金鑫 中國鐵塔股份有限公司上海市分公司

無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施探討

金鑫 中國鐵塔股份有限公司上海市分公司

通常情況下，無線局域網(wǎng)被稱之為WLAN，而無線網(wǎng)絡(luò)具體指的就是將無線電波當(dāng)作傳播信息的主要媒介，進(jìn)而構(gòu)建信息網(wǎng)絡(luò)。在實踐應(yīng)用過程中，與WLAN相關(guān)的產(chǎn)品無需采用通信電纜，因而可以對網(wǎng)絡(luò)環(huán)境當(dāng)中諸多設(shè)置變化予以有效地應(yīng)對。但是，當(dāng)用戶對無線局域網(wǎng)的依賴性逐漸提高的背景下，其潛在的安全問題也逐漸突顯出來，一定程度上影響其未來發(fā)展。基于此，文章將無線網(wǎng)絡(luò)作為研究重點，闡述了其中存在的安全性威脅，并提出了有效的應(yīng)對措施，希望為無線網(wǎng)絡(luò)的安全使用提供有價值的參考依據(jù)。

無線網(wǎng)絡(luò) 安全性威脅 應(yīng)對措施 探討

對于無線局域網(wǎng)的應(yīng)用，可以將其技術(shù)優(yōu)勢充分發(fā)揮出來，為用戶提供一定的靈活性、擴(kuò)展性以及移動性服務(wù)，同時還能夠在難以重新布線的范圍內(nèi)更好地為用戶提供有效局域網(wǎng)接入?；诖?，能夠為用戶亦或是遠(yuǎn)程站點有效地提供局域網(wǎng)接入途徑。但是，需要正確認(rèn)知的是，無線網(wǎng)絡(luò)在帶給人們便利的同時，也存在一定的安全隱患，所以必須要積極采取應(yīng)對的措施。

1 無線局域網(wǎng)安全性威脅研究

實踐工作開展的過程中，對無線局域網(wǎng)的運(yùn)用主要是將無線電波當(dāng)作重要介質(zhì)實現(xiàn)數(shù)據(jù)的空中傳輸，因而只要是數(shù)據(jù)發(fā)射機(jī)能夠覆蓋的區(qū)域，可以保證任一無線局域網(wǎng)的使用者都能夠解除被傳輸數(shù)據(jù)信息。也就是說，如果利用無線局域網(wǎng)發(fā)射數(shù)據(jù)信息，那么要想僅向某一目標(biāo)接受者發(fā)送的目的根本無法實現(xiàn)。在這一領(lǐng)域當(dāng)中，防火墻無法將自身的作用發(fā)揮出來，且任何人都能夠在此范圍之內(nèi)對數(shù)據(jù)進(jìn)行截取，亦或是把有目的的數(shù)據(jù)插入其中，這樣就可以破壞企業(yè)的機(jī)密。

無線局域網(wǎng)與有線局域網(wǎng)進(jìn)行對比，難以對隔離等物理性方式保證網(wǎng)絡(luò)的安全， 因而在無線局域網(wǎng)安全保護(hù)方面具有較大的難度。在這種情況下，企業(yè)內(nèi)部IT工作人員所關(guān)注的焦點有兩部分，其一是市場中的安全解決方案以及標(biāo)準(zhǔn)諸多，用戶很難正確地選擇，其二是網(wǎng)絡(luò)攻擊和入侵的規(guī)避。

眾所周知，無線網(wǎng)絡(luò)屬于能夠?qū)崿F(xiàn)共享的媒介，因而并不會受建筑物實體限制，一旦有人想要進(jìn)入到無線局域網(wǎng)當(dāng)中，難度并不大，所以這已經(jīng)成為計算機(jī)網(wǎng)絡(luò)發(fā)展過程中的潛在安全隱患。然而，無論是有線或者是常規(guī)網(wǎng)絡(luò)，甚至是無線局域網(wǎng)，安全隱患與威脅是不可避免的。而無線局域網(wǎng)的安全威脅具有自身的特性，其中，有部分外部工作人員會通過無線網(wǎng)絡(luò)避開防火墻，在不被授權(quán)的情況下存取內(nèi)部網(wǎng)絡(luò)。與此同時，通過對無線網(wǎng)絡(luò)的應(yīng)用，信息傳輸不具備加密設(shè)置，亦或是加密程度薄弱，所以被其他人竊取與篡改的幾率很高。最后，無線網(wǎng)絡(luò)同樣很容易被拒絕服務(wù)的干擾以及攻擊。

