佘艷

摘 要：無(wú)線(xiàn)網(wǎng)絡(luò)在帶給人們便捷的同時(shí)，也帶來(lái)了一定的網(wǎng)絡(luò)安全隱患，要高度重視無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題。本文分析了無(wú)線(xiàn)網(wǎng)絡(luò)存在的主要安全威脅，闡述了無(wú)線(xiàn)網(wǎng)絡(luò)主要信息安全技術(shù)，重點(diǎn)對(duì)可以采取的無(wú)線(xiàn)網(wǎng)絡(luò)安全對(duì)策進(jìn)行了探討。

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng)絡(luò)；信息安全；對(duì)策

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)以獨(dú)特的優(yōu)點(diǎn)，被許多企業(yè)、政府、家庭所使用，但在其安裝、使用便利，接入方式靈活的同時(shí)，由于無(wú)線(xiàn)網(wǎng)絡(luò)傳送的數(shù)據(jù)是利用無(wú)線(xiàn)電波在空中輻射傳播，這種傳播方式是發(fā)散的、開(kāi)放的，這給數(shù)據(jù)安全帶來(lái)了諸多潛在的隱患。無(wú)線(xiàn)網(wǎng)絡(luò)可能會(huì)遭到搜索攻擊、信息泄露攻擊、無(wú)線(xiàn)身份驗(yàn)證欺騙攻擊、網(wǎng)絡(luò)接管與篡改、拒絕服務(wù)攻擊等安全威脅，因此，探討新形勢(shì)下無(wú)線(xiàn)網(wǎng)絡(luò)安全的應(yīng)對(duì)之策，對(duì)確保無(wú)線(xiàn)網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)運(yùn)行質(zhì)量具有十分重要的意義。

2 無(wú)線(xiàn)網(wǎng)絡(luò)存在的主要安全威脅

無(wú)線(xiàn)網(wǎng)絡(luò)存在的主要安全威脅有兩類(lèi)：一類(lèi)是關(guān)于網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊；另一類(lèi)是基于無(wú)線(xiàn)通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對(duì)于第一類(lèi)攻擊在有線(xiàn)網(wǎng)絡(luò)的環(huán)境下也會(huì)發(fā)生?？梢?jiàn)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

2.1 攻擊者侵入威脅

無(wú)線(xiàn)局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶(hù)發(fā)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過(guò)高靈敏度天線(xiàn)在合適的范圍內(nèi)對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過(guò)自己購(gòu)買(mǎi)的AP，不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò)。很多部門(mén)未通過(guò)公司IT中心授權(quán)就自建無(wú)線(xiàn)局域網(wǎng)，用戶(hù)通過(guò)非法AP接入給網(wǎng)絡(luò)帶來(lái)很大安全隱患。還有的部分設(shè)備、技術(shù)不完善，導(dǎo)致網(wǎng)絡(luò)安全性受到挑戰(zhàn)。這些挑戰(zhàn)可能包括竊聽(tīng)、截取和監(jiān)聽(tīng)。以被動(dòng)和無(wú)法覺(jué)察的方式入侵檢測(cè)設(shè)備的，即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量，從而識(shí)別出可以破解的信息。

2.2 相關(guān)無(wú)線(xiàn)網(wǎng)絡(luò)保密機(jī)制存在缺陷

WEP機(jī)制用來(lái)提高無(wú)線(xiàn)網(wǎng)絡(luò)安全性，但長(zhǎng)期的運(yùn)行結(jié)果是該機(jī)制存在一定的安全缺陷，值得影響大家的關(guān)注。加密算法過(guò)于簡(jiǎn)單。WEP中的IV由于位數(shù)太短和初始化復(fù)位設(shè)計(jì)，常常出現(xiàn)重復(fù)使用現(xiàn)象，易于被他人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法，在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)，容易被黑客攻破。一個(gè)是接入點(diǎn)和客戶(hù)端使用相同的加密密鑰。如果在家庭或者小企業(yè)內(nèi)部，一個(gè)訪(fǎng)問(wèn)節(jié)點(diǎn)只連接幾臺(tái)PC的話(huà)還可以，但如果在不確定的客戶(hù)環(huán)境下則無(wú)法使用。讓全部客戶(hù)都知道密鑰的做法，無(wú)疑在宣告WLAN根本沒(méi)有加密。不同的制造商提供了兩種WEP級(jí)別，一種建立在40位密鑰和24位初始向量基礎(chǔ)上，被稱(chēng)作64位密碼；另一種是建立在104位密碼加上24位初始向量基礎(chǔ)上的，被稱(chēng)作128位密碼。高水平的黑客，要竊取通過(guò)40位密鑰加密的傳輸資料并非難事，40位的長(zhǎng)度就擁有2的40次方的排列組合，而RSA的破解速度，每秒就能列出2.45×109種排列組合，很容易就可以被破解出來(lái)。

雖然WEP有著種種的不安全，但是很多情況下，許多訪(fǎng)問(wèn)節(jié)點(diǎn)甚至在沒(méi)有激活WEP的情況下就開(kāi)始使用網(wǎng)絡(luò)了，這好像在敞開(kāi)大門(mén)迎接敵人一樣。用NetStumbler等工具掃描一下網(wǎng)絡(luò)就能輕易記下MAC地址、網(wǎng)絡(luò)名、服務(wù)設(shè)置標(biāo)識(shí)符、制造商、信道、信號(hào)強(qiáng)度、信噪比的情況。作為防護(hù)功能的擴(kuò)展，最新的無(wú)線(xiàn)局域網(wǎng)產(chǎn)品的防護(hù)功能更進(jìn)了一步，利用密鑰管理協(xié)議實(shí)現(xiàn)每15分鐘更換一次WEP密鑰，即使最繁忙的網(wǎng)絡(luò)也不會(huì)在這么短的時(shí)間內(nèi)產(chǎn)生足夠的數(shù)據(jù)證實(shí)攻擊者破獲密鑰。然而，一半以上的用戶(hù)在使用AP時(shí)只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改，幾乎所有的AP都按照默認(rèn)配置來(lái)開(kāi)啟WEP進(jìn)行加密或者使用原廠(chǎng)提供的默認(rèn)密鑰。

