趙九思 劉 劍

（天津市公安局，中國 天津 300020）

隨著無線技術的迅速發(fā)展，無線保真技術WIFI應勢而生。WIFI以其突出的優(yōu)勢：覆蓋范圍廣；傳輸速度快；信號密集，定位精確；組建簡單；免布線等，迅速風靡于全世界。讓世界城市的每個角落都能上寬帶的“無線城市”夢想已經(jīng)變成了現(xiàn)實，基本實現(xiàn)了從“無線城市”到“無線國家”甚至“無線地球”之間的跨越。在無線網(wǎng)絡日趨普及的同時，人們必須首先考慮加強無線網(wǎng)絡的安全措施，以便更有效、更放心地使用。

1 WIFI技術簡介

WIFI（Wireless Fidelity）俗稱無線寬帶，又叫802.11b標準，是IEEE定義的一個無線網(wǎng)絡通信的工業(yè)標準。IEEE802.11b標準是在IEE E802.11的基礎上發(fā)展起來的，工作在2.4Hz頻段，最高傳輸率能夠達到11Mbps。該技術是一種可以將個人電腦，手持設備等終端以無線方式互相連接的一種技術。

2 WIFI安全隱患分析

隨著無線網(wǎng)絡的逐漸普及，網(wǎng)絡安全問題也正變得日益嚴峻。無線通訊的本性使然，由于傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達預期之外的、安裝在不同樓層、甚至是發(fā)射機所在的大樓之外的接收設備，因此，數(shù)據(jù)安全也就成為最重要的問題。沒有良好保護的無線網(wǎng)絡可造成客戶的無線通訊被黑客攔截，從而造成重大損失。黑客能夠利用竊取的信用卡號碼、銀行賬戶口令、機密的商務信息以及其它敏感的數(shù)據(jù)為自己及其同伙牟利。

《孫子兵法》有云：知己知彼，百戰(zhàn)不殆。為了使無線網(wǎng)絡安全、有效地運行，為了抵御黑客的入侵和破壞，對無線網(wǎng)絡的安全隱患進行分析研究、找出無線網(wǎng)絡的隱患所在是至關重要的。通過對目前無線網(wǎng)絡的犯罪事例分析研究，對無線網(wǎng)絡安全的威脅主要表現(xiàn)在以下幾個方面：

2.1 容易侵入

WIFI無線網(wǎng)絡非常容易被找到，信號提供者為了使用戶能夠發(fā)現(xiàn)WIFI的存在，在發(fā)送信號時，會發(fā)送有特定參數(shù)的信標幀，這就給入侵者提供了一定的入侵條件；還有一些個別用戶在組建網(wǎng)絡時沒有改變WIFI路由器的默認設置，這種默認設置對于外界的連接要求以及對數(shù)據(jù)的加密都是疏于防范的，因此這樣處于信號覆蓋范圍內的WIFI設備都可以很容易的連接到網(wǎng)絡，從而造成入侵。

2.2 惡意訪問點

惡意訪問點指的是那些沒有經(jīng)過網(wǎng)絡規(guī)劃或者許可接入網(wǎng)絡的訪問點，惡意訪問點逐漸成為安全行業(yè)令人頭痛的一個問題。入侵者會掃瞄所有開放的無線訪問點AP(Access Point)，其中，部分網(wǎng)絡的確是為大眾提供的，但多數(shù)則是因為用戶沒有做好安全設置造成的。無線網(wǎng)絡訪問便捷和容易配置的特點，使得任何使用者的無線設備都可以通過購買的無線訪問點AP，而輕松的接入網(wǎng)絡。當今無線局域網(wǎng)的構建已經(jīng)相當?shù)姆奖悖谝恍﹩挝粌炔?，很多部門在沒有經(jīng)過網(wǎng)絡部門授權的情況下就自行組建無線局域網(wǎng)，這種非專業(yè)人員安裝的無線路由器和訪問點設備，在安裝時很少考慮網(wǎng)絡的安全策略。這樣就給網(wǎng)絡留下了安全隱患。

2.3 破解 WEP

當今，WEP有漏洞可以被入侵者利用，入侵者通過掃描WEP安全協(xié)議的漏洞，破解無線通信設備與用戶之間的聯(lián)系。如果入侵者只是采用簡單的監(jiān)視方式的攻擊，則需要花費很長的時間才能破解，而利用一些軟件工具進行解密，所需的時間就很短了。盡管后來許多廠商針對WEP研發(fā)了安全策略，但也不能將安全保障都寄希望于加密WEP協(xié)議。因為它多層網(wǎng)絡安全措施有很多層，雖然加密WEP協(xié)議具有很重要的作用，但整個的網(wǎng)絡安全不能只依賴其中一層的安全性能。