2 應(yīng)對無線局域網(wǎng)安全性威脅的有效策略

2.1 基于MAC的過濾措施

對于MAC方法的運(yùn)用，具體指的就是基于AP展開設(shè)定，并且把指定無線網(wǎng)卡當(dāng)中涉及到的物理地址在AP當(dāng)中輸入。與此同時，AP就能夠針對實際接收并獲取的數(shù)據(jù)包展開判斷，在與設(shè)定標(biāo)準(zhǔn)信息相吻合的情況下才能夠允許被轉(zhuǎn)發(fā)，反之則無法轉(zhuǎn)發(fā)。對于MAC過濾技術(shù)的運(yùn)用，從本質(zhì)上來講就是在系統(tǒng)前門設(shè)置一道阻礙，障礙設(shè)置數(shù)量較多，進(jìn)而增加黑客入侵的難度。然而需要注意的是，MAC過濾技術(shù)本身較為繁瑣，尚未具備支持諸多數(shù)量移動客戶端的功能，而且系統(tǒng)本身對于AP當(dāng)中各MAC列表提出了要求，必須要保證實時更新。除此之外，MAC過濾技術(shù)的可拓展能力薄弱，無法在同一機(jī)器不同AP間實現(xiàn)漫游?；诖?，若黑客要對合法MAC地址信息進(jìn)行盜取，也可以采用其他方式，對MAC地址進(jìn)行假冒，進(jìn)而達(dá)到網(wǎng)絡(luò)登錄的目標(biāo)。為此，該技術(shù)通常被應(yīng)用在小規(guī)模企業(yè)或者是工作室當(dāng)中。

2.2 有效規(guī)避物理訪問

眾所周知，無線網(wǎng)絡(luò)節(jié)點屬于無線與有線信號轉(zhuǎn)換的重要橋梁，而在無線網(wǎng)絡(luò)節(jié)點當(dāng)中占據(jù)天線的位置，不僅能夠?qū)o線網(wǎng)絡(luò)通信信號強(qiáng)度以及傳輸?shù)乃俣犬a(chǎn)生決定性的影響，同時還會影響無線網(wǎng)絡(luò)當(dāng)中的具體通信。為此，必須保證無線網(wǎng)絡(luò)節(jié)點被放置在適當(dāng)位置。但是，在天線安裝以前，一定要對無線網(wǎng)絡(luò)節(jié)點通信信號可以覆蓋的范圍進(jìn)行確定，同時遵循范圍大小將天線安放在其他用戶難以接觸的位置。除此之外，可以充分利用房屋本身的電磁屏蔽功能，以免電磁波泄露。而用戶同樣能夠?qū)Χㄏ蛱炀€進(jìn)行運(yùn)用，限制信號具體的方向，有效地保護(hù)其所在區(qū)域，以免受其他電磁的干擾。通過對以上方法的應(yīng)用，能夠全面保護(hù)用戶電子設(shè)備和無線網(wǎng)絡(luò)，但是在實施方面仍存在較大的風(fēng)險系數(shù)。

2.3 合理地修改SSID

所謂的SSID，具體指代的就是服務(wù)標(biāo)識符，其功能則是區(qū)分不同網(wǎng)絡(luò)。而最多的字符數(shù)量是32，若無線網(wǎng)卡中設(shè)置不同的SSID，就可以進(jìn)入不同網(wǎng)絡(luò)當(dāng)中。一般來講，SSID需要由AP廣播，而作為用戶則可以對XP當(dāng)中的掃描功能進(jìn)行運(yùn)用，進(jìn)而查看當(dāng)前區(qū)域當(dāng)中所涵蓋的SSID。除此之外，對安全問題進(jìn)行考慮，也可以不廣播SSID，而是在手工設(shè)置SSID以后進(jìn)入相對應(yīng)網(wǎng)絡(luò)當(dāng)中。具體來講，SSID本身就是局域網(wǎng)名稱，只有計算機(jī)具備相同的SSID值，才能夠?qū)崿F(xiàn)通信的目標(biāo)?？偟膩碚f，SSID的運(yùn)用也就是網(wǎng)絡(luò)用戶對個人無線網(wǎng)絡(luò)所設(shè)置的代號名稱。

