論無線網(wǎng)絡的安全威脅及對策

黃錦敬

摘要：無線網(wǎng)絡是通過無線電波在空中傳輸數(shù)據(jù)，只要在覆蓋范圍內(nèi)都可以傳輸和接收數(shù)據(jù)。因此，無線網(wǎng)絡存在著訪問控制和保密的安全性問題。主要在介紹無線網(wǎng)絡存在的有線等價保密性、搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網(wǎng)絡接管與篡改、拒絕服務攻擊以及用戶設備等安全威脅的基礎上，提出無線網(wǎng)絡應該采用的七項安全技術和八項應對安全措施。

關鍵詞：無線網(wǎng)絡；安全威脅；安全技術；安全措施

中圖分類號：TP393.08文獻標識碼：A文章編號：1672-3198(2009)06-0257-03

無線網(wǎng)絡的應用擴展了網(wǎng)絡用戶的自由，然而，這種自由同時也帶來了安全性問題。無線網(wǎng)絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。

1無線網(wǎng)絡存在的安全威脅

無線網(wǎng)絡一般受到的攻擊可分為兩類：一類是關于網(wǎng)絡訪問控制、數(shù)據(jù)機密性保護和數(shù)據(jù)完整性保護而進行的攻擊；另一類是基于無線通信網(wǎng)絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網(wǎng)絡的環(huán)境下也會發(fā)生。可見，無線網(wǎng)絡的安全性是在傳統(tǒng)有線網(wǎng)絡的基礎上增加了新的安全性威脅。

1.1有線等價保密機制的弱點

IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學會)制定的802.11標準中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網(wǎng)絡中功能等效的安全措施，防止出現(xiàn)無線網(wǎng)絡用戶偶然竊聽的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。

(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復位設計，常常出現(xiàn)重復使用現(xiàn)象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點，容易被黑客攻破。此外，用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗)只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗碼。

(2)密鑰管理復雜。802.11標準指出，WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量，使無線網(wǎng)絡難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網(wǎng)絡的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變?nèi)笔〉呐渲眠x項，而缺省的加密設置都是比較簡單或脆弱的，經(jīng)不起黑客的攻擊。

1.2進行搜索攻擊

進行搜索也是攻擊無線網(wǎng)絡的一種方法，現(xiàn)在有很多針對無線網(wǎng)絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡的軟件。很多無線網(wǎng)絡是不使用加密功能的，或即使加密功能是處于活動狀態(tài)，如果沒有關閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網(wǎng)絡不對外廣播網(wǎng)絡信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡工具，如AiroPeek和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破解的信息。

1.4無線網(wǎng)絡身份驗證欺騙

欺騙這種攻擊手段是通過騙過網(wǎng)絡設備，使得它們錯誤地認為來自它們的連接是網(wǎng)絡中一個合法的和經(jīng)過同意的機器發(fā)出的。達到欺騙的目的，最簡單的方法是重新定義無線網(wǎng)絡或網(wǎng)卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當試圖連接到網(wǎng)絡上的時候，簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網(wǎng)身份驗證。

1.5網(wǎng)絡接管與篡改

同樣因為TCP/IP設計的原因，某些欺騙技術可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡連接。如果攻擊者接管了某個AP，那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網(wǎng)絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。

1.6拒絕服務攻擊

無線信號傳輸?shù)奶匦院蛯ｉT使用擴頻技術，使得無線網(wǎng)絡特別容易受到DoS(DenialofService，拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網(wǎng)絡幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設備使用相同的頻率，從而造成無線頻譜內(nèi)出現(xiàn)沖突；②攻擊者發(fā)送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當?shù)哪康牡兀敲此械木W(wǎng)絡用戶都將無法使用網(wǎng)絡。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權的攻擊者，可以通過發(fā)送多達無線AP無法處理的通信量進行攻擊。

1.7用戶設備安全威脅

由于IEEE802.11標準規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰，因此只要得到了一塊無線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網(wǎng)絡的SSID及密鑰。

2無線網(wǎng)絡采用的安全技術

采用安全技術是消除無線網(wǎng)絡安全威脅的一種有效對策。無線網(wǎng)絡的安全技術主要有七種。

2.1擴展頻譜技術

擴頻技術是用來進行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術。擴展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。

一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號，在這個范圍內(nèi)可以得到79個隔離的不同通道，無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個通道上，并在每一通道上停留固定的時間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統(tǒng)外的站點要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡之間沒有相互干擾，因而不用擔心網(wǎng)絡上的數(shù)據(jù)被其他用戶截獲。

2.2用戶密碼驗證

為了安全，用戶可以在無線網(wǎng)絡的適配器端使用網(wǎng)絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡支持使用筆記本或其他移動設備的漫游用戶，所以嚴格的密碼策略等于增加一個安全級別，這有助于確保工作站只被授權用戶使用。

2.3數(shù)據(jù)加密

數(shù)據(jù)加密技術的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡，能有效地起到保密作用。

此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡操作系統(tǒng)中或無線局域網(wǎng)設備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價格的第三方產(chǎn)品，為用戶提供最好的性能、服務質(zhì)量和技術支持。

2.4WEP配置

WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權用戶訪問網(wǎng)絡；對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。

2.5防止入侵者訪問網(wǎng)絡資源

這是用一個驗證算法來實現(xiàn)的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線網(wǎng)絡的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

2.6端口訪問控制技術

端口訪問控制技術(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與AP關聯(lián)后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公司的無線接入解決方案。

2.7使用VPN技術

VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網(wǎng)絡的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。因此，在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。

3無線網(wǎng)絡采取的安全措施

要排除無線網(wǎng)絡的安全威脅，另一種對策是采取如下八項安全措施。

3.1網(wǎng)絡整體安全分析

網(wǎng)絡整體安全分析是要對網(wