韋毓淵

身份證號(hào)：450122198205281576

淺析無(wú)線(xiàn)局域網(wǎng)的安全威脅及安全機(jī)制

韋毓淵

身份證號(hào)：450122198205281576

本文分析了無(wú)線(xiàn)局域網(wǎng)面臨的安全威脅和基本的安全機(jī)機(jī)制以提高網(wǎng)絡(luò)安全性。

WLAN無(wú)線(xiàn)局域網(wǎng)；安全威脅；安全機(jī)制

一、引言

在當(dāng)前時(shí)代，網(wǎng)絡(luò)不知不覺(jué)成為每個(gè)人生活當(dāng)中不可或缺的一部分，網(wǎng)絡(luò)已經(jīng)與我們的生活產(chǎn)生了越來(lái)越緊密的聯(lián)系。.隨著信息技術(shù)的發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求也隨之提高，也希望打破不同地域或者其他條件的制約，可與各地的人都能進(jìn)行網(wǎng)絡(luò)通信。以往網(wǎng)絡(luò)的通信方式還是以有線(xiàn)的方式來(lái)實(shí)現(xiàn)通信，而有線(xiàn)的方式已經(jīng)無(wú)法滿(mǎn)足人們的需求了。WLAN也就成為了有線(xiàn)網(wǎng)絡(luò)的延伸。隨之無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)發(fā)展起來(lái)并飛速發(fā)展及快速商業(yè)化普及，WLAN采用無(wú)線(xiàn)電波傳輸，具有移動(dòng)性好，架設(shè)和維護(hù)容易等特點(diǎn)，還能支持移動(dòng)計(jì)算，WLAN越來(lái)越成為企業(yè)網(wǎng)絡(luò)的重要組成部分。WLAN傳遞信息不依賴(lài)于物理布線(xiàn)，這樣無(wú)疑給企業(yè)用戶(hù)帶來(lái)極大的方便，但同時(shí)WLAN采用的是無(wú)線(xiàn)電波傳輸信號(hào)，無(wú)線(xiàn)電波在空氣中容易受自然天氣、建筑物、其他電波的等周?chē)h(huán)境的影響都可以導(dǎo)致無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)中斷衰減而影響到無(wú)線(xiàn)網(wǎng)絡(luò)的穩(wěn)定性和安全性，這就使得無(wú)線(xiàn)網(wǎng)絡(luò)比有線(xiàn)網(wǎng)絡(luò)面臨更多的安全隱患和威脅。因此，如何建立一個(gè)穩(wěn)定，安全的無(wú)線(xiàn)網(wǎng)絡(luò)是企業(yè)信息部門(mén)都要面臨的問(wèn)題。

二、無(wú)線(xiàn)網(wǎng)絡(luò)所面臨的安全威脅

由于WLAN采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對(duì)越權(quán)存取和竊聽(tīng)的行為也就不容易防備，無(wú)線(xiàn)網(wǎng)絡(luò)有以下幾種安全威脅。

1、無(wú)線(xiàn)信號(hào)的竊聽(tīng)

由于WLAN使用2.4G或5.8G范圍的無(wú)線(xiàn)電波進(jìn)行網(wǎng)絡(luò)的通信。無(wú)線(xiàn)電信號(hào)可能傳播到辦公室外面，任何人都可以用一臺(tái)帶無(wú)線(xiàn)無(wú)線(xiàn)網(wǎng)卡的PC或者無(wú)線(xiàn)掃描器進(jìn)行竊聽(tīng)，可以監(jiān)聽(tīng)整個(gè)網(wǎng)絡(luò)的通訊，可以通過(guò)一些網(wǎng)絡(luò)工具如是Airopeek 和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量，從而可能識(shí)別出可以破解的信息。

2、信息篡改

信息篡改是指攻擊者將竊聽(tīng)到的信息進(jìn)行修改之后再將信息傳給原本的接收者。其目的有兩種：惡意破壞合法用戶(hù)的通信信息，阻止合法用戶(hù)建立通信鏈接：將修改的信息傳給接收者，企圖欺騙接收者相信修改后的信息。

