王雙劍，丁 輝

中原油田通信管理，河南濮陽(yáng) 457001

無(wú)線局域網(wǎng)的基本工作原理是在企業(yè)（組織）內(nèi)部通過(guò)無(wú)線通訊技術(shù)連接單個(gè)計(jì)算機(jī)終端，將其組成可以相互通訊的資源共享系統(tǒng)。無(wú)線局域網(wǎng)區(qū)別于有線網(wǎng)絡(luò)的特點(diǎn)就是通過(guò)電磁波而不是有線電纜來(lái)實(shí)現(xiàn)信息傳輸，安裝簡(jiǎn)單，不受地理位置和空間的限制，增強(qiáng)了電腦終端的移動(dòng)能力。但同時(shí)正是由于無(wú)線網(wǎng)絡(luò)采用電磁波傳輸信息，使得其很難采用有線網(wǎng)絡(luò)的安全機(jī)制來(lái)保護(hù)信息安全，換言之，無(wú)線網(wǎng)絡(luò)安全保護(hù)難度較大。

1 無(wú)線網(wǎng)絡(luò)的安全隱患

1.1 不易管理

無(wú)線網(wǎng)絡(luò)安全保護(hù)面臨兩個(gè)主要問(wèn)題。第一，市面上無(wú)線安全保護(hù)標(biāo)準(zhǔn)和方案太多，無(wú)法進(jìn)行優(yōu)劣選擇；第二，如何避免網(wǎng)絡(luò)遭到入侵。無(wú)線網(wǎng)絡(luò)具有接入方便的特點(diǎn)，因此不能采用部署防火墻硬件安全設(shè)備來(lái)構(gòu)建安全機(jī)制。

1.2 易被發(fā)現(xiàn)，易受攻擊

無(wú)線網(wǎng)絡(luò)非常容易被發(fā)現(xiàn)，更容易受到攻擊。入侵者可以通過(guò)高靈敏度天線對(duì)網(wǎng)絡(luò)發(fā)起攻擊，不需要任何物理方式，因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過(guò)購(gòu)買AP連入網(wǎng)絡(luò)。很多部門沒(méi)有通過(guò)IT公司授權(quán)就建立無(wú)線局域網(wǎng)，用戶通過(guò)非法AP接入，給無(wú)線局域網(wǎng)安全帶來(lái)很大隱患。另外，大部分無(wú)線都沒(méi)有采取安全措施。

2 無(wú)線網(wǎng)絡(luò)安全的基本技術(shù)分析

2.1 擴(kuò)頻技術(shù)

擴(kuò)頻是將低能量在頻率中發(fā)送，常用的擴(kuò)頻傳輸是跳頻擴(kuò)頻和直序擴(kuò)頻。無(wú)線電波將無(wú)線信號(hào)按順序發(fā)到每一個(gè)通道，停留固定時(shí)間，并且覆蓋所有通道。使用不同跳頻圖案、通道數(shù)量和駐留時(shí)間可以保護(hù)無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)安全。

2.2 MAC過(guò)濾

每個(gè)無(wú)線網(wǎng)卡都有一個(gè)獨(dú)特的地址，也就是物理地址（MAC地址），該地址是出廠設(shè)置，無(wú)法修改，因此可以在AP內(nèi)部建立“MAC地址控制表”，只有在表中的MAC才是可以合法接入的無(wú)線網(wǎng)卡，手工維護(hù)一組允許訪問(wèn)的介質(zhì)訪問(wèn)控制（MAC）地址列表，不在其中的將會(huì)被拒絕連接，從而實(shí)現(xiàn)物理地址過(guò)濾。這要求AP中MAC地址列表隨時(shí)更新，因此可擴(kuò)展性較差，無(wú)法實(shí)現(xiàn)不同AP之間的漫游。另外，MAC地址可以偽造，因此，這種方法是較低級(jí)別的授權(quán)認(rèn)證。在鏈路層采用RC4對(duì)稱加密技術(shù)，保證用戶密鑰和AP密鑰相同，從而防止非授權(quán)用戶監(jiān)聽(tīng)和訪問(wèn)。雖然WEP（無(wú)線應(yīng)用協(xié)議）提供了64位和128位長(zhǎng)度的密鑰機(jī)制，但是，一個(gè)服務(wù)區(qū)的所有用戶共享一個(gè)密鑰，只要一個(gè)用戶丟失密鑰，則整個(gè)網(wǎng)絡(luò)都變得不安全。另外WEP被發(fā)現(xiàn)有安全缺陷，能在幾個(gè)小時(shí)被破解。

2.3 VPN技術(shù)（虛擬專用網(wǎng)絡(luò)）

VPN是目前最安全的解決方案，指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上，通過(guò)加密技術(shù)和隧道保證專用數(shù)據(jù)的安全，阻止黑客截取信息。VPN不屬于802.11標(biāo)準(zhǔn)，用戶可以借助VPN抵抗無(wú)線網(wǎng)絡(luò)的不安全因素，同時(shí)提供基于Radius用戶認(rèn)證、計(jì)費(fèi)。

2.4 DSL技術(shù)（動(dòng)態(tài)安全鏈路）

該技術(shù)采取128密鑰，且動(dòng)態(tài)分配。采用動(dòng)態(tài)安全鏈路技術(shù)時(shí)，DSL針對(duì)每一個(gè)會(huì)話都會(huì)自動(dòng)生成一把鑰匙，用戶請(qǐng)求訪問(wèn)網(wǎng)絡(luò)時(shí)，需要進(jìn)行口令認(rèn)證，只有認(rèn)證通過(guò)，才能連接到無(wú)線網(wǎng)絡(luò)。需要注意的是DSL與WEP2不同，WEP2的鑰匙是手工輸入，DSL則是動(dòng)態(tài)分配，即使在一個(gè)會(huì)話期間，每256個(gè)數(shù)據(jù)包，就會(huì)自動(dòng)改變一次。

