【摘 要】本文在簡(jiǎn)單介紹局域網(wǎng)及安全隱患負(fù)面影響相關(guān)問題的基礎(chǔ)上，對(duì)無(wú)線局域網(wǎng)的安全隱患進(jìn)行了討論和分析，并以此為依據(jù)，提出針對(duì)性的解決辦法。

【關(guān)鍵詞】計(jì)算機(jī)局域網(wǎng) 安全隱患 應(yīng)對(duì)策略

我們當(dāng)前正處于一個(gè)信息技術(shù)、網(wǎng)絡(luò)技術(shù)高速發(fā)展的信息社會(huì)，信息化辦公系統(tǒng)的廣泛應(yīng)用極大的提升了日常工作的整體效率。作為內(nèi)部信息傳播和共享的重要途徑，局域網(wǎng)的建設(shè)規(guī)模不斷擴(kuò)大，在信息化建設(shè)中的地位也得到日益凸顯，但同時(shí)存在的局域網(wǎng)絡(luò)安全問題，卻給局域網(wǎng)建設(shè)的進(jìn)一步進(jìn)行帶來了嚴(yán)重的阻礙。鑒于無(wú)線局域網(wǎng)的應(yīng)用日趨普遍，所以本次研究從無(wú)線局域網(wǎng)入手，對(duì)影響計(jì)算機(jī)局域網(wǎng)絡(luò)安全的各類隱患進(jìn)行探究，并以此為依據(jù)，形成針對(duì)性的改進(jìn)和應(yīng)對(duì)建議。

一、無(wú)線局域網(wǎng)的安全隱患分析

無(wú)線局域網(wǎng)（Wireless Lan，簡(jiǎn)稱WLAN），采用無(wú)線電波作為網(wǎng)上傳輸媒介，無(wú)法像傳統(tǒng)的有線局域網(wǎng)那樣對(duì)網(wǎng)絡(luò)資源的物理訪問進(jìn)行限制。同時(shí)，雖然有建筑材料和周圍環(huán)境的限制，但是無(wú)線網(wǎng)絡(luò)信號(hào)在絕大多數(shù)情況下依然可以傳播到方位外區(qū)域，也就是說，網(wǎng)絡(luò)覆蓋范圍內(nèi)均可作為WLAN接入點(diǎn)，這就給入侵者竊聽網(wǎng)絡(luò)數(shù)據(jù)、攻擊無(wú)線網(wǎng)絡(luò)創(chuàng)造了更多的機(jī)會(huì)。不過為了實(shí)現(xiàn)這一目標(biāo)，入侵者首先要做到的就是獲取網(wǎng)絡(luò)訪問權(quán)限。另外，WLAN作為計(jì)算機(jī)網(wǎng)絡(luò)的一類，必然符合相應(yīng)的網(wǎng)絡(luò)協(xié)議，所以如計(jì)算機(jī)病毒等網(wǎng)絡(luò)威脅因素同樣會(huì)對(duì)WLAN內(nèi)的全部計(jì)算機(jī)形成乃至形成更多的威脅。綜上所述，影響WLAN安全的隱患和威脅主要包括拒絕服務(wù)、置信攻擊、截取、修改或竊聽傳輸數(shù)據(jù)等。

二、無(wú)線局域網(wǎng)安全隱患的應(yīng)對(duì)策略

（一）服務(wù)集標(biāo)識(shí)符的改變以及SSID廣播的禁止

作為無(wú)線接入的身份標(biāo)識(shí)符，SSID的作用就是幫助建立用戶和接入點(diǎn)直接的連接，該標(biāo)識(shí)符由通信設(shè)備制造商設(shè)置，且不同廠家的缺省值不同，如果黑客了解某單位無(wú)線局域網(wǎng)所使用的通信設(shè)備品牌，就可以輕易獲取關(guān)于標(biāo)識(shí)符的信息，從而無(wú)需經(jīng)過授權(quán)即可享受無(wú)線服務(wù)。針對(duì)這一問題，我們可以為各個(gè)無(wú)線接入點(diǎn)設(shè)置相對(duì)復(fù)雜且唯一的SSID，如果條件允許，還可以禁止SSID的向外廣播，這樣一來，無(wú)線局域網(wǎng)就不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中，非本單位人員也就無(wú)法通過常規(guī)方式接入無(wú)線局域網(wǎng)。

