論無線局域網(wǎng)安全問題及其對(duì)策

摘 要：無線局域網(wǎng)是近年來迅速發(fā)展的無線數(shù)據(jù)通訊網(wǎng)。無線局域網(wǎng)由于采用了電磁波作為載體來傳輸數(shù)據(jù)，使得安全保密問題尤為突出。本文在分析目前無線局域網(wǎng)主要存在的安全隱患的基礎(chǔ)上，介紹了常用的無線局域網(wǎng)安全機(jī)制，并且針對(duì)不同的安全等級(jí)要求提出了具體的實(shí)現(xiàn)措施。

關(guān)鍵詞：無線局域網(wǎng) 網(wǎng)絡(luò)安全 訪問控制 數(shù)據(jù)加密

一、引言

伴隨著IT技術(shù)的飛速發(fā)展，無線局域網(wǎng)(WLAN)的應(yīng)用正在不斷得到深入和發(fā)展，但在發(fā)展的同時(shí)，安全問題也正變得日益嚴(yán)峻。

由于無線局域網(wǎng)的數(shù)據(jù)是通過電磁波在空中輻射傳播的，只要在接入點(diǎn)（AP）覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號(hào)。無線網(wǎng)絡(luò)的電磁輻射傳輸方式使其安全保密問題變得尤為突出。如何確保數(shù)據(jù)不外泄和數(shù)據(jù)的完整性是首要解決的的問題。

二、無線局域網(wǎng)的安全隱患

相對(duì)于有線局域網(wǎng)，無線局域網(wǎng)新增的安全問題主要是因其不同的傳輸方式所引起，其它方面的安全問題是相似的。因而這將成為我們分析的重點(diǎn)。

1. 過度追求覆蓋范圍

無線局域網(wǎng)有一定的覆蓋范圍，對(duì)不需要信號(hào)覆蓋的區(qū)域沒有采取屏蔽措施，而如此“曝光”無線局域網(wǎng)，就為攻擊者探測(cè)和接收到必要的信息提供了便利，使得散布出去的信號(hào)可能被攻擊者利用，攻擊者通過高靈敏天線可從任何地方發(fā)起攻擊而不需要物理方式的侵入。

2. 惡意的訪問點(diǎn)

無線局域網(wǎng)易于訪問，任何人可自行購買AP設(shè)備，不經(jīng)網(wǎng)管許可而接入網(wǎng)絡(luò)，非法接入點(diǎn)將給網(wǎng)絡(luò)帶來很多不安全因素。

同時(shí)，許多用戶對(duì)無線AP設(shè)備的出廠設(shè)置未做更改，僅開啟和使用默認(rèn)密鑰。Windows XP操作系統(tǒng)的“無線零配置”又具有自動(dòng)搜索無線網(wǎng)絡(luò)的功能，使XP客戶端一旦進(jìn)入信號(hào)覆蓋范圍，就會(huì)自動(dòng)連接，導(dǎo)致不設(shè)防的侵入。

3. 拒絕服務(wù)攻擊

無線局域網(wǎng)的帶寬比較有限，而其頻率和微波爐、藍(lán)牙手機(jī)等設(shè)備相同，這些設(shè)備會(huì)對(duì)無線局域網(wǎng)形成干擾。如果人為惡意地增加這種干擾，很容易形成消耗帶寬的拒絕服務(wù)攻擊。除此之外，攻擊者還可以利用自己控制的AP，發(fā)出大量的中止命令，使終端斷開連接。

4. 身份假冒

由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證，攻擊者可以通過欺騙去重定向數(shù)據(jù)流和使ARP表變得混亂，輕易獲得網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址，從而在惡意攻擊時(shí)使用。

攻擊者還可以通過監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)其存在。通過輔助工具，將入侵者的計(jì)算機(jī)偽裝成AP，讓客戶端自動(dòng)連接到假冒的AP，然后進(jìn)行攻擊。

