(2)由于802.11并沒有提供密鑰的管理機(jī)制，并且規(guī)定只有4個(gè)靜態(tài)密鑰，因此每個(gè)用戶使用的密鑰是相同的，這便成為網(wǎng)管們最頭痛的問題。如果無線網(wǎng)卡被偷,密鑰的內(nèi)容流失，整個(gè)公司內(nèi)部的無線局域網(wǎng)絡(luò)就不再受到保護(hù)。此時(shí)網(wǎng)管們必須重新將新的密鑰傳給每一個(gè)用戶及AP， 這是一項(xiàng)即費(fèi)時(shí)又麻煩的工作。

盡管WEP加密有很多不足之處，但使用WEP加密功能仍能阻擋一批意志不堅(jiān)定的攻擊者，所以在實(shí)際應(yīng)用中我們還是必須開啟WEP功能。

二、最佳安全性方案的實(shí)現(xiàn)

在802.11 標(biāo)準(zhǔn)中主要采用了SSID，MAC過濾和WEP加密來保證無線網(wǎng)絡(luò)的安全，雖然每一個(gè)方法都有不足之處，但最好的安全計(jì)劃不是某個(gè)單獨(dú)的工具或策略。 對付攻擊最好的策略是我們應(yīng)建立多個(gè)屏障，以便保護(hù)網(wǎng)絡(luò)資源并阻止黑客們的攻擊。根據(jù)我們的經(jīng)驗(yàn), 最佳安全性方案應(yīng)該由以下幾部分組成：

1.決定自己的需要。了解用戶的數(shù)量、工作的環(huán)境類型和預(yù)期的帶寬,并詳細(xì)說明保護(hù)內(nèi)容的安全標(biāo)準(zhǔn)。

2.檢查周圍的環(huán)境,判斷AP的最佳位置。確保AP不會受到篡改,并確保AP盡量遠(yuǎn)離窗口。進(jìn)行事先的準(zhǔn)備工作，了解信號傳播的最大距離，限制AP功率和使用定向天線。

3.選購合格的AP，開啟SSID網(wǎng)絡(luò)接入控制并禁止廣播SSID。開啟ＭＡＣ地址過濾控制和至少128位的WEP加密。

4.重新改寫ＡＰ的全部初始缺省設(shè)置, 包括登錄AP的管理員用戶名，密碼和默認(rèn)IP地址，確保使用新的SSID和WEP密碼。

5.禁用AP中的DHCP功能, 并手動(dòng)設(shè)置各個(gè)客戶端無線網(wǎng)卡的IP地址。

6.安裝WEP密鑰,更新安全策略并提供一個(gè)密鑰安全的發(fā)布方法。如在客戶端，我們可以通過直接導(dǎo)入密鑰配置文件來修改系統(tǒng)注冊表， 從而達(dá)到修改客戶端無線網(wǎng)卡密鑰配置的目的。由于這時(shí)用戶并不知道WEP密碼的明碼， 從而有效的防止了密碼的外泄。最新的WEP加密技術(shù)還采用了動(dòng)態(tài)WEP密鑰來加強(qiáng)無線網(wǎng)絡(luò)的安全性。

三、結(jié)束語

無線網(wǎng)有著高可移動(dòng)性、不受布線點(diǎn)位置的限制、安裝簡易、費(fèi)用低、對故障的檢測迅速、網(wǎng)絡(luò)維護(hù)容易等突出優(yōu)點(diǎn)。由于無線網(wǎng)絡(luò)環(huán)境的復(fù)雜性、網(wǎng)絡(luò)協(xié)議本身存在的安全隱患和漏洞，這些問題的出現(xiàn)都給網(wǎng)絡(luò)安全的實(shí)施帶來相當(dāng)大的難度。 但隨著無線網(wǎng)絡(luò)的發(fā)展以及巨大的市場吸引力,將引發(fā)新的解決方案的出臺, 以及新的相關(guān)協(xié)議的增補(bǔ)和制定,并將進(jìn)一步推動(dòng)無線網(wǎng)絡(luò)的發(fā)展。而只有一個(gè)健康安全的網(wǎng)絡(luò)，才能讓電子商務(wù)活動(dòng)蓬勃發(fā)展。

參考文獻(xiàn)：

[1]鐘章隊(duì),趙紅禮,吳昊,黃清.無線局域網(wǎng)[M].北京:科學(xué)出版社,2004,219－221

[2](美)Shelly Brisbin、Glen Carty 著,天宏工作室譯.自己動(dòng)手組建Wi-Fi網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社,2003