2.4 有線等效加密方式的運(yùn)用

該應(yīng)對措施是 標(biāo)準(zhǔn)最初選擇使用的安全協(xié)議，而在認(rèn)證機(jī)制方面，則是通過對客戶機(jī)的合理運(yùn)用，通過軟件來完成單向認(rèn)證的目標(biāo)。該措施對開放式系統(tǒng)認(rèn)證方法以及共享式密鑰認(rèn)證算法認(rèn)證的使用相對簡單，且偽造的幾率也較大。但是，目前 系統(tǒng)標(biāo)準(zhǔn)當(dāng)中所制定的有線等效加密解決方案能夠在一刻鐘的時間之內(nèi)被攻破。該系統(tǒng)在實踐應(yīng)用中證明了自身不安全的問題，因而要想增強(qiáng)有線等效加密配置的安全性，可以借鑒以下幾種方式：

第一，對允許使用的最高安全性進(jìn)行運(yùn)用。如果用戶采用的設(shè)備能夠支持128位有線等效加密配置，就可以在實踐應(yīng)用過程中采用128位。要想對這一密鑰進(jìn)行解密具有較大的難度，因而通過這種方式能夠確保無線局域網(wǎng)的安全性。若用戶難以對有線等效加密密鑰予以更改，也同樣可以采用這一方法，并且在后期使用當(dāng)中定期地修改密鑰。而更改的周期則應(yīng)當(dāng)將無線網(wǎng)絡(luò)流量繁忙的程度作為重要的參考依據(jù)。

第二，對動態(tài)性有線等效加密密鑰進(jìn)行運(yùn)用。對于安全性的問題，已經(jīng)有部分無線網(wǎng)絡(luò)設(shè)備供應(yīng)商探索出與動態(tài)有線等效加密密鑰詳細(xì)的解 決方案。而在部署用戶前，需要合理評估解決方案的內(nèi)容。若對有線等效加密密鑰進(jìn)行運(yùn)用，則能夠進(jìn)一步增強(qiáng)安全保障的效果，而且可以把部分已經(jīng)存在的有線等效加密密鑰漏洞予以解決。若要使用，則可以將提供服務(wù)訪問點購買下來，以保證所運(yùn)用的機(jī)器具備支持客戶端的功能。

第三，如果條件允許，用戶可以對MIC進(jìn)行使用。目前，IEEE正處于開發(fā)系統(tǒng)的階段，在有線等效加密修復(fù)方面仍存在一定的問題，因而使得數(shù)據(jù)保密性不斷增加，而消息也更加完整。但是，在實踐應(yīng)用的過程中，不應(yīng)當(dāng)過分地依賴有線等效加密措施，同樣可以對VPN亦或是SSH等多種方法進(jìn)行運(yùn)用。

2.5 VPN的運(yùn)用

VPN通常被稱之為虛擬網(wǎng)，是對于網(wǎng)絡(luò)后門予以保護(hù)的重要手段。相比較于有線等效加密措施，虛擬網(wǎng)的網(wǎng)絡(luò)安全性要更高，同時還可以對網(wǎng)絡(luò)尖端和 用戶間的安全予以一定的支持。而虛擬網(wǎng)所指帶的就是基于公共IP網(wǎng)絡(luò)平臺，對加密技術(shù)與隧道進(jìn)行合理地運(yùn)用，確保專用數(shù)據(jù)網(wǎng)絡(luò)安全。雖然虛擬網(wǎng)不隸屬于802.11標(biāo)準(zhǔn)定義范圍，但是在實際應(yīng)用的過程中可以對虛擬網(wǎng)進(jìn)行運(yùn)用，進(jìn)而抵抗無線網(wǎng)絡(luò)當(dāng)中的不安全沖擊。一旦發(fā)現(xiàn)靜態(tài)有線等效加密漏洞，可以對無線局域網(wǎng)進(jìn)行運(yùn)用，為數(shù)據(jù)安全傳輸提供保障。對于不友好的網(wǎng)絡(luò)被傳輸通信流，可以合理地運(yùn)用虛擬網(wǎng)，實際的保護(hù)效果理想。而不管用戶是通過無線熱點連接亦或是家庭寬帶連接，虛擬網(wǎng)并未被應(yīng)用在保護(hù)內(nèi)部網(wǎng)絡(luò)通信安全方面。因而，對于絕大多數(shù)組織而言，對虛擬網(wǎng)的運(yùn)用較為復(fù)雜，可以提供給用戶的功能并不多，且在維護(hù)方面也十分繁瑣，需要花費(fèi)較高的成本。

