國(guó)家廣電總局594臺(tái) 豆?fàn)幤?/p>

1.引言

安全的無(wú)線局域網(wǎng)，必須注重兩方面，一是訪問(wèn)控制，另一個(gè)就是保密性。訪問(wèn)控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問(wèn)。保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和理解。廣播臺(tái)站無(wú)線網(wǎng)絡(luò)技術(shù)發(fā)展迅速，每天無(wú)線傳輸大量重要的、甚至保密的工作數(shù)據(jù)資料，擁有安全的無(wú)線網(wǎng)絡(luò)工作環(huán)境迫在眉睫。

2.無(wú)線局域網(wǎng)

2.1 無(wú)線局域網(wǎng)概述

無(wú)線局域網(wǎng)（Wireless Local Area Networks），也被稱為WLAN。是指利用無(wú)線電波傳輸數(shù)據(jù)，并將設(shè)備連接到互聯(lián)網(wǎng)、企事業(yè)網(wǎng)絡(luò)以及應(yīng)用程序的一種網(wǎng)絡(luò)。是通用無(wú)線接入的一個(gè)子集，可支持較高的傳輸速率(可達(dá)2Mbps～108Mbps)。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，只要在有線網(wǎng)絡(luò)的基礎(chǔ)上通過(guò)無(wú)線接人點(diǎn)、無(wú)線網(wǎng)橋、無(wú)線網(wǎng)卡等無(wú)線設(shè)備就可使無(wú)線通信得以實(shí)現(xiàn)。

2.2 無(wú)線局域網(wǎng)的破解

（1）WEP加密技術(shù)――破解方式：收集足夠的Cap數(shù)據(jù)包（5萬(wàn)以上－15萬(wàn)），然后使用aircrack破解?？梢栽跓o(wú)客戶端情況下采用主動(dòng)注入的方式破解。

（2）WPA加密技術(shù)――破解方式：收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。

必須在合法的客戶端在線的情況下抓包破解。可主動(dòng)攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手即可抓到包含握手信息的數(shù)據(jù)包?；蚩墒刂甏玫却戏ǖ目蛻舳松暇€與AP握手。

3.無(wú)線局域網(wǎng)風(fēng)險(xiǎn)分析

圖1

WlAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性，當(dāng)用戶對(duì)WLAN的期望日益升高時(shí)，其安全問(wèn)題隨著應(yīng)用的深入表露無(wú)遺。所以使用無(wú)線局域網(wǎng)絡(luò)時(shí)，就應(yīng)該充分考慮其安全與可靠性，下面就目前比較常見的一些無(wú)線局域網(wǎng)所面臨的風(fēng)險(xiǎn)進(jìn)行分析：

(1)容易侵人

圖2

圖3

無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過(guò)高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

(2)非法的AP

無(wú)線局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單的特性，使得任何人的計(jì)算機(jī)都可以通過(guò)自己購(gòu)買的AP，不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò)。方式一：入侵者將一個(gè)真實(shí)AP非法放置在被入侵的網(wǎng)絡(luò)中，讓授權(quán)客戶端自動(dòng)地連接到這個(gè)AP上來(lái)。方式二：采用諸如HostAP等專用軟件將入侵者的計(jì)算機(jī)偽裝成AP。

(3)未經(jīng)授權(quán)使用服務(wù)

50%以上的用戶在使用AP時(shí)只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改。幾乎所有的AP都按照默認(rèn)配置來(lái)開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。由于無(wú)線局域網(wǎng)的開放式訪問(wèn)方式，未經(jīng)授權(quán)擅自使用網(wǎng)絡(luò)資源不僅會(huì)增加帶寬費(fèi)用，更可能會(huì)導(dǎo)致法律糾紛。而且未經(jīng)授權(quán)的用戶沒(méi)有遵守服務(wù)提供商提出的服務(wù)條款，可能會(huì)導(dǎo)致ISP中斷服務(wù)。

