白學(xué)清

（中央財(cái)經(jīng)大學(xué)教學(xué)技術(shù)服務(wù)中心北京100081）

1 引言

當(dāng)今世界已經(jīng)進(jìn)入網(wǎng)絡(luò)時代，繼筆記本電腦普及之后，平板電腦和智能手機(jī)等移動終端已經(jīng)成為人們工作生活中必不可少的部分。移動的終端設(shè)備需要靈活方便的網(wǎng)絡(luò)，很多辦公室、會議室和家庭都通過增加一臺小型無線路由器，架設(shè)了自己的無線局域網(wǎng)。最近出現(xiàn)的迷你無線路由器，更是小巧到可以隨身攜帶，將3G轉(zhuǎn)換為WiFi信號，隨時隨地為多臺移動終端提供一個小型無線網(wǎng)絡(luò)。無線網(wǎng)比有線網(wǎng)更方便易用，而無線網(wǎng)面臨的安全威脅也比有線網(wǎng)更嚴(yán)重。

2 無線局域網(wǎng)的特殊性與安全威脅

與有線網(wǎng)使用線纜作為傳輸介質(zhì)不同,無線網(wǎng)用射頻進(jìn)行數(shù)據(jù)傳輸。傳輸介質(zhì)的特殊性，使得無線網(wǎng)面臨著特殊的安全威脅[1]：①射頻沒有邊界，不需要通過線纜接入固定的信息面板，在射頻信號覆蓋范圍內(nèi)的任何人都可以訪問通過射頻介質(zhì)傳輸?shù)臄?shù)據(jù)。這使得無線網(wǎng)容易受到非法接入的威脅；②任何基于電波的技術(shù)都有其天然的局限性，就是容易受到干擾，射頻信號也不例外。無線網(wǎng)受到的信號干擾威脅也比有線網(wǎng)要嚴(yán)重得多[2]。防范無線局域網(wǎng)的安全威脅，主要從防范非法接入與防止信號干擾2個方面入手。

3 防范非法接入無線網(wǎng)

成功架設(shè)和配置一個便利又安全的無線局域網(wǎng)，除了要讓合法設(shè)備接入網(wǎng)絡(luò)之外，還必須能攔住非法設(shè)備接入。下面介紹幾種防范非法接入的有效措施。

3.1 修改并隱藏SSID

服務(wù)集標(biāo)識符(SSID)是區(qū)分不同的無線網(wǎng)絡(luò)的唯一標(biāo)識符[3]，也就是俗稱的"網(wǎng)絡(luò)名稱"。用戶終端設(shè)備進(jìn)行無線網(wǎng)搜索時會得到無線網(wǎng)覆蓋區(qū)域的網(wǎng)絡(luò)名稱列表，他們就是SSID。SSID的命名可包含數(shù)字和字母的字符串，區(qū)分大小寫，長度一般為2～32個字符。無線路由器出廠時有一個缺省SSID名稱,一般以設(shè)備型號或者品牌名稱命名。

基于下面3個理由用戶需要修改其SSID。①在同一個無線網(wǎng)覆蓋區(qū)域內(nèi)，SSID不能重復(fù)，如果不修改設(shè)備缺省SSID,可能會出現(xiàn)SSID重名沖突,影響使用；②修改成個性化命名的SSID方便記憶和查找網(wǎng)絡(luò)；③出于安全考慮，防止網(wǎng)絡(luò)名稱被非法入侵者猜出，應(yīng)該放棄設(shè)備缺省SSID，使用自主命名。修改缺省SSID并將其隱藏是提高無線網(wǎng)安全性的有效措施。無線路由器缺省狀態(tài)的SSID設(shè)置為允許廣播，設(shè)備工作時會不斷發(fā)出SSID廣播信息，使無線網(wǎng)覆蓋環(huán)境下的用戶終端設(shè)備都可以搜索到該網(wǎng)絡(luò)名稱。該特性雖然有利于合法用戶找到網(wǎng)絡(luò)，也為非法入侵提供了方便。將SSID設(shè)置為禁止廣播，無線路由器停止發(fā)送廣播信息，終端設(shè)備的網(wǎng)絡(luò)搜索列表中不再出現(xiàn)該網(wǎng)絡(luò)名稱。這樣該網(wǎng)絡(luò)就像隱身了一樣，不知其名稱的人不能發(fā)現(xiàn)它的存在，是防止非法入侵的非常簡便有效的辦法。對合法用戶而言，仍然可以通過手動輸入正確的網(wǎng)絡(luò)名稱，找到并接入該網(wǎng)絡(luò)。而且大多數(shù)終端設(shè)備都有記住網(wǎng)絡(luò)名稱的功能，只需輸入一次，再次使用時能自動查找到可用的網(wǎng)絡(luò)。在大大提高安全性的同時，對無線網(wǎng)接入的便捷性影響很小。

