文/韓華鋒

基于802.11協(xié)議的無線局域網(wǎng)接入技術(shù)Wi-Fi具有無需布線、用戶移動性、建設(shè)便捷性、投資經(jīng)濟(jì)性等優(yōu)勢，在促進(jìn)校園無線網(wǎng)絡(luò)建設(shè)中將起到巨大的革新作用。Wi-Fi接入作為有線網(wǎng)絡(luò)的延伸，與有線網(wǎng)絡(luò)相比，它由于其物理上的公開性，經(jīng)常遇到各方面的威脅。

Wi-Fi校園網(wǎng)絡(luò)面臨的主要安全威脅

未經(jīng)授權(quán)使用服務(wù)

很少用戶使用AP時在其默認(rèn)的配置基礎(chǔ)上進(jìn)行過修改，幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。由于無線局域網(wǎng)的開放訪問方式，未經(jīng)授權(quán)擅自使用無線網(wǎng)絡(luò)服務(wù)會對正常用戶造成很惡劣的影響。一是會影響到正常用戶的網(wǎng)絡(luò)訪問速度；二是會對按照網(wǎng)絡(luò)流量繳納上網(wǎng)服務(wù)費用的用戶造成直接經(jīng)濟(jì)損失，甚至可能會導(dǎo)致法律糾紛；三是未經(jīng)授權(quán)使用無線網(wǎng)絡(luò)會增加正常用戶遭遇攻擊和被入侵的概率；四是如果未經(jīng)授權(quán)的用戶利用無線網(wǎng)絡(luò)進(jìn)行黑客行為造成安全事件，可能會導(dǎo)致ISP中斷服務(wù)，正常用戶可能受到牽連。

非法AP

由于任何聲稱是一個AP且廣播正確服務(wù)裝置的識別都是網(wǎng)絡(luò)認(rèn)證的一部分，并且IEEE802.11協(xié)議沒有任何功能要求一個AP證明它確實是一個AP。因此，攻擊者可以通過利用未經(jīng)認(rèn)證的AP偽裝到網(wǎng)絡(luò)中，輕易地假裝成一個AP。偽造AP的方式一般有以下兩種。一種假冒AP的方式是采用偽裝的方式，利用專用軟件將攻擊者指定的某個終端設(shè)備（包括計算機）偽裝成AP；另一種是攻擊者拿一個真實的AP，非法接入到被入侵的網(wǎng)絡(luò)中，而授權(quán)的客戶端就會無意識地連接到這個AP上來，給網(wǎng)絡(luò)和正常用戶帶來很大安全隱患。

信息泄露

由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線訪問點所服務(wù)的區(qū)域中未被授權(quán)的客戶端也可以接收。因此，無線網(wǎng)絡(luò)比較容易入侵，造成信息泄露。泄露威脅包括竊聽、截取和監(jiān)聽。由于大多網(wǎng)絡(luò)通信都是以非加密的方式在網(wǎng)絡(luò)上傳輸?shù)?，因此通過觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流模式，就能夠得到用戶的網(wǎng)絡(luò)通信信息。

服務(wù)和性能限制

無線局域網(wǎng)的傳輸帶寬是有限的，而且由于物理層的開銷，使無線局域網(wǎng)的實際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果發(fā)送廣播流量，就會同時阻塞多個AP；利用非法的數(shù)據(jù)流覆蓋Wi-Fi所有的頻段（2400～2483. 5MHz這83. 5MHz頻段），導(dǎo)致服務(wù)器負(fù)荷超載，使得合法的業(yè)務(wù)需求無法被接收或者是正常的數(shù)據(jù)流不能到達(dá)用戶或接入點。另外，微波爐、嬰兒監(jiān)視器、無繩電話等工作在2. 4GHz頻段上的設(shè)備都會干擾整個頻率上的無線網(wǎng)絡(luò)，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

非法侵入

無線局域網(wǎng)為了能夠使用戶發(fā)現(xiàn)，網(wǎng)絡(luò)持續(xù)發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者通過高靈敏度天線可以從公路邊、樓宇中以及其他任何地方不需要任何物理方式的侵入而對網(wǎng)絡(luò)發(fā)起攻擊。一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱和容易受到攻擊的。此外，通過簡單配置無線網(wǎng)絡(luò)就可快速地接入主干網(wǎng)絡(luò)，但這樣會使主干網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使重要網(wǎng)絡(luò)暴露出來從而遭到攻擊。

入侵者破解Wi-Fi網(wǎng)絡(luò)方法

WEP加密破解

收集足夠的Cap數(shù)據(jù)包（5～15萬），然后使用aircrack破解，在無客戶端情況下都可以采用主動注入的方式破解。

WPA加密破解

在合法的客戶端在線的情況下，接收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。入侵者通常主動攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手，入侵者即可抓到包含握手信息的數(shù)據(jù)包，或可守株待兔等待合法的客戶端上線與AP握手。