(4)服務(wù)和性能的限制

無(wú)線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無(wú)線局域網(wǎng)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。

(5)地址欺騙和會(huì)話攔截

攻擊者可以通過(guò)欺騙數(shù)據(jù)幀去重定向數(shù)據(jù)流和使ARP表變得混亂，然后輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來(lái)惡意攻擊時(shí)使用。攻擊者還可以通過(guò)截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過(guò)監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在然后裝扮成AP進(jìn)人網(wǎng)絡(luò)，通過(guò)這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。

(6)流量分析與流量偵聽

802．11無(wú)法防止攻擊者采用被動(dòng)方式監(jiān)聽網(wǎng)絡(luò)流量，而任何無(wú)線網(wǎng)絡(luò)分析儀都可以不受任何阻礙地截獲未進(jìn)行加密的網(wǎng)絡(luò)流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機(jī)會(huì)。

(7)高級(jí)入侵

很多網(wǎng)絡(luò)都有一套經(jīng)過(guò)精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。

(8)拒絕服務(wù)攻擊

無(wú)線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無(wú)線局域網(wǎng)相同頻率的干擾信號(hào)來(lái)干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無(wú)法使用網(wǎng)絡(luò)。

4.無(wú)線局域網(wǎng)安全防護(hù)

局域網(wǎng)安全防范方法：

(1)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制

容易訪問(wèn)不等于容易受到攻擊。如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過(guò)VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基IEEE802．1x的新的無(wú)線網(wǎng)絡(luò)產(chǎn)品。IEEE802．1X定義了用戶級(jí)認(rèn)證的新的幀的類型，借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫(kù)，將前端基于IEEE802．1X無(wú)線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。

(2)定期進(jìn)行的站點(diǎn)審查

無(wú)線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求，普通的辦法是選擇小型的手持式檢測(cè)設(shè)備。管理員可以通過(guò)手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)。

(3)阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)

由于訪問(wèn)特權(quán)是基于用戶身份的，所以通過(guò)加密辦法對(duì)認(rèn)證過(guò)程進(jìn)行加密是進(jìn)行認(rèn)證的前提，通過(guò)VPN技術(shù)能夠有效地保護(hù)通過(guò)電波傳輸?shù)木W(wǎng)絡(luò)流量。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機(jī)制并確保網(wǎng)絡(luò)設(shè)備的配置正常，如圖1。

(4)同重要網(wǎng)絡(luò)隔離

在802．11i被正式批準(zhǔn)之前MAC地址欺騙對(duì)無(wú)線網(wǎng)絡(luò)的威脅依然存在。網(wǎng)絡(luò)管理員必須將無(wú)線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開。

(5)采用可靠的協(xié)議進(jìn)行加密

如果用戶的無(wú)線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSI、IPSec等加密技術(shù)來(lái)加強(qiáng)數(shù)據(jù)的安全性。

(6)不要破壞自己的防火墻

將無(wú)線系統(tǒng)接入點(diǎn)放置在防火墻之外，為網(wǎng)絡(luò)創(chuàng)建一道必要的屏障。

(7)拒絕筆記本ad—hoc方式接入

在任何無(wú)線局域網(wǎng)中都應(yīng)當(dāng)采取這一嚴(yán)厲的措施。Ad—hoc模式將允許wi—Fi用戶直接連接到另一臺(tái)相鄰的筆記本，這將構(gòu)成你完全不能想象的恐怖的網(wǎng)絡(luò)環(huán)境。

(8)利用MAC阻止黑客攻擊

利用基于MAC地址的ACLs(訪問(wèn)控制表)確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。MAC過(guò)濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，如圖2。

(9)有效管理無(wú)線網(wǎng)絡(luò)的ID

所有無(wú)線局域網(wǎng)都有一個(gè)缺省的SSID(服務(wù)標(biāo)識(shí)符)或網(wǎng)絡(luò)名。立即更改這個(gè)名字，用文字和數(shù)字符號(hào)來(lái)表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力，應(yīng)該定期更改SSID。不要到處使用這個(gè)名字：即取消SSID自動(dòng)播放功能，如圖3。