3.2 使用正確的安全驗(yàn)證方式

無線網(wǎng)協(xié)議引入了多種身份驗(yàn)證機(jī)制，用戶在設(shè)置無線路由器，或者在使用終端設(shè)備接入無線網(wǎng)時也被要求選擇安全性類型。常見的安全類型有：開放式（不加密）、WEP、WPA個人級、WPA2個人級、WEP企業(yè)級、WPA企業(yè)級和WPA2企業(yè)級[4]，開放式一般不會使用。WEP（有線等效保密協(xié)議）、WPA（采用TKIP臨時密鑰完整性協(xié)議）和WPA2（采用AES高級加密標(biāo)準(zhǔn)）三者的安全性是逐步上升的，目前最安全的加密模式是WPA2。WEP的加密算法容易被破解，一般不要使用。但是需要注意的是，有些早期的無線網(wǎng)卡不支持WPA和WPA2，只能使用WEP。僅在硬件不支持的情況下使用WEP，只要設(shè)備支持，都應(yīng)該使用WPA2。另外個人級和企業(yè)級的區(qū)別在于是否擁有專門的身份驗(yàn)證服務(wù)器，個人級的驗(yàn)證是直接在無線路由器上完成的，企業(yè)級的驗(yàn)證工作由專門的身份驗(yàn)證服務(wù)器完成。沒有設(shè)置專門的身份驗(yàn)證服務(wù)器的無線網(wǎng)絡(luò)應(yīng)該使用WPA2個人級，具有專門的身份驗(yàn)證服務(wù)器的無線網(wǎng)絡(luò)應(yīng)該使用WPA2企業(yè)級。

3.3 MAC地址綁定

MAC地址綁定是局域網(wǎng)安全策略的常用手段，同樣可以在提升無線網(wǎng)絡(luò)安全性方面發(fā)揮作用。MAC地址也叫物理地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部，每個可無線上網(wǎng)的終端設(shè)備都有一個MAC地址。無線在路由器上啟用MAC地址綁定功能,導(dǎo)入允許接入該網(wǎng)絡(luò)的終端設(shè)備的MAC地址列表，能從根本上拒絕MAC地址列表以外的設(shè)備接入該無線網(wǎng)絡(luò)。綁定MAC地址的是可靠性非常高的網(wǎng)絡(luò)安全策略，不過其靈活性略有不足。在設(shè)置無線路由器時，需要提前獲取所有允許接入的終端設(shè)備的MAC列表，將其寫入無線路由器。如果出現(xiàn)新增的終端設(shè)備，也必須先在無線路由器上添加該新設(shè)備的MAC地址許可，之后該設(shè)備才能接入網(wǎng)絡(luò)。這種辦法成功阻止了非法設(shè)備接入，但也給合新設(shè)備接入帶來了障礙，在具體使用時需要在安全性與便利性之間進(jìn)行平衡。因此，這種方法一般適合終端設(shè)備比較固定，對安全性要求比較高的無線網(wǎng)絡(luò)使用。

3.4 關(guān)閉DHCP服務(wù)

DHCP是動態(tài)主機(jī)配置協(xié)議，網(wǎng)絡(luò)中的設(shè)備可以從DHCP服務(wù)器中獲取IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)以及其他IP網(wǎng)絡(luò)參數(shù)。關(guān)閉DHCP服務(wù)是局域網(wǎng)安全策略的常用手段，同樣可以用在無線網(wǎng)上。關(guān)閉DHCP服務(wù)后，終端設(shè)備不能自動獲得IP地地址等信息，需要手動配置[5]。這種辦法有助于阻止非法設(shè)備接入，但合法用戶也不能自動獲取IP地址信息，需要手動輸入，這對網(wǎng)絡(luò)接入的便利性有一定影響，因此適用于規(guī)模不大，終端設(shè)備比較固定的無線局域網(wǎng)環(huán)境。

