東莞市機電工程學(xué)校 林健輝

無線網(wǎng)絡(luò)安全隱患與應(yīng)對策略

東莞市機電工程學(xué)校 林健輝

在計算機的網(wǎng)絡(luò)中，有一塊技術(shù)正迅猛地發(fā)展著，逐步成為計算機網(wǎng)絡(luò)世界中的重要成員——那就是無線網(wǎng)絡(luò)技術(shù)。它使用和安裝都非常方便，網(wǎng)速之快和移動性能無人能敵。本文以無線網(wǎng)絡(luò)的安全隱患為開頭，講述了無線網(wǎng)絡(luò)的安全技術(shù)，然后詳細(xì)闡述無線網(wǎng)絡(luò)的安全策略，從而使本論文的重心更加突出。

網(wǎng)絡(luò)安全隱患；應(yīng)對策略；WEP；WPA

1 無線網(wǎng)絡(luò)的安全隱患

1.1 內(nèi)部非法接入

內(nèi)部非法接入是指外網(wǎng)用戶通過未經(jīng)內(nèi)部網(wǎng)絡(luò)管理者許可的方式連接到內(nèi)網(wǎng)的行為。非法接入者一般情況下是難以接近交換機的，他們瞄準(zhǔn)的是交換機面向用戶輸出的各端口接點（俗稱信息點），這些信息點在用與備用的配比是1：1.2。備用信息點能用但尚未指定合法用戶，非法接入者就乘虛而入。更有甚者將非法AP接入在用信息點，以合法用戶的身份欺騙。由于校園網(wǎng)信息點多且分布廣，網(wǎng)絡(luò)管理員鞭長莫及。

1.2 外部非法侵入

外部非法侵入，是說與國家的相關(guān)法律規(guī)定相違背，利用計算機技術(shù)等非法手段入侵國家機密資料部門，國家軍事防護(hù)部門等涉及國家安全敏感資料的不法行為。非法侵入與非法接入的區(qū)別在于入侵者無須通過物理方式的接觸，只要在校園無線網(wǎng)的外圍（如公路邊、樓宇下），采取高靈敏度天線搜索及定位目標(biāo)所在區(qū)域，并確定目標(biāo)發(fā)射源（嗅探無線路由器或無線AP的使用頻道和SSID），再利用Airsnort、WEPcrack等軟件工具，破解無線設(shè)備的WEP（有線等價保密算法）、WPA(Wi-Fi Protected Access，Wi-Fi保護(hù)訪問)、MAC（網(wǎng)卡物理地址）過濾、SSID（無線網(wǎng)的名稱）隱藏等加密方式，從而一舉進(jìn)入校園網(wǎng)系統(tǒng)。

如果說非法接入者目的大多只是“偷用”網(wǎng)絡(luò)，不懷好意者甚少；那么非法侵入者目的則是惡意破壞：①偵測攻擊。②截取和修改傳輸數(shù)據(jù)。③拒絕服務(wù)(DoS)攻擊。④免費下載欺騙。⑤修改網(wǎng)絡(luò)配置。⑥惡意傳播病毒。

1.3 WEP秘鑰安全的不足

WEP的秘鑰技術(shù)是存在固有缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。

目前主流的有WEP、WPA、WPA2這三種無線加密方式（技術(shù)），而校園無線網(wǎng)實際上大多只采用WEP加密方式。究其原因，是網(wǎng)絡(luò)終端的無線網(wǎng)卡普遍只支持WEP加密方式，為什么要使用這種低成本網(wǎng)卡呢，一是學(xué)校要考慮投資問題，畢竟網(wǎng)絡(luò)終端用戶群體很大；二是學(xué)生宿舍用戶自購或自帶的無線網(wǎng)卡普遍是低端的。盡管校園無線網(wǎng)的AP與無線路由器均支持WEP、WPA、WPA2三種加密方式，但校園網(wǎng)用戶只有選擇WEP加密方式才能實現(xiàn)無線連接，在客觀上WEP加密方式便可能成為校園無線網(wǎng)的唯一選擇。