WPA-PSK 破解

WPA-PSK/WPA2-PSK（TKIP，AES）是目前主流的加密方式，破解無線WPA-PSK加密難度較大，目前主要依賴字典，受單機CPU運算主頻限制。目前單機速度主要100～400key/s，破解8～12位密碼耗費時間大概需要70～280小時。

Wi-Fi配置安全防范措施

加強安全認(rèn)證

加強安全認(rèn)證是最好的防御方法，也就是阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)。由于訪問特權(quán)是基于用戶身份的，所以進(jìn)行認(rèn)證的前提是對認(rèn)證過程進(jìn)行加密，通過VPN技術(shù)能夠有效地保護(hù)通過電波傳輸?shù)木W(wǎng)絡(luò)信息。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對無線網(wǎng)絡(luò)進(jìn)行測試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。

定期進(jìn)行站點審查

入侵者在使用網(wǎng)絡(luò)之前會通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，所以盡可能頻繁地進(jìn)行物理站點的監(jiān)測可增加發(fā)現(xiàn)非法配置站點存在的機率，但是這樣會花費很多的時間并且移動性很差。一種折中的辦法是選擇小型的手持式檢測設(shè)備，隨時到網(wǎng)絡(luò)的任何位置進(jìn)行檢測。

隔離無線網(wǎng)絡(luò)和核心網(wǎng)絡(luò)

在網(wǎng)絡(luò)規(guī)劃中布置Wi-Fi設(shè)備時可以使用防火墻把有線校園網(wǎng)絡(luò)和多個無線網(wǎng)絡(luò)分開，或考慮在周邊網(wǎng)絡(luò)內(nèi)布建無線存取網(wǎng)絡(luò)，這樣即使無線客戶端被破解，入侵者還是無法攻擊有線網(wǎng)絡(luò)。如果學(xué)校沒有專門防火墻也可以跟VLAN結(jié)臺起來，把無線網(wǎng)絡(luò)單獨劃分一個或幾個VLAN，這些VLAN不能訪問校園的任何有線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)上的使用者需要訪問有線網(wǎng)絡(luò)的時候必須使用VPN隧道技術(shù)。

網(wǎng)絡(luò)檢測

很多AP可以通過SN-MP報告統(tǒng)計信息，但是信息十分有限，不能反映用戶的實際問題。無線網(wǎng)絡(luò)測試儀則能夠如實反映當(dāng)前位置信號的質(zhì)量和網(wǎng)絡(luò)健康情況，還可以有效識別網(wǎng)絡(luò)速率、幀的類型，幫助進(jìn)行網(wǎng)絡(luò)故障定位。

加強網(wǎng)絡(luò)訪問控制

通過強大的網(wǎng)絡(luò)訪問控制可以減少無線網(wǎng)絡(luò)遭遇攻擊的風(fēng)險，一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏。當(dāng)然如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基于IEEE802.1X的新的無線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1X定義了用戶級認(rèn)證的新的幀類型，借助于校園網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫，將前端基于IEEE802.1X無線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。

使用可靠的協(xié)議進(jìn)行加密

如果無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSL、IPSec等加密技術(shù)來加強數(shù)據(jù)的安全性。

做好無線設(shè)備的安全配置

無線路由器或中繼器是無線網(wǎng)絡(luò)中最重要的設(shè)備之一。一般來說，同品牌的無線設(shè)備訪問地址都是相同的，如192.168.1.1等；而其默用的用戶名、密碼也大多為admin；其SSID標(biāo)識也都一樣。如果不修改這些默認(rèn)的設(shè)置，那么入侵者則可以非常容易地通過掃描工具找到這些設(shè)備并進(jìn)入管理界面，獲得設(shè)備的控制權(quán)。因此，修改默認(rèn)設(shè)置是項最基本的安全措施。無線安全設(shè)置主要包括：禁止 SSID廣播、過濾MAC、關(guān)閉DHCP，設(shè)置密鑰、防Ping等，這不僅對無線網(wǎng)絡(luò)設(shè)備有用，對其他共享上網(wǎng)的ADSL、路由等同樣有效。

網(wǎng)絡(luò)技術(shù)不斷在更新，新的安全漏洞也會不斷出現(xiàn)，我們需要做的就是不斷加強的安全意識，而不是一味地去防范新的破解技術(shù)。網(wǎng)絡(luò)安全與加密、認(rèn)證等機制有關(guān)，而且還需要入侵檢測、防火墻等技術(shù)的配合來共同保障，因此基于Wi-Fi校園網(wǎng)的安全需要從多層次來考慮，綜合利用各種技術(shù)來實現(xiàn)。