3.5 更改無線路由器管理端的默認(rèn)設(shè)置

在防范無線網(wǎng)安全威脅方面，許多使用者都會修改缺省網(wǎng)絡(luò)名稱并設(shè)置密碼，阻止非法接入，而無線路由器管理端的安全問題卻容易被忽視。無線路由器往往沒有專門的控制接口和線纜，通常采用web瀏覽器進(jìn)行管理。不同品牌和型號的無線路由器管理地址、缺省用戶名和密碼非常相似，如多個路由器廠商的出廠管理地址是192.168.1.1或者192.168.0.1，缺省用戶名是admin，默認(rèn)密碼是admin或者為空等。如果不修改管理端的默認(rèn)設(shè)置，非常容易被猜出。管理端的大門一旦被非法打開，整個無線局域網(wǎng)完全暴露，其危害是最為嚴(yán)重的。因此，在第一次啟用無線路由器進(jìn)行管理設(shè)置時，就應(yīng)該立即更改管理用戶名和密碼，必要時也應(yīng)該更改管理地址，切不可長期使用缺省設(shè)置。

4 防止信號干擾

除非法接入威脅外，信號干擾也是無線網(wǎng)需要防范的安全問題。射頻信號容易受到障礙物和同頻段設(shè)備的影響，需要采取正確的措施防止信號干擾。

4.1 合理選址

因射頻信號會受到障礙物的影響，在放置無線接入點(diǎn)或無線路由器時，需正確選址。①充分利用射頻信號圓形覆蓋的規(guī)律，盡量放置在使用區(qū)域的中心位置；②墻壁對射頻信號影響很大，要盡量減少穿墻次數(shù)；③避免較障礙物的干擾，應(yīng)放置高于障礙物的位置。

4.2 避開同頻段設(shè)備

無線局域網(wǎng)使用的是免授權(quán)的工業(yè)、科學(xué)和醫(yī)療（ISM）頻段的射頻（RF）作為傳輸介質(zhì)。常用的IEEE802.11b/g標(biāo)準(zhǔn)使用2.4 GHz頻段，最新的802.11 n兼容2.4 GHz和5 GHz頻段。無線網(wǎng)主要使用的2.4 GHz頻段[6]，與無繩電話、藍(lán)牙設(shè)備和微波爐頻段相同。當(dāng)同頻段的設(shè)備距離較近時，相互干擾非常嚴(yán)重。在部署無線接入點(diǎn)或無線路由器時，要盡量避開這些同頻段設(shè)備。在使用無線網(wǎng)時，終端設(shè)備也盡可能遠(yuǎn)離這些容易造成干擾的設(shè)備。

5 結(jié)束語

從防范非法接入與防止信號干擾2個方面入手，將隱藏SSID、合理設(shè)置安全驗(yàn)證方式、更改路由器管理端默認(rèn)設(shè)置、合理選址和避開同頻段設(shè)備等措施綜合使用，能有效提高無線局域網(wǎng)的安全性。隨著無線網(wǎng)技術(shù)的不斷發(fā)展，無線城域網(wǎng)和下一代移動互聯(lián)網(wǎng)開始進(jìn)入人們的生活并將得到越來越廣泛的應(yīng)用。在享受無所不在的便利網(wǎng)絡(luò)的同時，無線網(wǎng)安全性問題面臨更加復(fù)雜和的嚴(yán)峻的挑戰(zhàn)，針對新問題的防范措施也需要進(jìn)一步研究和探索。

[1]林 磊,肖 鹍.W LAN技術(shù)的發(fā)展應(yīng)用及安全問題研究[J].科技信息,2012(3):150.

[2]任 偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全,2012(1):11-13.

[3]BRIAN B,CHRISTIAN B,TONY B.無線網(wǎng)絡(luò)安全[M].楊青,譯.北京:科學(xué)出版社,2009.

[4]W AYNEL.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA E x ploration:LAN交換和無線[M].北京:人民郵電出版社,2009.3

[5]王 元,王 東,潘宏友.無線網(wǎng)絡(luò)安全威脅與防范措施綜述[J].中國無線電,2011(5):65-66.