摘 要：無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)是通過(guò)空氣中無(wú)線電波進(jìn)行的，傳播范圍與無(wú)線電波的覆蓋面積有關(guān)。所以，保密與控制是無(wú)線網(wǎng)絡(luò)中需要注意的重要問(wèn)題。本文重點(diǎn)通過(guò)無(wú)線網(wǎng)絡(luò)中常見(jiàn)的搜索攻擊、等價(jià)保密、身份欺騙、信息泄露等問(wèn)題，闡述解決無(wú)線網(wǎng)絡(luò)安全問(wèn)題的一些有效措施和辦法。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；安全；措施

1 引言

用戶使用無(wú)線網(wǎng)絡(luò)得到了更多的網(wǎng)絡(luò)體驗(yàn)，但是，這種體驗(yàn)與安全性也有很大的關(guān)系，容易受到網(wǎng)絡(luò)數(shù)據(jù)機(jī)密、控制訪問(wèn)、數(shù)據(jù)完整和網(wǎng)絡(luò)維護(hù)、部署、設(shè)計(jì)這兩方面的攻擊，前者不僅是在無(wú)線網(wǎng)絡(luò)下會(huì)遭到攻擊，在有限網(wǎng)絡(luò)的情況下也可能發(fā)生。

2 新時(shí)期無(wú)線網(wǎng)絡(luò)面臨的安全威脅

2.1 搜索攻擊威脅

攻擊無(wú)線網(wǎng)絡(luò)的其中一個(gè)方法，那就是搜索，目前有很多攻擊和識(shí)別無(wú)線網(wǎng)絡(luò)的軟件和方法。第一個(gè)用來(lái)檢測(cè)無(wú)線網(wǎng)絡(luò)是NetStumbler軟件，許多無(wú)線網(wǎng)絡(luò)都沒(méi)有使用加密功能，即使有加密的也在活動(dòng)狀態(tài)。AP廣播能夠檢測(cè)WEP加密的信息，比如SSID、網(wǎng)絡(luò)名稱、安全標(biāo)識(shí)都可能給黑客造就攻擊無(wú)線網(wǎng)絡(luò)的條件。

2.2 信息泄露威脅

截取、監(jiān)聽(tīng)和竊聽(tīng)都是泄露信息的方法。竊聽(tīng)就是在無(wú)人知曉的情況下侵入檢測(cè)的設(shè)備，獲取網(wǎng)絡(luò)中傳輸?shù)男畔?，即使在不?duì)外發(fā)布網(wǎng)絡(luò)信息的情況下，只要它能夠檢測(cè)到任何的信息，也會(huì)想方設(shè)法使用其他的方法，比如AiroPeek與TCPDump來(lái)分析和檢測(cè)他們的通信量，從中獲取大量的信息。

2.3 身份驗(yàn)證欺騙威脅

通過(guò)欺騙手段攻擊網(wǎng)絡(luò)設(shè)備，竊取無(wú)線網(wǎng)絡(luò)信息，使被攻擊者以為這些連接是一個(gè)沒(méi)有任何威脅的機(jī)器發(fā)出的，以此來(lái)達(dá)到攻擊者的目的。還有就是可以重新定義MAC地址和網(wǎng)絡(luò)，目前還沒(méi)有非常好的方法來(lái)防止這些欺騙，雖然可以通過(guò)靜態(tài)定義的方法來(lái)防止攻擊，但這種方法幾乎不采用，因?yàn)樗旧淼木窒扌跃褪枪芾碡?fù)擔(dān)太大。想要對(duì)付這種欺騙攻擊行為，就必須經(jīng)過(guò)日志監(jiān)控和智能記錄事件，讓他們其中的一個(gè)節(jié)點(diǎn)向AP請(qǐng)求身份驗(yàn)證，避免欺騙無(wú)線網(wǎng)絡(luò)。

2.4 網(wǎng)絡(luò)接管與篡改

由于TCP/IP本身設(shè)計(jì)的局限性，讓一些欺騙方法有機(jī)可乘，利用這個(gè)漏洞與其他網(wǎng)絡(luò)資源建立連接。假如讓攻擊者掌管了哪個(gè)AP，所有的無(wú)線網(wǎng)絡(luò)信息都會(huì)被他們看到，他們還可以設(shè)置其他訪問(wèn)用戶的信息和密碼，通過(guò)無(wú)線和有線網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程操作，用戶一般也不會(huì)懷疑，一般都毫無(wú)防備，即使受到了密匙與SSL錯(cuò)誤提示，他們都還習(xí)慣地認(rèn)為是機(jī)器本身出現(xiàn)了錯(cuò)誤，從而讓攻擊者更加大膽地繼續(xù)連接網(wǎng)絡(luò)，又不被人發(fā)現(xiàn)。

