白文遠(yuǎn)　保承家

摘 要 經(jīng)過多年的發(fā)展，無線局域網(wǎng)己經(jīng)成為一種比較成熟的技術(shù)，應(yīng)用也越來越廣泛，是計(jì)算機(jī)有線網(wǎng)絡(luò)的一個(gè)必不可少的補(bǔ)充。無線局域網(wǎng)迅速發(fā)展的同時(shí)，對網(wǎng)絡(luò)的安全性也提出了更高的要求，本文研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題，并介紹了相應(yīng)的解決辦法。

【關(guān)鍵詞】無線局域網(wǎng) 安全性 IEEE802.11

1 簡介

無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點(diǎn)，但由于其基于無線路徑進(jìn)行傳播，因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計(jì)和實(shí)現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11，但其存在設(shè)計(jì)缺陷，缺少密鑰管理，存在很多安全漏洞。

2 無線局域網(wǎng)的結(jié)構(gòu)

2.1 網(wǎng)橋連接型

不同的局域網(wǎng)之間互聯(lián)時(shí)，由于物理上的原因，若采取有線方式不方便，則可利用無線網(wǎng)橋的方式實(shí)現(xiàn)二者的點(diǎn)對點(diǎn)連接，無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接，還為兩個(gè)網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

2.2 基站接入型

當(dāng)采用移動(dòng)蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時(shí)，各站點(diǎn)之間的通信是通過基站接入、數(shù)據(jù)交換方式來實(shí)現(xiàn)互聯(lián)的。各移動(dòng)站不僅可以通過交換中心自行組網(wǎng)，還可以通過廣域網(wǎng)與遠(yuǎn)地站點(diǎn)組建自己的工作網(wǎng)絡(luò)。

2.3 HUB接入型

利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng)，具有與有線Hub組網(wǎng)方式相類似的優(yōu)點(diǎn)。在該結(jié)構(gòu)基礎(chǔ)上的WLAN，可采用類似于交換型以太網(wǎng)的工作方式，要求Hub具有簡單的網(wǎng)內(nèi)交換功能。

2.4 無中心結(jié)構(gòu)

要求網(wǎng)中任意兩個(gè)站點(diǎn)均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道，MAC層采用CSMA類型的多址接入?yún)f(xié)議。

無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線接入站（AP）、無線網(wǎng)橋、無線Modem及無線網(wǎng)卡等來實(shí)現(xiàn)，其中以無線網(wǎng)卡最為普遍，使用最多。

3 無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷

3.1 靜態(tài)密鑰的缺陷

靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當(dāng)適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時(shí)告知管理員，否則將產(chǎn)生嚴(yán)重的安全問題。及時(shí)的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題，但當(dāng)用戶少時(shí)，管理員可以定期更新這個(gè)靜態(tài)配置的密鑰，而且工作量也不大。但是在用戶數(shù)量可觀時(shí)，即便可以通過某些方法對所有AP（接入點(diǎn)）上的密鑰一起更新以減輕管理員的配置任務(wù)，管理員及時(shí)更新這些密鑰的工作量也是難以想像的。

3.2 訪問控制機(jī)制的安全缺陷

3.2.1 封閉網(wǎng)絡(luò)訪問控制機(jī)制

幾個(gè)管理消息中都包括網(wǎng)絡(luò)名稱或SSID，并且這些消息被接入點(diǎn)和用戶在網(wǎng)絡(luò)中廣播，并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱，獲得共享密鑰，從而連接到“受保護(hù)”的網(wǎng)絡(luò)上。

3.2.2 以太網(wǎng)MAC地址訪問控制表

MAC地址很容易的就會(huì)被攻擊者嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進(jìn)行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個(gè)有效地址，越過訪問控制。

4 無線局域網(wǎng)安全保障策略

4.1 SSID訪問控制

通過對多個(gè)無線接人點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。

4.2 MAC地址過濾

每個(gè)無線客戶端網(wǎng)卡都有唯一的一個(gè)物理地址，因此可以通過手工的方式在在AP中設(shè)置一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。

4.3 使用移動(dòng)管理器

使用移動(dòng)管理器可以用來增強(qiáng)無線局域網(wǎng)的安全性能，實(shí)現(xiàn)接入點(diǎn)的安全特性。移動(dòng)管理器可以提高無線網(wǎng)絡(luò)的清晰度，當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)，它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點(diǎn)的位置。而且其降低接入點(diǎn)受到DOS攻擊和竊聽的危險(xiǎn)，網(wǎng)絡(luò)管理員設(shè)置一個(gè)網(wǎng)絡(luò)行為的門限，這個(gè)門限在很大程度上減小了DOS攻擊的影響。通過控制接入點(diǎn)的配置，可以防止入侵者通過改變接入點(diǎn)配置而連接到網(wǎng)絡(luò)上。

4.4 運(yùn)用VPN技術(shù)

VPN技術(shù)的運(yùn)用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三級安全保障：用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證來實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全性保證。用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時(shí)間和精力他也不能將這些信息解密。數(shù)據(jù)認(rèn)證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自已經(jīng)得到認(rèn)證的設(shè)備。

4.5 采用802.1x 基于端口的認(rèn)證協(xié)議

802.1x為接入控制搭建了一個(gè)新的框架，使得系統(tǒng)可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口?；?02.1x認(rèn)證體系結(jié)構(gòu)，其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認(rèn)證服務(wù)器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS服務(wù)器之間的會(huì)話數(shù)據(jù)包。這種認(rèn)證機(jī)制的好處是方便了管理，可以更容易地與現(xiàn)有的資源融合，802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，更適合公共無線接入解決方案。在采用802.1x的WLAN中，無線用戶端安裝802.1x客戶端軟件，無線AP內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為RADIUS服務(wù)器的客戶端，負(fù)責(zé)用戶與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。當(dāng)無線客戶端登錄到無線訪問AP點(diǎn)后，是否可使用AP的服務(wù)取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為客戶端打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。

5 結(jié)論

無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢，但與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價(jià)格較高，因而它主要面向有特定需求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補(bǔ)的關(guān)系，而不是競爭，目前還只是有線網(wǎng)絡(luò)的補(bǔ)充，而不是替換。但也應(yīng)該看到，近年來，無線局域網(wǎng)產(chǎn)品的價(jià)格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動(dòng)互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

參考文獻(xiàn)

[1]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2]趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計(jì)算機(jī)信息，2007（21）.

[3]趙琴.淺談無線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開發(fā)，2008，（01）.

作者單位

國網(wǎng)甘肅省電力公司檢修公司 甘肅省蘭州市 730070endprint