(10)提高已有的RADIUS服務(wù)

遠(yuǎn)程用戶常常通過(guò)RADIUS(遠(yuǎn)程用戶拔號(hào)認(rèn)證服務(wù))實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證登錄。網(wǎng)絡(luò)管理員能夠?qū)o(wú)線局域網(wǎng)集成到已經(jīng)存在的RADIUS架構(gòu)內(nèi)來(lái)簡(jiǎn)化對(duì)用戶的管理。這樣不僅能實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的認(rèn)證，而且還能保證無(wú)線用戶與遠(yuǎn)程用戶使用同樣的認(rèn)證方法和帳號(hào)。

(11)TKIP加密協(xié)議

WPA采用TKIP（Temporal Key Integrity Protocol）為加密引入了新的機(jī)制，在用戶連接到AP，認(rèn)證服務(wù)器接受了用戶身份之后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰通過(guò)安全通道分發(fā)到AP和此用戶的客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來(lái)加密每一個(gè)無(wú)線通訊數(shù)據(jù)報(bào)文。

(12)采用強(qiáng)力的密碼

一個(gè)足夠強(qiáng)大的密碼可以讓暴力破解成為不可能實(shí)現(xiàn)的情況。相反的，如果密碼強(qiáng)度不夠，幾乎可以肯定會(huì)讓你的系統(tǒng)受到損害。比如：可以使用特殊字符設(shè)置密碼等。

(13)對(duì)網(wǎng)絡(luò)入侵者進(jìn)行監(jiān)控

需要對(duì)攻擊的發(fā)展趨勢(shì)進(jìn)行跟蹤，了解惡意工具是怎么連接到網(wǎng)絡(luò)上的。采用WLAN專用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對(duì)WLAN的安全狀況進(jìn)行實(shí)時(shí)的分析和監(jiān)控。

(14)簡(jiǎn)化網(wǎng)絡(luò)安全管理，集成無(wú)線和有線網(wǎng)絡(luò)安全策略

無(wú)線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無(wú)線網(wǎng)絡(luò)安全的策略能夠提高管理水平。例如，更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。

(15)不能讓非專業(yè)人員構(gòu)建無(wú)線網(wǎng)絡(luò)

非專業(yè)人員在安裝過(guò)程中很少考慮到網(wǎng)絡(luò)的安全性，只要通過(guò)網(wǎng)絡(luò)探測(cè)工具掃描網(wǎng)絡(luò)就能夠給黑客留下攻擊的后門。所以要限制非專業(yè)人員無(wú)線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無(wú)線網(wǎng)絡(luò)的安全。

5.結(jié)束語(yǔ)

在廣播電臺(tái)無(wú)線局域網(wǎng)的使用中，安全問(wèn)題仍將是一個(gè)最重要的、迫切需要解決的問(wèn)題。但是我們有理由相信在不久的將來(lái)，無(wú)線設(shè)備將更加安全完善，加密技術(shù)更加強(qiáng)大，傳輸速度與可靠性也會(huì)迅速提高，無(wú)線局域網(wǎng)將更加安全。

[1]蔣融融.無(wú)線網(wǎng)絡(luò)技術(shù)及管理[J].浙江廣播電視大學(xué),2008,3.

[2]吳功宜.計(jì)算機(jī)網(wǎng)絡(luò)高級(jí)教程[M].清華大學(xué)出版社,2007,10,1.

[3]劉延華.無(wú)線網(wǎng)絡(luò)及其安全[J].福州大學(xué),2010.

[4]李賢玉,吳小華.無(wú)線局域網(wǎng)安全分析與防護(hù)[M].哈爾濱工程大學(xué)出版社,2009.