無線局域網安全分析及安全策略

摘要：近年來無線局域網的安全技術隨著無線局域網的高速發(fā)展，也得到了快速的發(fā)展和應用，本文介紹了無線局域網安全當前面臨的主要威脅，并提出了相應的安全策略。

關鍵詞：無線局域網；網絡安全；安全策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)24-1170-02

Wireless LAN Security Analysis and Security Strategy

GUO Ren-dong

(95949 PLA Troops ，Cangzhou 061001，China)

Abstract:In recent years the security of wireless LAN technology with the rapid development of wireless LAN， has been the rapid development and application.This article introduced the wireless local area network safe current faces the main threat， and proposed the corresponding security policy.

Key words:wireless LAN; network security; security strategy

1 引言

近來，無線局域網發(fā)展的勢頭越來越猛，它接入速率高，組網靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢。但是，隨著無線局域網應用領域的不斷拓展，其安全問題也越來越受到重視。在有線網絡中，您可以清楚辨別哪臺電腦連接在網線上。無線網絡與此不同，理論上無線電波范圍內的任何一臺電腦都可以監(jiān)聽并登錄無線網絡。如果企業(yè)內部網絡的安全措施不夠嚴密，則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權電腦可以訪問網絡而非法用戶無法截取網絡通信，無線網絡安全就顯得至關重要。

2 無線局域網安全性分析

無線局域網與有線局域網緊密地結合在一起，現(xiàn)在已經成為市場的主流產品。在無線局域網上，數(shù)據(jù)傳輸是通過無線電波在空中廣播的，因此在發(fā)射機覆蓋范圍內數(shù)據(jù)可以被任何無線局域網終端接收。因此，無線局域網的用戶主要關心的是網絡的安全性，主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力，否則人們還是對使用無線局域網存在顧慮。

2.1 無線局域網技術的安全性由下面4級定義

1)擴頻、跳頻無線傳輸技術本身使盜聽者難以捕捉到有用的數(shù)據(jù)；2)設置嚴密的用戶口令及認證措施，防止非法用戶入侵；3) 設置附加的第三方數(shù)據(jù)加密方案，即使信號被盜聽也難以理解其中的內容；4)采取網絡隔離及網絡認證措施。

2.1.1 擴展頻譜技術

擴展頻譜技術在50年前第一次被軍方公開介紹，它用來進行保密傳輸。從一開始它就設計成抗噪音、干擾、阻塞和未授權檢測。擴展頻儲發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。擴展瀕譜的實現(xiàn)方式有多種，最常用的兩種是直接序列和跳頻序列。

2.1.2 用戶認證——口令控制

我們推薦在無線網的站點上使用口令控制——當然未必要局限于無線網。諸如Novell NetWare和Microsoft NT等網絡操作系統(tǒng)和服務器提供了包括口令管理在內的內建多級安全服務。口令應處于嚴格的控制之下并經常予以變更。因此，嚴格的口令策略等于增加了一個安全級別，它有助于確認網站是否正被合法的用戶使用。

2.1.3 數(shù)據(jù)加密

假如您的數(shù)據(jù)要求極高的安全性，譬如說是商用網或軍用網上的數(shù)據(jù)，那么您可能需要采取一些特殊的措施。最后也是最高級別的安全措施就是在網絡上整體使用加密產品。數(shù)據(jù)包中的數(shù)據(jù)在發(fā)送到局域網之前要用軟件或硬件的方法進行加密。只有那些擁有正確密鑰的站點才可以恢復，讀取這些數(shù)據(jù)。

2.2 無線局域網安全存在的威脅

目前無線局域網安全存在的威脅主要有以下幾個方面：

2.2.1 攻擊者入侵

無線局域網非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網絡的存在，網絡必須發(fā)送有特定參數(shù)的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發(fā)起攻擊而不需要任何物理方式的侵入。

2.2.2 非法的AP

無線局域網易于訪問和配置簡單的特性，使網絡管理員和安全官員非常頭痛。因為任何人的計算機都可以通過自己購買的AP，不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。

