摘要：隨之互聯(lián)網(wǎng)的迅速發(fā)展，無線網(wǎng)絡的應用也得到迅速的發(fā)展，但是安全問題沒有得到所有使用者的重視，很多無線網(wǎng)絡的使用者對自己的無線網(wǎng)絡完全沒有進行安全設置，任何人都可以進行連接和使用，這給網(wǎng)絡安全帶來了很大的風險。本文針對于常見的無線網(wǎng)絡安全問題進行了說明，并給出了通過個性化配置無線網(wǎng)絡設備提升網(wǎng)絡安全的方法。

關(guān)鍵詞：網(wǎng)絡安全；無線網(wǎng)絡

中圖分類號：TN92 文獻標識碼：A 文章編號：1007-9599 （2012） 22-0000-02

隨著互聯(lián)網(wǎng)和寬帶的普及，網(wǎng)絡的連接方式也發(fā)生了很大的變化，最近幾年出現(xiàn)了無線形式，無線網(wǎng)絡的使用給用戶帶來很大的便利性，也減少了線路損壞給網(wǎng)絡連接帶來的障礙。因此無線連接方式得到了廣泛的應用。但無線網(wǎng)絡的安全不可忽視，無線網(wǎng)絡的安全風險比有線大很多，對于無線網(wǎng)絡的安全管理，我們可以采用多種方式相結(jié)合，降低網(wǎng)絡的安全風險。

1 無線網(wǎng)絡面臨的風險

無線網(wǎng)絡應用日趨廣泛，很多人開始研究無線網(wǎng)絡，想免費使用別人的無線網(wǎng)絡，這就造成了無線網(wǎng)絡的安全風險比有線網(wǎng)絡要高很多。有線網(wǎng)絡存在的安全威脅在無線網(wǎng)絡中同樣存在，無線網(wǎng)絡是開放式系統(tǒng)，只要是在無線網(wǎng)絡覆蓋的范圍內(nèi)，就有機會連接到無線網(wǎng)絡，這就給無線網(wǎng)絡帶來了比有線網(wǎng)絡更多的安全問題。無線網(wǎng)絡所面臨的威脅主要表現(xiàn)下在以下幾個方面。

1.1 MAC地址欺騙。這種欺騙方式在有線網(wǎng)絡中也存在，這種欺騙很難被發(fā)現(xiàn)，攻擊者通常用網(wǎng)絡竊聽工具獲取數(shù)據(jù)，獲得AP允許通信的靜態(tài)地址池，再修改MAC值為已經(jīng)允許訪問網(wǎng)絡的設備MAC值以欺騙識別系統(tǒng)，進而獲取更多的網(wǎng)絡數(shù)據(jù)信息或權(quán)限，合法地接入無線網(wǎng)絡。

1.2 拒絕服務攻擊。攻擊者可能對無線AP發(fā)送大量的數(shù)據(jù)包，進行洪泛式攻擊，使AP超過了服務能力而拒絕提供服務，這是最為嚴重的一種攻擊，可以是網(wǎng)絡癱瘓。此外，對網(wǎng)絡內(nèi)的某個節(jié)點進行連續(xù)攻擊，讓它不停地提供服務或進行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，而達到設備拒絕服務的目的。

1.3 WEP破解。一些非法程序，在信號區(qū)覆蓋范圍內(nèi)收集到足夠的WEP弱密鑰加密的包，并進行分析破解。破解的速度很快。

1.4 網(wǎng)絡竊聽。無線網(wǎng)絡中很多通信都是未經(jīng)加密的，這種情況使無線信號覆蓋范圍內(nèi)的攻擊者有機會對通信進行監(jiān)視和破解。由于入侵者采用無線連接網(wǎng)絡，因此這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

1.5 信息重放。如果無線網(wǎng)絡安全措施不完善，很容易被攻擊者攻擊，攻擊者通常利用非法AP進行中間人欺騙攻擊。對于這種攻擊，即使采用了VPN 等一些保護措施也很難避免。中間人攻擊對授權(quán)客戶端和無線AP 同時進行欺騙，然后對信息進行竊取和篡改。

1.6 假冒攻擊。最為常用的入侵方法。由于無線網(wǎng)絡的連接不采用物理線路連接，所有信息都采用無線連接方式傳送，身份信息在傳輸時安全性降低，可能被竊聽。當攻擊者截獲合法用戶的身份信息時，可利用該用戶的合法身份侵入網(wǎng)絡，這種入侵識別比較困難。

2 提高無線網(wǎng)絡安全的方法

提高無線網(wǎng)絡安全的方法有多種，針對于不同的情況采用不同的方法，也可以多種方法相結(jié)合。

2.1 使用高級的無線加密協(xié)議。使用WEP加密方式安全性較低，但如果能夠正確使用WEP的全部功能，那么WEP仍有一定安全效果。無線網(wǎng)絡中常用的加密方式可以選擇WPA/WPA2等加密協(xié)議，要破解WPA協(xié)議需要很長的時間和復雜的配置，成功率也低很多。再結(jié)合其他的安全設置，可以提高網(wǎng)絡的安全性。

在設置加密方式時，可以使用WPA2-PSK加密。設置PSK可以降低拒絕服務攻擊和防止外部探測。然而傳統(tǒng)的PSK是共享給每個用戶的，沒法跟蹤或?qū)为毜膩碣e取消跟蹤。但有些產(chǎn)品提供動態(tài)PSK給每個用戶，如Ruckus DPSK和Aerohive PPSK可以解決這類問題。