5. WEP協(xié)議的固有漏洞

802.11所采用的WEP加密方式本身就存在安全漏洞。802.11無法防止攻擊者采用被動(dòng)方式監(jiān)聽網(wǎng)絡(luò)，利用無線網(wǎng)絡(luò)分析儀可以輕易截獲未加密的網(wǎng)絡(luò)流量。WEP僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者提供了機(jī)會(huì)。

6. 對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊

很多網(wǎng)絡(luò)都有一套設(shè)置完善的安全設(shè)備為外殼，以防止非法攻擊，但在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部則較為脆弱，容易受攻擊。無線局域網(wǎng)可通過簡(jiǎn)單配置快速接入主干網(wǎng)絡(luò)，這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣會(huì)使網(wǎng)絡(luò)暴露從而遭到攻擊。

三、無線局域網(wǎng)的安全措施

通過上述分析，可以獲知無線局域網(wǎng)的安全性較為薄弱。有必要采取一些具體的方法來填補(bǔ)漏洞。盡管這些方法不能單獨(dú)用于保證網(wǎng)絡(luò)安全，但綜合運(yùn)用它們，就能大幅提升安全性。

1. 基本安全措施

為了加強(qiáng)WLAN的安全性，首先將重點(diǎn)放在接入點(diǎn)AP上，因?yàn)锳P是無線局域網(wǎng)數(shù)據(jù)傳輸?shù)幕A(chǔ)。

1.1合理布置

合理布置無線AP及節(jié)點(diǎn)位置，以免超出物理管轄范圍，控制AP發(fā)送的信號(hào)，從而控制信號(hào)泄漏。例如將AP置于建筑物中心區(qū)域，遠(yuǎn)離窗戶。不僅使室內(nèi)的合法節(jié)點(diǎn)能更好地接入，而且還可減少外界干擾。另一方面還應(yīng)靈活地減少接入點(diǎn)廣播強(qiáng)度，僅覆蓋所需區(qū)域，減少被竊聽的機(jī)會(huì)。

1.2服務(wù)集標(biāo)識(shí)(SSID)匹配

對(duì)于較低級(jí)別的安全防護(hù)，可以使用SSID匹配驗(yàn)證。改變SSID的默認(rèn)值，不同的無線AP設(shè)置不同的SSID標(biāo)識(shí)，當(dāng)工作站正確設(shè)置了SSID才能訪問AP。關(guān)閉SSID的定期廣播，使入侵者增加了竊聽難度。

1.3物理地址過濾

在網(wǎng)絡(luò)規(guī)模較小且工作站相對(duì)固定的場(chǎng)合可使用MAC地址過濾進(jìn)行訪問控制。可以設(shè)置AP只允許特定的MAC地址連接，實(shí)現(xiàn)基于物理地址的過濾，限制非授權(quán)N的訪問，經(jīng)常查看AP日志，及時(shí)發(fā)現(xiàn)攻擊者。

雖然MAC地址過濾存在缺陷：更改無線網(wǎng)卡設(shè)置來偽造MAC地址，但這需要攻擊者有一定的嗅探及網(wǎng)絡(luò)水平才能破解，因而它能防止大多數(shù)的網(wǎng)絡(luò)入侵。

1.4有線等效保密(WEP)技術(shù)

目前的WEP版本雖有明顯缺陷，但它仍可起到最起碼的保護(hù)，避免大多數(shù)的安全威脅。

WEP采用共享密鑰RC4對(duì)稱加密方法，對(duì)網(wǎng)絡(luò)鏈路層的信息數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)的加密和解密采用相同的密鑰和算法。只有用戶的密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。

2.WLAN保護(hù)增強(qiáng)

隨著WLAN的發(fā)展，陸續(xù)出現(xiàn)了用于糾正WEP脆弱性的技術(shù)，802.11網(wǎng)絡(luò)新版本也采用了一些增強(qiáng)的安全機(jī)制。

2.1端口訪問控制技術(shù)(IEEE 802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)