2.6 對無線入侵檢測系統(tǒng)的應(yīng)用

該系統(tǒng)和傳統(tǒng)檢測入侵情況系統(tǒng)存在一定的相似之處，然而在實踐過程中，在該檢測系統(tǒng)當(dāng)中添加了無線局域網(wǎng)檢測內(nèi)容，同時還融入到破壞系統(tǒng)的反應(yīng)特性。在阻攔雙面惡魔攻擊的情況下，一定要采用入侵竊密檢測軟件。目前，無線局域網(wǎng)對于入侵檢測系統(tǒng)的應(yīng)用較為廣泛，通常被應(yīng)用在監(jiān)視并分析用戶活動方面，能夠準(zhǔn)確地判斷入侵事件類型，嚴(yán)格檢查非法網(wǎng)絡(luò)行為，同時還可以針對異常網(wǎng)絡(luò)流量狀況及時發(fā)出警報。

綜上所述，基于科學(xué)技術(shù)水平的全面提升，網(wǎng)絡(luò)應(yīng)用也將向著無線方向發(fā)展。為此，無線局域網(wǎng)的絕對安全已經(jīng)成為無線網(wǎng)絡(luò)用戶所高度關(guān)注的問題。用戶必須要具備較為穩(wěn)定的平臺確保工作的正常開展，不管是個人或者是企業(yè)，即便是政府與國防單位，同樣將無線局域網(wǎng)的安全問題納入到重點工作內(nèi)容中。也只有從根本上解決無線網(wǎng)絡(luò)安全問題，才能夠全面提升工作效率。文章針對無線局域網(wǎng)中的安全性威脅展開了研究，并且提出了有效的應(yīng)對措施，以期有所幫助。

[1]王家鑫.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施[J].信息系統(tǒng)工程,2015(2):78

[2]張振波.4G無線網(wǎng)絡(luò)安全若干關(guān)鍵技術(shù)研究[J].科技創(chuàng)業(yè)家,2014(5):1-1

[3]史巖,朱佳,范祥輝等.基于ARINC822的機(jī)載無線網(wǎng)絡(luò)安全架構(gòu)設(shè)計[J].硅谷,2014(12):44-45,48

[4]郭文銳,劉捷,黃劍等.涉密無線網(wǎng)絡(luò)安全接入體系結(jié)構(gòu)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(11):104-105

[5]錢宏偉,黃曉紅.校園無線網(wǎng)絡(luò)安全中身份認(rèn)證的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(10):96,98

[6]李秀峰.淺析無線網(wǎng)絡(luò)安全防范機(jī)制[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(11):105,107

[7]張春玉,姚七棟.無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與改進(jìn)探討[J].無線互聯(lián)科技,2014(5):87-87

[8]薛蓓,陸志濤,楊翹羽等.移動互聯(lián)網(wǎng)背景下高校無線網(wǎng)絡(luò)安全策略研究[J].電腦知識與技術(shù),2016,12(22):44-45

金鑫（1983—），男，漢族，吉林省長春市人，上海交通大學(xué)碩士，中級職稱。從事通信工程領(lǐng)域無線通信網(wǎng)路規(guī)劃設(shè)計及基站建設(shè)方面的工作近10年，曾在中訊設(shè)計院，中國鐵塔公司任職。郵編：201210：身份證：220104198301110915。