◆沈 靜 李雙樂(lè)

無(wú)線局域網(wǎng)安全防范策略探討

◆沈 靜1李雙樂(lè)2

（1.天津市必優(yōu)特科工貿(mào)有限公司 天津 300000；2. 美的新建設(shè)（天津）有限公司 天津 300000）

隨著近幾年的發(fā)展，我們國(guó)家無(wú)線局域網(wǎng)的使用范圍不斷增加，單位以及個(gè)人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性正在日益增強(qiáng)。無(wú)線局域網(wǎng)絡(luò)的信息傳遞迅速、安全運(yùn)行對(duì)企業(yè)的發(fā)展帶來(lái)了很多有益的地方，所以各個(gè)公司都在提升IT系統(tǒng)的網(wǎng)絡(luò)使用量，但是使用的過(guò)程中往往會(huì)有一些比較機(jī)密的信息，比如：?jiǎn)T工信息、賬戶密碼、貿(mào)易機(jī)密等等。近年來(lái)由于無(wú)線局域網(wǎng)的使用導(dǎo)致信息泄露的事情頻頻爆出，所以人們對(duì)于無(wú)線局域網(wǎng)的安全性能越來(lái)越關(guān)注。我們現(xiàn)在針對(duì)無(wú)線網(wǎng)絡(luò)的安全性質(zhì)對(duì)其技術(shù)進(jìn)行進(jìn)一步地研究，研究出來(lái)新的安全防范策略。

無(wú)線局域網(wǎng)；安全；防范策略

0 前言

隨著我們國(guó)家國(guó)民經(jīng)濟(jì)的不斷提升，我們國(guó)家的電子信息行業(yè)也有著飛速的發(fā)展，不僅僅是個(gè)人，各個(gè)單位對(duì)無(wú)線網(wǎng)絡(luò)的使用量也在不斷升高，并且人們對(duì)無(wú)線網(wǎng)絡(luò)的依賴性越來(lái)越高。對(duì)于無(wú)線網(wǎng)絡(luò)的使用高效性以及安全運(yùn)行的特點(diǎn)非常受企業(yè)喜愛(ài)。在對(duì)網(wǎng)絡(luò)使用的過(guò)程中會(huì)有一些比較重要的數(shù)據(jù)，有些不法分子就通過(guò)網(wǎng)絡(luò)來(lái)盜取機(jī)密最終導(dǎo)致公司有不必要的損失。

1 無(wú)線局域網(wǎng)絡(luò)的安全技術(shù)

無(wú)線網(wǎng)絡(luò)的使用已經(jīng)遍布大街小巷，為人們提供了非常便利的生活方式，但是無(wú)線網(wǎng)絡(luò)的使用安全也非常重要，直接關(guān)系著人們的隱私信息以及財(cái)產(chǎn)的安全，所以無(wú)線局域網(wǎng)絡(luò)的安全保障非常重要。

無(wú)線WLAN的使用安全安全保障主要有兩個(gè)方面，一個(gè)是保護(hù)網(wǎng)絡(luò)上的資源不受到非法的訪問(wèn)；還有就是保護(hù)人們的通信安全。在相關(guān)規(guī)定中定義了一整套的安全措施，其中最主要的還是想通過(guò)密碼設(shè)置然后對(duì)本地的無(wú)線網(wǎng)絡(luò)進(jìn)行安全保護(hù)。在整個(gè)無(wú)線網(wǎng)絡(luò)的通訊過(guò)程中，無(wú)線站與個(gè)人無(wú)線網(wǎng)絡(luò)地址之間的連接是通過(guò)以下程序進(jìn)行的：