3、電磁波的互相干擾和抑制

由于無(wú)線(xiàn)網(wǎng)絡(luò)采用公共的電磁波作為載體，有兩個(gè)電磁波形有交集的時(shí)候，才會(huì)形成干擾。這兩個(gè)電磁波形之間一般是頻率較為接近，或者是倍頻關(guān)系。攻擊者采用這些原理有意的去制造電磁輻射，用足夠功率的無(wú)線(xiàn)電收發(fā)器，就能容易的產(chǎn)生無(wú)線(xiàn)干擾信號(hào)，干擾無(wú)線(xiàn)網(wǎng)絡(luò)其會(huì)使網(wǎng)絡(luò)癱瘓或者性能下降，使得無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)法正常使用。另外一些設(shè)備產(chǎn)品的電磁輻射也會(huì)對(duì)無(wú)線(xiàn)信號(hào)有干擾，如辦公室的微波爐。還有一些噪聲或者其他形式的干擾也可阻礙節(jié)點(diǎn)之間的信號(hào)接收，就會(huì)導(dǎo)致整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)不能正常使用甚至?xí)拐麄€(gè)網(wǎng)絡(luò)傳輸癱瘓。干擾導(dǎo)致無(wú)線(xiàn)傳輸信號(hào)的誤碼率升高，導(dǎo)致網(wǎng)絡(luò)傳輸速率降低。所傳輸?shù)男畔⒅匦掳l(fā)送在地方無(wú)線(xiàn)AP節(jié)點(diǎn)之間的通信可能全部終止

三、無(wú)線(xiàn)局域網(wǎng)的安全機(jī)制

從無(wú)線(xiàn)局域網(wǎng)的協(xié)議、規(guī)格特點(diǎn)入手，從不同角度分析和考慮，構(gòu)建具有較高安全保障的WLAN框架結(jié)構(gòu)，提高無(wú)線(xiàn)局域網(wǎng)的安全性，是無(wú)線(xiàn)局域網(wǎng)應(yīng)用中至關(guān)重要的工作。目前成熟并得到廣泛應(yīng)用的采用無(wú)線(xiàn)擴(kuò)頻技術(shù)的WLAN，其技術(shù)規(guī)范由IEEE802.11協(xié)議描述，以保障WLAN的數(shù)據(jù)傳輸安全。

1、無(wú)線(xiàn)網(wǎng)絡(luò)網(wǎng)卡的物理地址過(guò)濾(MAC)

每個(gè)無(wú)線(xiàn)用戶(hù)終端都是通過(guò)其無(wú)線(xiàn)網(wǎng)卡與AP通信的，而這無(wú)線(xiàn)網(wǎng)卡上的MAC唯一的物理地址標(biāo)識(shí)。在無(wú)線(xiàn)AP內(nèi)部都有一張MAC地址表，只有在表里面的MAC才是合法的可以連接的無(wú)線(xiàn)網(wǎng)卡，不在表里面的會(huì)被拒絕連接，這樣我們就可以在無(wú)線(xiàn)網(wǎng)卡所連的無(wú)線(xiàn)AP上通過(guò)設(shè)定MAC地址表來(lái)控制無(wú)線(xiàn)用戶(hù)的接入，MAC地址控制可以有效地防止未經(jīng)過(guò)授權(quán)的用戶(hù)接入無(wú)線(xiàn)網(wǎng)絡(luò)。MAC地址控制是目前WLAN最基本的安全訪(fǎng)問(wèn)控制方式。

2、服務(wù)區(qū)標(biāo)識(shí)符的匹配(SSID)

服務(wù)集標(biāo)識(shí)符SSID，也稱(chēng)業(yè)務(wù)組標(biāo)識(shí)符，這是人們最早使用的一種WLAN安全認(rèn)證方式，它是一個(gè)WLAN的標(biāo)識(shí)碼，無(wú)線(xiàn)工作站只有具有相應(yīng)服務(wù)區(qū)域的認(rèn)證ID接入WLAN進(jìn)行訪(fǎng)問(wèn)。在WLAN中需對(duì)一個(gè)或者多個(gè)無(wú)線(xiàn)AP設(shè)置一個(gè)SSID，這樣對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制就可以通過(guò)SSID來(lái)實(shí)現(xiàn)。嚴(yán)格來(lái)說(shuō)，SSID不屬于安全機(jī)制，只不過(guò)可以用它作為一種實(shí)現(xiàn)訪(fǎng)問(wèn)控制的手段。但是有個(gè)缺點(diǎn)就是無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)的SSID是通過(guò)廣播出來(lái)，只要在其覆蓋范圍內(nèi)的無(wú)線(xiàn)客戶(hù)端都能獲得SSID，任何一個(gè)無(wú)線(xiàn)客戶(hù)都可以通過(guò)搜索SSID搜索到。