IEEE 802.1x主要用于解決無線局域網(wǎng)用戶的接入認(rèn)證問題，802.1x提供了一個(gè)可靠的用戶認(rèn)證和分發(fā)密鑰的方法，可以控制用戶只有在認(rèn)證通過以后才能連接到網(wǎng)絡(luò)。

但802.1x本身不提供實(shí)際的認(rèn)證機(jī)制，需要和EAP配合才能實(shí)現(xiàn)。EAP允許無線終端使用不同的認(rèn)證類型，與后臺(tái)的認(rèn)證服務(wù)器(如遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)器)進(jìn)行通訊。當(dāng)無線終端與無線AP關(guān)聯(lián)后，是否可以使用AP的受控端口取決于802.1x的認(rèn)證結(jié)果，如果非受控端口發(fā)送的認(rèn)證請(qǐng)求通過了驗(yàn)證，則AP為其打開受控端口，否則一直關(guān)閉受控端口，用戶將不能聯(lián)網(wǎng)。

2.2 WPA保護(hù)訪問技術(shù)

WPA是一種繼承了WEP基本原理而又解決了WEP缺點(diǎn)的新技術(shù)。

WPA比WEP更可靠，因?yàn)樗訌?qiáng)了生成加密密鑰的算法，即使入侵者能截獲較多的數(shù)據(jù)，破解起來也非常困難。WPA根據(jù)通用密鑰，配合表示MAC地址和分組信息順序的編號(hào)，為每個(gè)分組生成不同的密鑰，然后將此密鑰用RC4加密。處理后的分組所交換的數(shù)據(jù)由各個(gè)不同的密鑰加密而成。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中的缺點(diǎn)得以解決。

2.3暫時(shí)密鑰完整性協(xié)議(TKIP)技術(shù)

加密技術(shù)TKIP是在現(xiàn)有WEP加密引擎中追加了密鑰細(xì)分、消息完整性檢查、具有序列功能的初始向量和密鑰生成與定期更新功能等4種算法，極大地提高了加密安全強(qiáng)度。

TKIP所提供的安全特性專門用于糾正WEP的脆弱性。TKIP仍采用RC4做加密算法，但它能避免生成脆弱的密鑰，并強(qiáng)制每10000個(gè)數(shù)據(jù)包生成一個(gè)新密鑰。同時(shí)對(duì)初始化向量IV值進(jìn)行哈希處理，這些值在WEP中以明文發(fā)送，采用TKIP后IV就會(huì)以加密形式傳送。

TKIP還包括消息完整性檢查這樣一個(gè)更安全的數(shù)據(jù)完整性驗(yàn)證方法，它用來解決可能允許入侵者在數(shù)據(jù)包中注入數(shù)據(jù)的漏洞。通過驗(yàn)證數(shù)據(jù)包沒有被更改，同時(shí)轉(zhuǎn)儲(chǔ)可疑的數(shù)據(jù)包，入侵者將無法輕易推算出偽隨機(jī)生成算法(PRGA)值。

2.4高級(jí)加密標(biāo)準(zhǔn)(AES)技術(shù)

AES是增強(qiáng)的保護(hù)數(shù)據(jù)的加密算法。采用對(duì)稱的塊加密技術(shù)，使用128位分組加密數(shù)據(jù)，提供比RC4算法更高的加密性能，以實(shí)施更強(qiáng)的加密和信息完整性檢查。AES匯聚了強(qiáng)安全性，高性能，高效率，易用和靈活等特點(diǎn)。

3.虛擬專用網(wǎng)絡(luò)(VPN)和防火墻技術(shù)

無線網(wǎng)絡(luò)的安全性較低，因而無線網(wǎng)絡(luò)和核心網(wǎng)絡(luò)需要隔離，將它接在防火墻等安全設(shè)備的外面。通過設(shè)置防火墻，讓其阻止除了授權(quán)的VPN客戶端外的所有接入請(qǐng)求，不僅能保證訪問點(diǎn)的安全，還可為WLAN用戶和數(shù)據(jù)提供額外的安全保護(hù)。