2.5 拒絕服務(wù)攻擊

一般會(huì)通過(guò)下面的這些方法來(lái)攻擊無(wú)線網(wǎng)絡(luò)：⑴調(diào)整設(shè)備的使用頻率來(lái)造成無(wú)線網(wǎng)絡(luò)的內(nèi)部沖突。⑵發(fā)送身份驗(yàn)證。

⑵攻擊者通過(guò)掌管AP，獲取訪問(wèn)權(quán)，擾亂網(wǎng)絡(luò)用戶，不把及時(shí)有效的信息發(fā)送給用戶，造成他們不能使用無(wú)線網(wǎng)絡(luò)。利用高性能天線，攻擊無(wú)線網(wǎng)，發(fā)送即使無(wú)線AP都沒(méi)有辦法處理的通信量惡意攻擊。

2.6 用戶設(shè)備安全威脅

因?yàn)镮EEE802.11明確規(guī)定了WEP分配給用戶的是靜態(tài)密匙，所以，只要他們擁有無(wú)線網(wǎng)卡，就相當(dāng)于擁有了使用無(wú)線網(wǎng)的MAC合法地址。如果用戶的電腦丟失或者被盜，那他丟失的不僅僅是一個(gè)電腦，還有網(wǎng)絡(luò)密匙與SSID以及驗(yàn)證信息。

3 新時(shí)期無(wú)線網(wǎng)絡(luò)安全防御措施

3.1 啟用WEP機(jī)制

WEP的功能是用來(lái)共享密鑰和保密目標(biāo)，實(shí)現(xiàn)這些功能需要做到以下五點(diǎn)：一是通過(guò)加入校驗(yàn)碼保證數(shù)據(jù)的完整性，避免有的攻擊蓄意加入已知文本獲取密鑰。二是客戶端必須使用WEP，以便提升WEP機(jī)制的作用。三是必須避免缺省選項(xiàng)，暫時(shí)先不使用WEP密鑰。四是由用戶來(lái)設(shè)定密鑰，方便以后可以經(jīng)常更改。五是WEP版本要與標(biāo)準(zhǔn)規(guī)定的版本同步即時(shí)更新。

3.2 過(guò)濾MAC地址

過(guò)濾MAC能夠減少大量攻擊，一般用于大規(guī)模的無(wú)線網(wǎng)絡(luò)。一是把MAC作為首要的保護(hù)對(duì)象，把無(wú)線網(wǎng)絡(luò)的MAC地址與AP結(jié)合，只允許相結(jié)合的網(wǎng)絡(luò)訪問(wèn)，阻止不可靠的MAC地址訪問(wèn)網(wǎng)絡(luò)，二是記錄日志，定期檢查日志中出現(xiàn)的錯(cuò)誤，及時(shí)判斷是否有人非法訪問(wèn)。

3.3 過(guò)濾協(xié)議

為了降低網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)和提供網(wǎng)絡(luò)安全，要設(shè)置正確的協(xié)議進(jìn)行過(guò)濾，雖然不是最好的方法，但卻是相當(dāng)有效的辦法，它可以通過(guò)SNMP來(lái)修改網(wǎng)絡(luò)用戶的配置，來(lái)阻止其他攻擊的協(xié)議和ICMP數(shù)據(jù)包。

3.4 屏蔽SSID廣播

獲取RF通信很容易，想要RF通信安全有效，也不是沒(méi)有方法，只要阻止SSID不經(jīng)過(guò)AP向外廣播，就可以保證RF通信安全。關(guān)閉所有網(wǎng)絡(luò)，以免無(wú)效的網(wǎng)絡(luò)插入，再把配置信息正確無(wú)誤地發(fā)送給網(wǎng)絡(luò)用戶。

3.5 嚴(yán)控管理IP分配方式

IP分為動(dòng)態(tài)和靜態(tài)兩種地址分配方式。網(wǎng)絡(luò)是否安全，最主要的就是能否選一個(gè)最適合的網(wǎng)絡(luò)分配IP。靜態(tài)和動(dòng)態(tài)這兩種分配方法各有特點(diǎn)，靜態(tài)可以保護(hù)IP不會(huì)隨意被獲?。欢鴦?dòng)態(tài)的可以使管理工作簡(jiǎn)單化，簡(jiǎn)化WLAN。

[參考文獻(xiàn)]

[1]吳頂龍.無(wú)線網(wǎng)絡(luò)的安全策略及防護(hù)手段[J].職業(yè).2009（06）.

[2]徐偉鵬.無(wú)線網(wǎng)絡(luò)安全攻防[J].電視工程.2009（01）.

[3]李吉平，郭鳳宇，姜春.淺談無(wú)線網(wǎng)絡(luò)的安全隱患及應(yīng)對(duì)措施[J].科技信息.2009（03）.

[4]黃錦敬.論無(wú)線網(wǎng)絡(luò)的安全威脅及對(duì)策[J].現(xiàn)代商貿(mào)工業(yè).2009（06）.