無(wú)線基站在某個(gè)固有頻道上發(fā)送一條消息，消息的內(nèi)容包括自己的MAC還有基站所在網(wǎng)絡(luò)的ESSID，其中主要想與本網(wǎng)絡(luò)中的某一個(gè)個(gè)人電腦進(jìn)行連接，在這個(gè)局域網(wǎng)絡(luò)中的任何一個(gè)AP接到以上信息的，都要將自己的ESSID以及信道號(hào)發(fā)送回去作為回信，然后進(jìn)行認(rèn)證，如果雙方認(rèn)證成功之后就可以進(jìn)行配對(duì)關(guān)聯(lián)，這樣就可以形成一個(gè)局域網(wǎng)。

當(dāng)前使用最多的標(biāo)準(zhǔn)就是IEEE802.11b，其中對(duì)網(wǎng)絡(luò)的使用進(jìn)行了以下兩種劃分，那就是開(kāi)放式認(rèn)證以及基于共享秘密的認(rèn)證。其中，開(kāi)放式認(rèn)證的安全性較低，其實(shí)不算是認(rèn)證，雙方只要通過(guò)IP地址的搜索就可以使用無(wú)線基站對(duì)網(wǎng)絡(luò)進(jìn)行信息查詢?cè)L問(wèn)，這種方法其實(shí)并不能保護(hù)用戶的隱私安全，所以就研制出了共享秘密認(rèn)證。共享秘密認(rèn)證這種方法對(duì)用戶的隱私保護(hù)力度加大了，如果要對(duì)其進(jìn)行訪問(wèn)就需要無(wú)線基站對(duì)其出示一個(gè)訪問(wèn)密碼，只有通過(guò)驗(yàn)證才可以進(jìn)行資源共享，對(duì)信息的保護(hù)提高了一個(gè)檔次。

在完成基站網(wǎng)絡(luò)與個(gè)人網(wǎng)絡(luò)的連接后，就要通過(guò)多種校驗(yàn)以及輸入密碼過(guò)后來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行多重保護(hù)。IEEE802.11b定義了這種加密算法，這種算法就是在之前加密的基礎(chǔ)上將信息進(jìn)行加密，保密效果非常好。

2 無(wú)線局域網(wǎng)的安全策略

在現(xiàn)實(shí)網(wǎng)絡(luò)情況的使用過(guò)程中，相關(guān)技術(shù)人員應(yīng)該設(shè)計(jì)一種多元化的、多層次的對(duì)信息的安全保護(hù)，不僅僅是對(duì)人們信息的保護(hù)，還要有對(duì)無(wú)線局域網(wǎng)的保護(hù)，要幫助人們?cè)谑褂玫倪^(guò)程中在最短的時(shí)間內(nèi)可以完成更多的工作。在安全機(jī)制的保護(hù)過(guò)程中主要包括了無(wú)線地址的保護(hù)、防火墻的設(shè)置以及入侵系統(tǒng)的設(shè)置等等。這些問(wèn)題都直接關(guān)系到了無(wú)線網(wǎng)絡(luò)的安全使用情況，都值得我們對(duì)此進(jìn)行關(guān)注。

2.1無(wú)線網(wǎng)絡(luò)地址的物理位置與信號(hào)強(qiáng)度

（1）無(wú)線網(wǎng)絡(luò)AP的物理位置。有很多的網(wǎng)絡(luò)安全問(wèn)題都是由于本地的無(wú)線AP沒(méi)有處在一個(gè)相對(duì)封閉的網(wǎng)絡(luò)環(huán)境中造成的。所以，在設(shè)置本地的AP時(shí)一定要將密碼設(shè)置的復(fù)雜一些，字符越復(fù)雜越好，這樣對(duì)其進(jìn)行破解的時(shí)候就比較困難；還有就是要考慮將他的可訪問(wèn)性以及信號(hào)范圍的設(shè)置。無(wú)線網(wǎng)絡(luò)的AP地址要放在攻擊者很難攻擊的位置，如果攻擊者很容易的就可以將AP地址與自己的電腦相連接，就可以非常輕松地對(duì)無(wú)線AP與密碼進(jìn)行破解，那么對(duì)信息的保護(hù)就非常困難了。除此之外，在網(wǎng)絡(luò)設(shè)置的時(shí)候要保證無(wú)線AP不可以通過(guò)遠(yuǎn)程設(shè)置對(duì)其進(jìn)行密碼修改或者對(duì)這臺(tái)電腦進(jìn)行控制。