3、有線(xiàn)等同保密(WEP)

由于無(wú)線(xiàn)傳輸比有線(xiàn)傳輸更容易被截獲，于是IEEE802.11標(biāo)準(zhǔn)便制定了一套安全協(xié)議WEP以完成客戶(hù)端和無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)的加密傳輸。WEB使用對(duì)稱(chēng)加密算法RC4，在加密和解密端均采用40比特的加密密鑰以及還可以使用104比特的加密密鑰，而且兩把密鑰必須相同。這把密鑰被輸入到每一個(gè)客戶(hù)端以及存取點(diǎn)中，所有的數(shù)據(jù)傳輸都使用這把密鑰來(lái)進(jìn)行加密和解密。WLAN中的無(wú)線(xiàn)終端使用相同的密鑰訪(fǎng)問(wèn)WLAN，WEP也提供認(rèn)證功能。

4、端口訪(fǎng)問(wèn)控制技術(shù)

這技術(shù)是用于WLAN的一種增強(qiáng)型網(wǎng)絡(luò)安全解決方案，它由三個(gè)部分組成：客戶(hù)端，認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。當(dāng)無(wú)線(xiàn)客戶(hù)端與無(wú)線(xiàn)AP連接時(shí)，客戶(hù)端會(huì)發(fā)起802.1X的認(rèn)證?？蛻?hù)端是否能連接上AP取決于認(rèn)證的結(jié)果。當(dāng)用戶(hù)認(rèn)證了，認(rèn)證服務(wù)器會(huì)把用戶(hù)的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪(fǎng)問(wèn)控制列表，AP為無(wú)線(xiàn)客戶(hù)端打開(kāi)邏輯接口，允許用戶(hù)接入無(wú)線(xiàn)。如果用戶(hù)未認(rèn)證，認(rèn)證系統(tǒng)收到不認(rèn)證信息，無(wú)線(xiàn)AP也就不會(huì)為無(wú)線(xiàn)客戶(hù)端打開(kāi)邏輯接口，用戶(hù)也就無(wú)法接入無(wú)線(xiàn)。這就達(dá)到了端口訪(fǎng)問(wèn)控制的目的。

5、通過(guò)VPN虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)

VPN是現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的加密的網(wǎng)絡(luò)，它主要采用了4項(xiàng)安全保障技術(shù)來(lái)保證網(wǎng)絡(luò)安全，這4項(xiàng)技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、身份誰(shuí)技術(shù)。VPN中的IPSEC 協(xié)議是目前通信網(wǎng)中最完整的一種網(wǎng)絡(luò)安全技術(shù)，利用它建立起來(lái)的隧道具有更好的安全性和可靠性，在WLAN中，無(wú)線(xiàn)客戶(hù)端需要啟用IPSEC，并在客戶(hù)端和一個(gè)VLAN集中器之間建立IPSEC傳輸模式的隧道。

四、結(jié)束語(yǔ)

隨著技術(shù)的發(fā)展，WLAN的安全機(jī)制已經(jīng)日漸成熟，安全技術(shù)的不斷完善，合理的組合和應(yīng)用安全機(jī)制，人們也可以享受到無(wú)線(xiàn)網(wǎng)絡(luò)帶來(lái)的方便和便捷。

[1]唐雄燕，李建宇等編著 寬帶無(wú)線(xiàn)接入技術(shù)及應(yīng)用 北京：電子工業(yè)出版社，2006

[2]曹秀英，耿嘉.沈平等編著，無(wú)線(xiàn)局域網(wǎng)安全系統(tǒng) 北京：電子工業(yè)出版社。2004