2.4 欺騙

欺騙（Spoofing）是指黑客將偽造的信息發(fā)送給計算機的行為。由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認證操作，入侵者可以使用欺騙幀的方式，重新定向數(shù)據(jù)流、使ARP表變得混亂，經(jīng)過簡單的操作，入侵者就可以輕易獲得網(wǎng)絡中站點的MAC地址，這些MAC地址可以用于惡意入侵時使用。

3 排除WIFI安全隱患的措施

“工欲善其事，必先利其器”，在我國全面建成“無線城市”之前，必須先加強WIFI安全保護措施，使無線網(wǎng)絡在安全、健康的情況下，在為我國的城市建設和發(fā)展中發(fā)揮出最大的優(yōu)勢。

3.1 設置新的SSID

無線局域網(wǎng)都有一個缺省的SSID，在組建網(wǎng)絡時應更改這個設置，需要取消SSID的自動播放功能，同時通過對多個訪問點AP設置不同的SSID，要求相關的無線接入設備必須驗證SSID后才能訪問AP，這樣在一定程度上可以提高網(wǎng)絡的安全性，但這種SSID是用字母和數(shù)字符號來表示的，只是一種簡單的口令，使用該網(wǎng)絡的用戶都知道，因此容易泄露，所以只用于對安全等級要求不高的網(wǎng)絡。

3.2 啟用加密措施WPA

WEP提供了40位和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個應用范圍內的所有用戶共同使用一個密鑰，只要一個用戶丟失或者泄漏密鑰將使整個網(wǎng)絡不安全。改善靜態(tài)WEP安全的一種方法是設置接入點使用MAC過濾，僅允許事先確定的用戶群訪問這個網(wǎng)絡，但MAC地址在理論上可以偽造。盡量使用WPA或者WPA2形式的加密措施。擁有用戶和計算機認證的EAP-TLS（擴展認證協(xié)議-傳輸層安全）的WPA或者WPA2是最強大的身份識別方式。EAP-TLS使用數(shù)字證書提供互相身份識別。

3.3 虛擬專用網(wǎng)絡VPN

VPN是一種虛擬的、加密的網(wǎng)絡，它是在現(xiàn)有網(wǎng)絡上組建的。VPN主要使用“隧道傳輸”（tunneling）技術，因為加密數(shù)據(jù)流是通過一個普通的、未加密的連接來設置和維護的。VPN將安全的內部網(wǎng)延展到遠程用戶。因此，遠程無線用戶能同時出現(xiàn)在兩個網(wǎng)絡中。在使用無線網(wǎng)絡的同時，還創(chuàng)建了一個VPN隧道，從而將遠程客戶端連接到公司的內部網(wǎng)絡。這樣一來，用戶在遠程位置也能使用內部網(wǎng)的資源。在WEP加密基礎上再使用VPN加密，攻擊者就難以同時對數(shù)據(jù)進行兩道解密。尤其是，攻擊者無法輕松獲得VPN口令、證書或者智能卡密鑰，破解VPN數(shù)據(jù)的幾率是非常低的。

3.4 無線網(wǎng)絡由專業(yè)人員構建

近年來無線網(wǎng)絡飛速發(fā)展，相應組建無線網(wǎng)絡的設備也相當普及，這就給構建無線網(wǎng)絡提供了非常便利的條件，但非專業(yè)人士在安裝無線路由器等相關設備時，很少考慮網(wǎng)絡的安全性，入侵者通過網(wǎng)絡探測工具就可以對找到無線網(wǎng)絡的“后門”。因此，在構建無線網(wǎng)絡時需要由專業(yè)人員設計、制作，這樣才能最大限度的提高無線網(wǎng)絡的安全性。

4 結束語

在我國“無線城市”的建設和完善過程中，我們必須深入考慮網(wǎng)絡的信息安全問題，在認真借鑒和分析其他國家經(jīng)驗和教訓的同時，結合我國的網(wǎng)絡現(xiàn)狀，以科學發(fā)展觀為指導，建設適應我國經(jīng)濟社會需求的無線網(wǎng)絡，為中國特色社會主義經(jīng)濟建設提供有力的網(wǎng)絡支持。