3 無(wú)線網(wǎng)絡(luò)安全技術(shù)的改進(jìn)措施

隨著筆記本電腦的普及，無(wú)線網(wǎng)卡成了標(biāo)準(zhǔn)配置，通過(guò)組建無(wú)線網(wǎng)絡(luò)來(lái)進(jìn)行網(wǎng)絡(luò)訪問(wèn)成為一個(gè)趨勢(shì)，無(wú)線網(wǎng)絡(luò)的安全越來(lái)越受到關(guān)注。通常情況下，保護(hù)無(wú)線網(wǎng)絡(luò)安全可以通過(guò)身份認(rèn)證與訪問(wèn)控制、安全內(nèi)核和入侵檢測(cè)技術(shù)兩方面來(lái)進(jìn)行改進(jìn)。

3.1 身份認(rèn)證與訪問(wèn)控制

無(wú)線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的，也可以是基于用戶的。無(wú)線網(wǎng)中常采用的認(rèn)證方式有：PPPoE（最早、最成熟）、8021X認(rèn)證和WEB認(rèn)證（無(wú)需安裝客戶端認(rèn)證軟件）、WEP、EAP。在無(wú)線網(wǎng)絡(luò)中，為了最大限度確保網(wǎng)絡(luò)安全，設(shè)備認(rèn)證和用戶認(rèn)證兩種形式都應(yīng)實(shí)施。

3.2 安全內(nèi)核與入侵檢測(cè)

這主要是指在操作系統(tǒng)的層次上增強(qiáng)安全性。通過(guò)對(duì)操作系統(tǒng)內(nèi)核改造、裁剪、加固，刪除內(nèi)核中可能影響安全性的部分，大大增強(qiáng)系統(tǒng)內(nèi)部抗攻擊能力和安全性。計(jì)算機(jī)的系統(tǒng)安全取決于軟硬件設(shè)置，實(shí)際系統(tǒng)安全取決于設(shè)備使用，在用戶操作過(guò)程中，最能影響系統(tǒng)安全性的是系統(tǒng)或用戶的工作參數(shù)設(shè)置。對(duì)系統(tǒng)特性的錯(cuò)誤使用是系統(tǒng)遭受入侵的主要原因，這也是無(wú)線網(wǎng)絡(luò)最容易發(fā)生安全問(wèn)題的原因。利用安全漏洞掃描對(duì)系統(tǒng)進(jìn)行分析掃描，找出異常系統(tǒng)配置進(jìn)行改進(jìn)。入侵檢測(cè)是機(jī)器（檢測(cè)工具）與人（入侵人員）對(duì)抗的分析過(guò)程。入侵檢測(cè)是基于用戶當(dāng)前操作，根據(jù)用戶歷史行為，完成攻擊并留下證據(jù)，根據(jù)知識(shí)的智能推理，為數(shù)據(jù)回復(fù)和事故處理提供依據(jù)，分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)。

3.3 通過(guò)SSID和MAC進(jìn)行地址雙重過(guò)濾

SSID是目前無(wú)線訪問(wèn)點(diǎn)采用的識(shí)別字符串，標(biāo)志符由設(shè)備制造商設(shè)定，采用如101代表3COM設(shè)備的默認(rèn)短語(yǔ)。當(dāng)黑客得知該口令短語(yǔ)時(shí)，很容易在不經(jīng)授權(quán)的情況下進(jìn)入該無(wú)線服務(wù)。設(shè)置無(wú)線訪問(wèn)點(diǎn)應(yīng)該選一個(gè)獨(dú)特的很難被猜中的SSID，并且禁止向外界廣播該SSID。由于無(wú)線工作站的網(wǎng)卡有唯一的物理地址，用戶可以設(shè)置訪問(wèn)點(diǎn)，同時(shí)限制MAC地址，實(shí)現(xiàn)雙重過(guò)濾。

3.4 關(guān)閉DHCP服務(wù)器

DHCP服務(wù)器自動(dòng)配給計(jì)算機(jī)IP地址。對(duì)于規(guī)模不大的網(wǎng)絡(luò)，保護(hù)信息安全可以采用關(guān)閉無(wú)線AP或者DHCP功能，采用靜態(tài)IP地址，以此保護(hù)無(wú)線網(wǎng)絡(luò)的安全。

4 結(jié)論

維護(hù)無(wú)線網(wǎng)絡(luò)的安全是一個(gè)綜合性工作，對(duì)于無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)處于起步階段，隨著無(wú)線網(wǎng)絡(luò)的普及和應(yīng)用，對(duì)無(wú)線網(wǎng)絡(luò)安全機(jī)制和技術(shù)提供了更高的要求，未來(lái)無(wú)線網(wǎng)絡(luò)的安全面臨更大的機(jī)遇和挑戰(zhàn)。

[1]楊光.無(wú)線網(wǎng)絡(luò)安全性的研究和探討[J].機(jī)械管理開(kāi)發(fā)，2011，3.

[2]劉強(qiáng).無(wú)線網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施探究[J].無(wú)線互聯(lián)科技，2010，11.

[3]鄭宇洲.無(wú)線網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施[J].信息系統(tǒng)工程，2011，6.

[4]李媛.淺談無(wú)線網(wǎng)絡(luò)安全[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2008，7.