2.3 搜索攻擊威脅

進(jìn)行搜索也是攻擊無(wú)線(xiàn)網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的軟件。很多無(wú)線(xiàn)網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動(dòng)狀態(tài)，如果沒(méi)有關(guān)閉AP（無(wú)線(xiàn)基站）廣播信息功能，AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱(chēng)、SSID（安全集標(biāo)識(shí)符）等可給黑客提供入侵的條件。同時(shí)，許多用戶(hù)由于安全意識(shí)淡薄，沒(méi)有改變?nèi)笔〉呐渲眠x項(xiàng)，而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱，容易遭受黑客攻擊。

除通過(guò)欺騙幀進(jìn)行攻擊外，攻擊者還可以通過(guò)截獲會(huì)話(huà)幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過(guò)監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒(méi)有要求AP必須證明自己真是一個(gè)AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過(guò)這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒(méi)有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過(guò)會(huì)話(huà)攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無(wú)法避免的。

2.4 網(wǎng)絡(luò)身份冒充

網(wǎng)絡(luò)身份冒充是采取假冒相關(guān)用戶(hù)的身份，通過(guò)網(wǎng)絡(luò)設(shè)備，使得它們錯(cuò)誤地認(rèn)為來(lái)自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過(guò)同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的，最簡(jiǎn)單的方法是重新定義無(wú)線(xiàn)網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。由于TCP/IP的設(shè)計(jì)原因，幾乎無(wú)法防止MAC/IP地址欺騙。只有通過(guò)靜態(tài)定義MAC地址表才能防止這種類(lèi)型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過(guò)智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過(guò)的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候，簡(jiǎn)單地通過(guò)讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無(wú)線(xiàn)網(wǎng)身份驗(yàn)證。

3 無(wú)線(xiàn)網(wǎng)絡(luò)安全對(duì)策探討

提高無(wú)線(xiàn)網(wǎng)絡(luò)安全等級(jí)，必須首先從思想要高度重視，提出有效的應(yīng)對(duì)舉措，確保無(wú)線(xiàn)網(wǎng)絡(luò)安全。

3.1 科學(xué)進(jìn)行網(wǎng)絡(luò)部署

選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時(shí)還要做到如下幾點(diǎn)：修改設(shè)備的默認(rèn)值；把基站看作 RAS（RemoteAccessServer，遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器）；指定專(zhuān)用于無(wú)線(xiàn)網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線(xiàn)對(duì)授權(quán)用戶(hù)和入侵者的影響；在網(wǎng)絡(luò)上，針對(duì)全部用戶(hù)使用一致的授權(quán)規(guī)則；在不會(huì)被輕易損壞的位置部署硬件。

3.2 合理配置網(wǎng)絡(luò)的接入點(diǎn)設(shè)備

要對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)加裝防火墻，并且在進(jìn)行網(wǎng)絡(luò)配置時(shí)，要首先確保無(wú)線(xiàn)接入點(diǎn)放置在防火墻范圍之外，提高防火墻的防御功效。同時(shí)，要利用基于MAC地址的ACLs（訪(fǎng)問(wèn)控制表）確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。MAC過(guò)濾技術(shù)就如同給系統(tǒng)的前門(mén)再加一把鎖，設(shè)置的障礙越多，越會(huì)使黑客知難而退，不得不轉(zhuǎn)而尋求其他低安全性的網(wǎng)絡(luò)。

3.3 重視發(fā)揮WEP協(xié)議的重要作用

WEP是802.11b無(wú)線(xiàn)局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí)，WEP可以通過(guò)加密無(wú)線(xiàn)傳輸數(shù)據(jù)來(lái)提供類(lèi)似有線(xiàn)傳輸?shù)谋Ｗo(hù)。在簡(jiǎn)便的安裝和啟動(dòng)之后，應(yīng)立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶(hù)登錄后進(jìn)行動(dòng)態(tài)改變，這樣，黑客想要獲得無(wú)線(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化?；跁?huì)話(huà)和用戶(hù)的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù)，為網(wǎng)絡(luò)增加另外一層防范。此外，所有無(wú)線(xiàn)局域網(wǎng)都有一個(gè)缺省的SSID（服務(wù)標(biāo)識(shí)符）或網(wǎng)絡(luò)名，立即更改這個(gè)名字，用文字和數(shù)字符號(hào)來(lái)表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力，應(yīng)該定期更改SSID：即取消SSID自動(dòng)播放功能。

[參考文獻(xiàn)]

[1]張帆，趙德復(fù).無(wú)線(xiàn)網(wǎng)絡(luò)安全探討[J].華南金融電腦，2009，（05）.

[2]劉鐘情，任小燕.基于無(wú)線(xiàn)網(wǎng)絡(luò)安全的ECC點(diǎn)積算法研究[J].通信技術(shù)，200，（11）.

[3]石穎.基于EAP-TLS認(rèn)證的無(wú)線(xiàn)網(wǎng)絡(luò)安全接入[J].計(jì)算機(jī)安全，2009，（09）.