1.4 802.11協(xié)議的隱患

目前802.11協(xié)議隱患主要體現(xiàn)在如下幾個方面：

①MAC地址欺騙——在這種網(wǎng)絡(luò)中運行的協(xié)議，對物理地址傳送的數(shù)據(jù)是不進(jìn)行任何認(rèn)證屬性方面的操作，讓入侵者有機可乘，通過欺騙MAC幀去重定向數(shù)據(jù)流和使ARP表變得混亂，能夠很容易地捕抓到網(wǎng)絡(luò)環(huán)境中的物理MAC地址，黑客可以使用這些捕抓到的信息進(jìn)行不斷的非法攻擊。入侵者除了實施欺騙幀進(jìn)行攻擊外，還能在截獲會話幀的過程中發(fā)現(xiàn)無線AP認(rèn)證缺陷，并查探出在哪里存在無線AP。因為該協(xié)議沒有規(guī)定要求無線AP報告自己合法還是非法，致使入侵者很容易裝扮成合法無線AP的身份進(jìn)入網(wǎng)絡(luò)。由于這種協(xié)議存在先天的缺陷，是不可能完全杜絕網(wǎng)絡(luò)中的非法入侵攻擊的。

②監(jiān)聽流量——由于802.11協(xié)議支持的WVLAN傳輸信號是發(fā)散的，是不能阻擋網(wǎng)絡(luò)中的入侵者對網(wǎng)絡(luò)進(jìn)行流量的監(jiān)聽，很多的網(wǎng)絡(luò)分析軟件都可以很容易地獲取到網(wǎng)絡(luò)流量的信息。我們大家都清楚，WEP很容易被黑客入侵，它只能對原始的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行保護(hù)，同時它不能對網(wǎng)絡(luò)數(shù)據(jù)幀進(jìn)行管理和調(diào)控，正因為如此，可以給網(wǎng)絡(luò)的黑客入侵網(wǎng)絡(luò)世界打開了一扇門。入侵網(wǎng)絡(luò)的人員可以通過特定的軟件對網(wǎng)絡(luò)的流量進(jìn)行監(jiān)視，這種軟件既可以尋找到周邊區(qū)域的無線信號，還能夠顯示出該網(wǎng)絡(luò)相關(guān)的信息資料，為入侵者帶來暢通無阻的便利。通過這些信息，入侵者可以很容易地進(jìn)行非法接入并試圖進(jìn)行攻擊。一旦入侵者成功進(jìn)入校園網(wǎng)的某臺主機，他就在該主機上安裝及使用嗅探器（Network sniffer）軟件，搜索及攻擊其他主機甚至路由器，從而進(jìn)一步獲取大量的數(shù)據(jù)信息。

③SSID缺陷漏洞——通常來說，對于每個無線網(wǎng)絡(luò)都會有一個標(biāo)識自己身份的Service Set Identifier，客戶端要登錄進(jìn)去，不想拒絕在外的話，必須要一樣的SSID。一般來說，每個無線網(wǎng)絡(luò)設(shè)備在出廠前都設(shè)置為相同型號的SSID。如果對于無線網(wǎng)絡(luò)設(shè)備不設(shè)置的話，那么外界的用戶就不可能進(jìn)入到網(wǎng)絡(luò)世界中。Wireless Access Point會發(fā)出時間戳、SSID和信號標(biāo)識間隔等相關(guān)網(wǎng)絡(luò)信息資料在一定的時間區(qū)域中。大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進(jìn)行抓包、破解，入侵者利用SSID漏洞就能自動搜尋頻道找到合法的SSID而順利侵入校園網(wǎng)絡(luò)。

2 無線網(wǎng)絡(luò)的主要安全技術(shù)

2.1 WEP技術(shù)

這種網(wǎng)絡(luò)協(xié)議技術(shù)是為了預(yù)防一些不法分子擅自偷竊闖入無線網(wǎng)絡(luò)世界，基于兩臺設(shè)備之前的無線數(shù)據(jù)的傳輸而對相關(guān)數(shù)據(jù)進(jìn)行特定的機制加密。

2.2 802.1x技術(shù)

802.1x是為了解決網(wǎng)絡(luò)數(shù)據(jù)的進(jìn)出網(wǎng)絡(luò)關(guān)口的問題，并且對其進(jìn)行內(nèi)外部監(jiān)控的技術(shù)協(xié)議。控制網(wǎng)絡(luò)訪問的端口，利用物理層特性對連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。下圖2.1列出802.1x認(rèn)證前后的邏輯關(guān)系。

圖2 .1 802.1x認(rèn)證前后的邏輯關(guān)系

2.3 WPA技術(shù)

WPA是一種比較常用的無線網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，在很多的網(wǎng)絡(luò)設(shè)備中都支持該種協(xié)議標(biāo)準(zhǔn)。WPA已有多年的歷史，它的安全性比較低，很同意被網(wǎng)絡(luò)的黑客軟件攻破。WPA是IEEE802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。