（二）靜態(tài)IP與綁定MAC地址

無(wú)線路由器或AP在對(duì)IP地址進(jìn)行分配時(shí)，大多默認(rèn)采用DHCP即動(dòng)態(tài)IP地址分配的方式，黑客只需找到無(wú)線網(wǎng)絡(luò)，就可以輕易借助DHCP獲取合法IP地址并完成接入。所以，管理人員應(yīng)將DHCP服務(wù)關(guān)閉，并為本單位的每一臺(tái)電腦配置一個(gè)固定的IP地址，隨后，完成IP地址與該P(yáng)C網(wǎng)卡MAC地址的綁定，從而為局域網(wǎng)安全性的提升提供“雙保險(xiǎn)”。在這里，我們需要重點(diǎn)介紹一下企業(yè)網(wǎng)絡(luò)中存在較為普遍的ARP病毒，在完成IP與MAC地址綁定后，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)建立一個(gè)包含IP、MAC地址對(duì)應(yīng)關(guān)系的ARP列表，若源主機(jī)需要將一個(gè)數(shù)據(jù)包發(fā)送到目的主機(jī)，且自身ARP列表中沒有與該IP地址對(duì)應(yīng)的MAC地址，就會(huì)在本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求廣播包，網(wǎng)絡(luò)中其它主機(jī)在收到該請(qǐng)求后，會(huì)對(duì)其中的IP地址是否與自己相符進(jìn)行檢查，若相符，則先將發(fā)送端的IP與MAC地址添加到自身的ARP列表，并向源主機(jī)發(fā)送響應(yīng)數(shù)據(jù)包。隨后，源主機(jī)將響應(yīng)數(shù)據(jù)包的IP和MAC地址存入自己的ARP列表，并開始數(shù)據(jù)傳輸。但是，當(dāng)主機(jī)收到ARP應(yīng)答包后，并不會(huì)對(duì)自己是否發(fā)送過相應(yīng)的ARP請(qǐng)求進(jìn)行驗(yàn)證，而是直接將應(yīng)答包中的IP與MAC地址替換ARP列表中的原有信息，這一缺陷使得截取兩主機(jī)間的數(shù)據(jù)通信成為可能。就以往的實(shí)踐經(jīng)驗(yàn)看，IP與MAC地址綁定并不能完全抵制ARP病毒攻擊，所以對(duì)通信保密要求較高且經(jīng)濟(jì)條件允許的單位，最好還是使用多wan免疫路由器。另外，在存在多AP的情況下，位于中心點(diǎn)的AP連接的終端個(gè)數(shù)難免會(huì)高于周圍AP，并引起負(fù)載不均衡的問題，對(duì)于此類問題，可以通過終端主控、AP主控負(fù)載均衡以及接入式、切換式負(fù)載均衡的辦法加以解決，也可以選擇市場(chǎng)上帶有負(fù)載均衡的路由器產(chǎn)品加以解決。

（三）無(wú)線加密協(xié)議的應(yīng)用

無(wú)線加密協(xié)議，簡(jiǎn)稱WEP，是加密無(wú)線網(wǎng)絡(luò)上流量的標(biāo)準(zhǔn)方式。為了實(shí)現(xiàn)產(chǎn)品的便捷安裝，很多無(wú)線設(shè)備制造商在交付設(shè)備時(shí)，都將WEP功能進(jìn)行了關(guān)閉處理。但當(dāng)我們采用這種做法時(shí)，黑客就可以借助無(wú)線嗅探器對(duì)相關(guān)數(shù)據(jù)進(jìn)行直接讀取，所以管理員應(yīng)注意對(duì)WEP密鑰進(jìn)行定期更換，若條件允許，應(yīng)啟用獨(dú)立認(rèn)證服務(wù)自動(dòng)完成WEP密鑰的分配。就目前的實(shí)際情況來看，IEE 802.11標(biāo)準(zhǔn)中的WEP安全解決方案的不安全性已經(jīng)得到了廣泛的證實(shí)，而當(dāng)我們采用支持128位的WEP時(shí)，就會(huì)使黑客的破解難度大幅提升，但即便如此，也要注意對(duì)WEP進(jìn)行定期更改，從而更好的為無(wú)線局域網(wǎng)安全提供保障。另外，無(wú)線局域網(wǎng)傳輸數(shù)據(jù)的安全保護(hù)并不是僅有WEP，管理員也可以根據(jù)本單位的實(shí)際需求，選擇SSH、VPN、IPSec等WEP的替代方法。

三、結(jié)語(yǔ)

除文中探討的外來風(fēng)險(xiǎn)外，計(jì)算機(jī)局域網(wǎng)安全隱患更多的來自企事業(yè)單位的內(nèi)部，所以還需制定包括定期配置管理、定期設(shè)備掃描和檢查、禁止員工私自安裝AP等安全制度。當(dāng)然，安全隱患也會(huì)隨著計(jì)算機(jī)局域網(wǎng)技術(shù)的發(fā)展而同步進(jìn)步，所以在進(jìn)行局域網(wǎng)組建時(shí)，應(yīng)結(jié)合本單位的實(shí)際需求，選擇最為合適的產(chǎn)品與安全技術(shù)。

參考文獻(xiàn)：

[1]陳桐.淺談局域網(wǎng)存在的安全隱患及其防治策略[J].消費(fèi)電子，2012，（07X）：72-72.

[2]韋馨媛.淺談局域網(wǎng)的安全管理[J].大眾科技，2012，14（11）：12-13.

作者簡(jiǎn)介：

田浩男，（ 1993.3 ），男，漢族， 四川廣元人 ， 東北電力大學(xué)信息工程學(xué)院 2012級(jí)， 計(jì)算機(jī)科學(xué)與技術(shù)，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。