對(duì)于安全要求比較高的大型無線網(wǎng)絡(luò)，VPN是一個(gè)較好的選擇。無線局域網(wǎng)的數(shù)據(jù)用VPN技術(shù)加密后再用無線加密技術(shù)加密，就好像雙重門鎖，提高了可靠性。VPN是在公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性。用戶可借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素。

IPSec VPN和SSL VPN是兩種較有代表意義的VPN技術(shù)。IPSec VPN運(yùn)行在網(wǎng)絡(luò)層，保護(hù)在節(jié)點(diǎn)間的數(shù)據(jù)傳輸安全，要求遠(yuǎn)程接入者必須正確地安裝和配置客戶端軟件或接入設(shè)備，將訪問限制在特定的接入設(shè)備、客戶端程序、用戶認(rèn)證機(jī)制和預(yù)定義的安全關(guān)系上，提供了較高水平的安全性。SSL被預(yù)先安裝在主機(jī)的瀏覽器中，是一種無客戶機(jī)的解決方案，可以節(jié)省安裝和維護(hù)成本。將VPN安全技術(shù)與其他無線安全技術(shù)結(jié)合起來，是目前較為理想的無線局域網(wǎng)安全解決方案。

4.無線入侵檢測(cè)系統(tǒng)(IDS)

要保證無線局域網(wǎng)數(shù)據(jù)的安全，僅僅進(jìn)行攻擊防護(hù)是不夠的，攻擊檢測(cè)技術(shù)可以作為另一道墻來保護(hù)網(wǎng)絡(luò)系統(tǒng)。盡管無線入侵檢測(cè)系統(tǒng)不能提供直接的保護(hù)，但它會(huì)在發(fā)現(xiàn)疑似攻擊時(shí)及時(shí)發(fā)出通知，極大提高網(wǎng)絡(luò)的防御能力。

IDS中的協(xié)議分析技術(shù)作為新的檢測(cè)模式，改進(jìn)了傳統(tǒng)檢測(cè)手段的不足。它利用網(wǎng)絡(luò)通信協(xié)議的高度規(guī)則性，捕獲數(shù)據(jù)包，分析網(wǎng)絡(luò)數(shù)據(jù)包，確認(rèn)數(shù)據(jù)包的協(xié)議類型，利用相應(yīng)的命令解析程序，分析數(shù)據(jù)包的數(shù)據(jù)。它不僅能檢測(cè)到網(wǎng)絡(luò)入侵的存在，而且能夠指出當(dāng)前不安全的網(wǎng)絡(luò)配置，檢測(cè)網(wǎng)絡(luò)中的故障，為網(wǎng)絡(luò)維護(hù)管理提供參考。協(xié)議分析方法的入侵檢測(cè)準(zhǔn)確性高，可以有效地檢測(cè)入侵的來源。

四、結(jié)束語

無線局域網(wǎng)安全機(jī)制本身固有的漏洞及無線介質(zhì)特有的開放性和穿透性，使其安全性變得較為脆弱。為了保證無線局域網(wǎng)的數(shù)據(jù)安全，必須有針對(duì)性地從管理和技術(shù)方面采取措施，加強(qiáng)防護(hù)和檢測(cè)。只有確保無線局域網(wǎng)的安全，才能充分發(fā)揮無線網(wǎng)的優(yōu)越性。

參考文獻(xiàn)：

［1］司紀(jì)鋒.無線局域網(wǎng)安全分析與檢測(cè)系統(tǒng)的研究和實(shí)現(xiàn).曲阜師范大學(xué)，2006年06期.

［2］朱坤華，馮云芝.淺析新一代無線局域網(wǎng)安全標(biāo)準(zhǔn)IEEE 802.11i［J］.甘肅科技縱橫，2005年04期.

［3］段鋼.加密與解密.電子工業(yè)出版社，2003年6月.

［4］梁磊.80211i無線局域網(wǎng)的安全現(xiàn)狀研究［J］.福建電腦，2006年02期.

［5］王大新.淺析無線局域網(wǎng)安全技術(shù)及在企業(yè)網(wǎng)中的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005年07期.