3 無線網(wǎng)絡(luò)面對攻擊的應(yīng)對策略

3.1 控制使用者瀏覽應(yīng)對策略

控制使用者瀏覽應(yīng)對策略是在這么多的應(yīng)對策略中最重要的一個，它的主要職責(zé)是防止非法入侵者占用珍貴的網(wǎng)絡(luò)資源。

3．1．1 控制使用者進(jìn)入網(wǎng)絡(luò)應(yīng)對策略

網(wǎng)絡(luò)中第一道的安全門檻就是針對使用者瀏覽網(wǎng)絡(luò)的權(quán)限。這種的應(yīng)對策略可以調(diào)控獲得權(quán)限的使用者進(jìn)入網(wǎng)絡(luò)，并且使用指定的網(wǎng)絡(luò)資源，同時可以對使用者的進(jìn)網(wǎng)時間和地理位置進(jìn)行定位。使用者要進(jìn)入網(wǎng)絡(luò)必須要經(jīng)過三個安全門檻，這三個安全門檻分部對使用者進(jìn)行身份的識別驗證，密碼的識別驗證，權(quán)限的識別驗證。必須要全部通過，使用者才能順利進(jìn)入網(wǎng)絡(luò)使用資源。

3．1．2 控制使用者實操網(wǎng)絡(luò)應(yīng)對策略

這個應(yīng)對策略是為了防止非法的使用者胡亂使用網(wǎng)絡(luò)資源而設(shè)定的。每個合法的使用者都被系統(tǒng)賦予一定的可操作范圍，網(wǎng)絡(luò)系統(tǒng)的管理者可以通過設(shè)置，把網(wǎng)絡(luò)的資源分配給指定的使用者。那么使用者就可以根據(jù)所分配的網(wǎng)絡(luò)權(quán)限，進(jìn)行相對應(yīng)的操作，瀏覽需要的網(wǎng)絡(luò)資源。

3．1．3 目錄安全控制策略

訪問控制策略應(yīng)該允許網(wǎng)絡(luò)管理員控制用戶對目錄、文件、設(shè)備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。

3．1．4 屬性安全控制策略

訪問控制策略還應(yīng)該允許網(wǎng)絡(luò)管理員在系統(tǒng)一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設(shè)定的訪問屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。

3.2 防火墻控制應(yīng)對策略

防火墻控制策略實施的總體思路是：我們學(xué)校的校園網(wǎng)的工作專用區(qū)是布置在硬件防火墻的內(nèi)部區(qū)域的，整個學(xué)校的重要辦公部門都覆蓋有無線網(wǎng)絡(luò)的信號。教室是學(xué)生讀書學(xué)習(xí)的地方，按照學(xué)校的規(guī)定，在這個區(qū)域中是沒有無線網(wǎng)絡(luò)信號覆蓋的。在有無線網(wǎng)絡(luò)信號覆蓋的區(qū)域中，為了安全起見，所有的無線網(wǎng)絡(luò)設(shè)備都要經(jīng)由校方統(tǒng)一進(jìn)行管理，其中智能手機是不允許進(jìn)入網(wǎng)絡(luò)中的。學(xué)校的無線網(wǎng)絡(luò)公用區(qū)域是布置在硬件防火墻的外部區(qū)域的，在這個區(qū)域中，無線網(wǎng)絡(luò)信號是全方位覆蓋的，通過統(tǒng)一的匯聚交換機連接到路由器的內(nèi)網(wǎng)端口，再經(jīng)由網(wǎng)絡(luò)地址轉(zhuǎn)換，實現(xiàn)網(wǎng)上沖浪。

3.3 檢測非法用戶侵入應(yīng)對策略

入侵檢測（Intrusion Detection）策略是對入侵行為的檢測。入侵檢測系統(tǒng)的功能主要有以下的方面：

①對非法使用者侵入進(jìn)行識別---網(wǎng)絡(luò)中黑客各種攻擊的手段，經(jīng)過該系統(tǒng)檢測，可以快速地識別出來，辨別出具體有哪些的攻擊在進(jìn)行中，從而采取相應(yīng)的策略，防范同樣的攻擊再次發(fā)生。

②監(jiān)管控制網(wǎng)絡(luò)中的通信異常---在網(wǎng)絡(luò)的世界中，會出現(xiàn)一些異常的通信連接，一旦出現(xiàn)這種情況，Intrusion Detection Systems會以最快的速度作出反應(yīng)，防止有更加嚴(yán)重的后果發(fā)生。

③預(yù)防針對系統(tǒng)漏洞的攻擊---分析網(wǎng)絡(luò)中數(shù)據(jù)包流轉(zhuǎn)的情況，網(wǎng)絡(luò)端口的使用情況，根據(jù)得出的這些數(shù)據(jù)進(jìn)行研究分析，系統(tǒng)就可以快速有效地定位出針對系統(tǒng)漏洞進(jìn)行的攻擊行為。