2.2 禁止非授權(quán)的用戶聯(lián)網(wǎng)。無線網(wǎng)絡和有線網(wǎng)絡雖然都是計算機網(wǎng)絡，但有很大的區(qū)別。無線網(wǎng)絡是放射狀的，不存在專有線路連接，比有線網(wǎng)絡更容易識別和連接。因此，保障無線網(wǎng)絡的安全比有線網(wǎng)絡的安全更加困難。保證無線連接安全的關(guān)鍵是禁止非授權(quán)用戶訪問無線網(wǎng)絡，即安全的接入點對非授權(quán)用戶是關(guān)閉的，非授權(quán)用戶將無法連接入網(wǎng)絡。

2.3 禁用動態(tài)主機配置協(xié)議。動態(tài)配置協(xié)議在很多網(wǎng)絡中被普遍使用，給網(wǎng)絡管理提供了便利條件，但會給網(wǎng)絡帶來安全風險，因此應該禁用動態(tài)主機配置協(xié)議。采用這個策略后，即使黑客能使用你的無線接入點，但不知道IP地址等信息，會增加黑客破解無線網(wǎng)絡的難度。這樣可以提高無線網(wǎng)絡的安全性。

2.4 禁止使用或修改SNMP的默認設置。SNMP是簡單網(wǎng)絡管理協(xié)議，如果無線接入點支持這個協(xié)議， 那么應該禁用這個協(xié)議或修改初始配置。否則黑客可以利用這協(xié)議獲取無線網(wǎng)絡的重要信息，并進行攻擊。

2.5 盡量使用訪問列表。為了更好地保護無線網(wǎng)絡，可以設置一個訪問列表，使無線路由器只允許在規(guī)則內(nèi)MAC值的設備進行通訊，或者禁止黑名單中的MAC地址訪問。啟用MAC地址過濾，無線路由器會攔截禁止訪問的設備所發(fā)送的數(shù)據(jù)包，將這些數(shù)據(jù)包丟棄。因此對于惡意攻擊的主機，即使變換IP地址也無法進行訪問。但這項功能并不是所有無線接入點都會支持，并且需要手動輸入過濾的MAC值，工作量很大，支持訪問列表功能的接入點設備可以利用簡單文件傳輸協(xié)議（TFTP）定期自動地下載更新訪問列表，從而減少管理人員的工作量。

2.6 改變SSID號并且禁止SSID廣播。無線接入點的服務集標識（SSID）是無線接入的身份標識，是無線網(wǎng)絡用于無線服務連接的一項功能，用戶通過它連接到無線網(wǎng)絡，為了能夠連接成功并進行通訊，無線路由器和訪問設備必須使用相同的SSID。這個身份標識是由通信設備制造企業(yè)出廠時設置的，都有其默認值。在使用出廠設置的默認值的情況下，在設備使用中，無線路由器廣播其SSID號，任何在此設備覆蓋范圍內(nèi)的無線訪問設備都可以獲得SSID信息，使用此SSID值對接入設備進行配置后，可以實現(xiàn)與無線路由器進行通訊。黑客可以未經(jīng)授權(quán)輕松連接無線網(wǎng)絡。雖然大部分無線路由器都有禁用SSID廣播功能，但仍需要將每個無線接入點設置一個唯一、并且難以推測的SSID值，同時禁止SSID廣播。這樣，無線網(wǎng)絡就可以限制未授權(quán)的連接，只有知道SSID值的用戶才能進行連接，而且功能使用正常，只是它不會出現(xiàn)在搜索到的名單中，需要我們手動設置來連接到無線網(wǎng)絡。

2.7 修改無線網(wǎng)絡的管理賬戶和密碼。有很多用戶在使用無線網(wǎng)絡的時候自己修改了相關(guān)的安全設置，但是忽略了管理賬戶和密碼的修改。這樣一個給網(wǎng)絡安全帶來了隱患。因此在對無線網(wǎng)絡安全設置的時候就要先將管理帳號和密碼進行修改。

2.8 將IP地址和MAC地址綁定。在進行設置安全策略時，可以使用靜態(tài)IP，并給MAC地址指定IP值，進行綁定，如IP地址和MAC值不完全相同，設備會禁止訪問，可以降低安全風險。

2.9 修改接入點設備的接入IP地址。路由企業(yè)在生產(chǎn)設備時，會設置默認的LAN接入IP地址，很多設備的LAN接入IP是192.168.1.1或者是192.168.0.1，這樣的接入IP如果不進行修改很容易被攻擊者利用，通過嗅探和掃描，很容易發(fā)現(xiàn)網(wǎng)絡的漏洞。因此，在設置無線網(wǎng)絡安全時，可以將這個IP地址修改成其他值，攻擊者無法獲取接入IP，想攻擊無線網(wǎng)絡，難度增加。

有了這些策略，無線網(wǎng)絡可以放心安全的提供網(wǎng)絡給承包商，合作伙伴，客戶，和其他授權(quán)的來賓，而不用過多擔心安全問題。

參考文獻：

[1]仇芒仙.無線網(wǎng)絡的安全技術(shù)的探討[J].電腦應用與開發(fā)，2007.

[2]張麗娜，何遠.無線局域網(wǎng)安全淺析[J].硅谷，2010，4.

[3]莫林利.無線局域網(wǎng)技術(shù)及其安全性研究[J].科技信息，2009，8.

[4]潘曉偉.無線局域網(wǎng)安全性探討[J].科技傳播，2010，1.

[5]武波華，陳崛，費洪曉.淺析無線局域網(wǎng)安全性的改進.中國電子商務，2010，3.

[作者簡介]孫廣（1977.6-），男，漢，吉林省長春市，碩士，講師，長春工業(yè)大學人文信息學院，數(shù)據(jù)庫應用及網(wǎng)絡應用。