（2）無(wú)線網(wǎng)絡(luò)AP的信號(hào)強(qiáng)度。無(wú)線信號(hào)是通過(guò)電磁波的震動(dòng)來(lái)傳遞信息，所以非常容易受到其他信號(hào)的干擾。天線是一種可以發(fā)射信號(hào)的物體，天線可以通過(guò)向特定方向發(fā)射信號(hào)來(lái)傳遞信息。所以無(wú)線局域網(wǎng)絡(luò)的信號(hào)強(qiáng)度的干擾項(xiàng)中信號(hào)強(qiáng)度也是一個(gè)需要進(jìn)行考慮的問(wèn)題。無(wú)線局域網(wǎng)絡(luò)中的信號(hào)的傳播可以通過(guò)墻體以及窗戶這種物體，并且信號(hào)的強(qiáng)度并沒(méi)有明顯降低。所以為了全面覆蓋需要使用無(wú)線信號(hào)的區(qū)域，應(yīng)該將無(wú)線AP的天線放置在整個(gè)區(qū)域的正中間，同時(shí)還應(yīng)該避免天線放在建筑物外墻周圍，這樣就可以減少信號(hào)外泄造成信號(hào)不好這種情況。

2.2無(wú)線網(wǎng)絡(luò)地址安全設(shè)置

無(wú)線網(wǎng)絡(luò)的設(shè)置過(guò)程中，無(wú)線網(wǎng)絡(luò)的制造商所提供的很多默認(rèn)設(shè)置是非常不合理的，配置無(wú)線網(wǎng)絡(luò)的主要情況包括以下幾種情況：

（1）隱藏服務(wù)集標(biāo)識(shí)符（簡(jiǎn)稱SSID），服務(wù)集標(biāo)識(shí)符是無(wú)線客戶的使用端對(duì)不同的無(wú)線網(wǎng)絡(luò)的特點(diǎn)識(shí)別，其實(shí)也就相當(dāng)于一個(gè)手機(jī)可以同時(shí)識(shí)別不同的信號(hào)運(yùn)營(yíng)商。隱藏服務(wù)集標(biāo)識(shí)符就是禁止無(wú)線的ＡＰ對(duì)廣播進(jìn)行開(kāi)放，其他人也搜索不到這個(gè)無(wú)線端口，這樣就可以有效地避免不是本用戶的人員使用這個(gè)端口發(fā)出的信號(hào)進(jìn)行使用。但是隨著信息技術(shù)的發(fā)展，仍然有人致力于鉆研黑客技術(shù)，想方設(shè)法盜取別人的數(shù)據(jù)并且接近個(gè)別網(wǎng)絡(luò)盜取信息。所以對(duì)服務(wù)集標(biāo)識(shí)符進(jìn)行隱藏只是非常初級(jí)的一種自保方法，并不能完全保護(hù)人們的隱私。

（2）啟動(dòng)ＷＥＰ的１２８位密碼設(shè)置模式。所有的通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行認(rèn)證的無(wú)線設(shè)備都可以支持有線等效保密（簡(jiǎn)稱：ＷＥＰ），根據(jù)有關(guān)行業(yè)安全規(guī)定說(shuō)明，ＷＥＰ可以進(jìn)行設(shè)置６４位以及１２８位的密保對(duì)其進(jìn)行了加密，其中使用的是ＲＣ４加密算法，這種算法的使用在無(wú)線網(wǎng)絡(luò)的密碼設(shè)置中非常廣泛。啟用ＷＥＰ的時(shí)候需要在每個(gè)無(wú)線信號(hào)使用的端口以及無(wú)線ＡＰ上設(shè)置密碼鑰匙，這種方式比較麻煩，對(duì)于無(wú)線局域網(wǎng)絡(luò)安全的保護(hù)也比較全面，所以這種密碼設(shè)置的方式更為廣泛使用。但是，為了安全考慮，ＷＥＰ密碼應(yīng)該定期進(jìn)行更改，這樣才能更好地保護(hù)自己的網(wǎng)絡(luò)信息不被盜取。