④對管理網(wǎng)絡(luò)安全進(jìn)一步完善---根據(jù)系統(tǒng)檢測出來的數(shù)據(jù)，再結(jié)合各種表單報表，統(tǒng)計分析圖表，實時監(jiān)控檢測圖表等一系列的功能可以幫助我們管理好網(wǎng)絡(luò)安全。

入侵檢測系統(tǒng)可分為基于主機的入侵檢修系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS），NIDS系統(tǒng)適合無線網(wǎng)實時偵測，它具有很高的運行效率，在檢測工作期間，不會影響到網(wǎng)絡(luò)的整體性能，在不知不覺之中，對網(wǎng)絡(luò)的原始數(shù)據(jù)源進(jìn)行分析，在第一時間發(fā)現(xiàn)非法使用者的侵入攻擊。借助NIDS系統(tǒng)進(jìn)行實時偵測，可以達(dá)到以下目的：

◇能夠自動監(jiān)測非法無線設(shè)備(路由器或AP)并自動報警，同時對非法侵入攻擊進(jìn)行自我防衛(wèi)和保護(hù)；可以對使用者的操作進(jìn)行監(jiān)管和分析，根據(jù)得出的數(shù)據(jù)分辨出是屬于哪種的非法侵入行為，情況嚴(yán)重惡化的話，馬上報警處理。

◇支持靜態(tài)配置白名單功能并確認(rèn)合法用戶，對非法用戶報文全部丟棄；支持靜態(tài)或動態(tài)的黑名單配置功能，系統(tǒng)經(jīng)過內(nèi)在的檢測機制分析出來的數(shù)據(jù)中，一旦無線網(wǎng)絡(luò)設(shè)備被拉進(jìn)到黑名單里的話，該設(shè)備發(fā)送的數(shù)據(jù)報文將會全部遺棄。

◇能夠檢測出多種的攻擊類型，尤其對以下的攻擊行為比較敏銳，分別是：Denial of Service攻擊和UDP Flood攻擊等。同時能夠?qū)B接的報文進(jìn)行認(rèn)證和防止冒充的檢測。一旦系統(tǒng)檢測出攻擊危機的存在，馬上報警告訴網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的補救措施，并在系統(tǒng)日志中記錄下來。

3.4 數(shù)據(jù)加密策略

數(shù)據(jù)加密策略是通過特定的算法對傳送的數(shù)據(jù)文件進(jìn)行加工處理，為了提高數(shù)據(jù)傳送的安全性，有的加密機制對數(shù)據(jù)進(jìn)行多層的算法加密。當(dāng)數(shù)據(jù)傳送到目的地后，再通過特定的解密算法對數(shù)據(jù)文件進(jìn)行解密處理。

4 總結(jié)

本論文首先簡要地介紹了無線網(wǎng)絡(luò)的安全隱患，接著分析了現(xiàn)在世界上主流的無線網(wǎng)絡(luò)安全技術(shù)，最后基于無線網(wǎng)絡(luò)的安全技術(shù)，探討了無線網(wǎng)絡(luò)的安全策略。無線網(wǎng)絡(luò)技術(shù)雖然存在安全威脅，但它仍然是一個極有前途的技術(shù)，無線網(wǎng)絡(luò)的安全問題是無線網(wǎng)絡(luò)發(fā)展的關(guān)鍵，這也給我們的研究帶來了機遇和挑戰(zhàn)。

[1]吳湛擊．無線網(wǎng)絡(luò)編碼——原理與應(yīng)用[D]．清華大學(xué)出版社,2014(7)．

[2]楊哲,ZerOne無線安全團(tuán)隊．無線網(wǎng)絡(luò)黑客攻防[M]．中國鐵道出版社,2014(2)．

[3][美]拉克利．無線網(wǎng)絡(luò)技術(shù)原理與應(yīng)用[M]．電子工業(yè)出版社,2012(3)．

[4][美]卡什(Cache, J．),[美]賴特(Wright, J．),[美]劉(Liu, V．)．黑客大曝光:無線網(wǎng)絡(luò)安全[M]．機械工業(yè)出版社,2012(3)．

[5][美]普賴斯(Price，R．)．無線網(wǎng)絡(luò)原理與應(yīng)用[M]．清華大學(xué)出版社,2008(6)．

林健輝，男，重慶大學(xué)軟件工程碩士，計算機專業(yè)講師，網(wǎng)絡(luò)管理高級技師。