2.2.3 未經授權使用服務

一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。由于無線局域網的開放式訪問方式，未經授權擅自使用網絡資源不僅會增加帶寬費用，更可能會導致法律糾紛。而且未經授權的用戶沒有遵守服務提供商提出的服務條款，可能會導致ISP中斷服務。

2.2.4 服務和性能的限制

無線局域網的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標準的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網絡遠遠超過無線網絡帶寬的網絡流量，如果攻擊者從快速以太網發(fā)送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果發(fā)送廣播流量，就會同時阻塞多個AP；攻擊者可以在同無線網絡相同的無線信道內發(fā)送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應，同樣影響無線網絡的傳輸；另外，傳輸較大的數(shù)據(jù)文件或者復雜的client/server系統(tǒng)都會產生很大的網絡流量。

2.2.5地址欺騙和會話攔截

由于802.11無線局域網對數(shù)據(jù)幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。

2.2.6 流量分析與流量偵聽

802.11無法防止攻擊者采用被動方式監(jiān)聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。

3 無線局域網安全策略

3.1 加強網絡訪問控制

無線局域網容易訪問不等于容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏，當然通過強大的網絡訪問控制可以減少無線網絡配置的風險。如果將AP安置在像防火墻這樣的網絡安全設備的外面，最好考慮通過VPN技術連接到主干網絡，更好的辦法是使用基于IEEE802.1x的新的無線網絡產品。IEEE802.1x定義了用戶級認證的新的幀的類型，借助于企業(yè)網已經存在的用戶數(shù)據(jù)庫，將前端基于IEEE802.1X無線網絡的認證轉換到后端基于有線網絡的RASIUS認證。

3.2 定期進行的站點審查

像其他許多網絡一樣，無線網絡在安全管理方面也有相應的要求。在入侵者使用網絡之前通過接收天線找到未被授權的網絡，通過物理站點的監(jiān)測應當盡可能地頻繁進行，頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率，但是這樣會花費很多的時間并且移動性很差。一種折衷的辦法是選擇小型的手持式檢測設備。管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測。

3.3 加強安全認證

最好的防御方法就是阻止未被認證的用戶進入網絡，由于訪問特權是基于用戶身份的，所以通過加密辦法對認證過程進行加密是進行認證的前提，通過VPN技術能夠有效地保護通過電波傳輸?shù)木W絡流量。一旦網絡成功配置，嚴格的認證方式和認證策略將是至關重要的。另外還需要定期對無線網絡進行測試，以確保網絡設備使用了安全認證機制，并確保網絡設備的配置正常。

3.4 網絡檢測

定位性能故障應當從監(jiān)測和發(fā)現(xiàn)問題入手，很多AP可以通過SNMP報告統(tǒng)計信息，但是信息十分有限，不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。

3.5 同重要網絡隔離

在802.11i被正式批準之前，MAC地址欺騙對無線網絡的威脅依然存在。網絡管理員必須將無線網絡同易受攻擊的核心網絡脫離開。

3.6 采用可靠的協(xié)議進行加密

如果用戶的無線網絡用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數(shù)據(jù)的安全性。

4 結束語

無論是否有無線網段，大多數(shù)的局域網都必須要有一定級別的安全措施。在內部好奇心、外部攻擊和竊聽面前，甚至有線網都顯得很脆弱。沒有任何網絡是完全安全的，任何安全計劃的目標都是根據(jù)需求和成本把風險降低到可以接受的水平，相對來說，無線網絡比有線網絡更需要啟用日常監(jiān)測手段以發(fā)現(xiàn)安全問題，如果沒有專門的設備，可以使用一些針對無線網絡環(huán)境的入侵檢測軟件。定期檢查、變更管理這些常務的安全工作也要認真的執(zhí)行，因為沒有任何設施是天然安全的，只有在管理中對安全做出足夠的努力，才能獲得所期望的安全。

參考文獻：

[1] 馬建峰.無線局域網安全——方法與技術[M].機械工業(yè)出版社， 2005.

[2] 張振川.無線局域網技術與協(xié)議[M].東北大學出版社， 2003.

[3] 鐘章隊.無線局域網[M].科學出版社， 2004.