（3）在密碼設(shè)置的過(guò)程中，要使用ＭＡＣ對(duì)本網(wǎng)絡(luò)進(jìn)行地址的過(guò)濾。使用ＭＡＣ對(duì)地址進(jìn)行過(guò)濾之后雖然可能有地址欺騙的情況發(fā)生，攻擊者可以將自己的網(wǎng)絡(luò)ＭＡＣ地址設(shè)置成合法的地址，然后利用合法的地址進(jìn)行違法的行為。但是ＭＡＣ地址過(guò)濾后可以保護(hù)自己的網(wǎng)絡(luò)被攻擊的可能性降低，保護(hù)自己的網(wǎng)絡(luò)。ＭＡＣ地址過(guò)濾設(shè)置起來(lái)比較麻煩，并且不能支持很多用戶同時(shí)進(jìn)行使用，所以這種方法只適用于小型的用戶量少的辦公室使用。

（4）及時(shí)地更新無(wú)線的ＡＰ構(gòu)件。在系統(tǒng)進(jìn)行升級(jí)的時(shí)候可以對(duì)系統(tǒng)進(jìn)行及時(shí)升級(jí)，或者對(duì)無(wú)線ＡＰ的構(gòu)件進(jìn)行更換，這樣可以通過(guò)提高自身的防盜措施來(lái)保護(hù)自己的網(wǎng)絡(luò)不受外部影響而收到損失。使用新版本的ＡＰ構(gòu)件可以幫助自身對(duì)一些漏洞進(jìn)行修復(fù)，并且在其他方面的功能上還進(jìn)行了技術(shù)的更新，更加保護(hù)了自身網(wǎng)絡(luò)的安全。

3 結(jié)語(yǔ)

無(wú)線局域網(wǎng)是整個(gè)無(wú)線數(shù)據(jù)通訊行業(yè)的黑馬，近幾年來(lái)開(kāi)始盛行使用，是通訊行業(yè)中發(fā)展速度最快的。無(wú)線局域網(wǎng)絡(luò)WLAN的使用為人們的生活提供了很多便利，使用過(guò)程中非常方便，并且成本也非常低，因此受到了廣大消費(fèi)者的喜愛(ài)。其中有辦公室、家庭用戶、大型企業(yè)等等。隨著日產(chǎn)生活中的使用，人們對(duì)無(wú)線網(wǎng)絡(luò)的使用依賴性逐漸增加，值得人們關(guān)注的是網(wǎng)絡(luò)使用過(guò)程中的安全問(wèn)題，所以技術(shù)人員要不斷地開(kāi)發(fā)新的領(lǐng)域，這樣才能與黑客做斗爭(zhēng)，保護(hù)人們的信息安全。

[1]褚麗莉.無(wú)線局域網(wǎng)安全分析[J].通信技術(shù)，2009.

[2]趙偉艇，史玉珍.基于802.11i的無(wú)線局域網(wǎng)安全加密技術(shù)研究[J].計(jì)算機(jī)工程設(shè)計(jì)，2010.

[3]陳偉，歐陽(yáng)宏基.無(wú)線局域網(wǎng)安全技術(shù)研究[J].福建電腦， 2009.

[4]馬建峰.無(wú)線局域網(wǎng)安全-方法與技術(shù)[M].機(jī)械工業(yè)出版社，2005.

[5]張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社，2006.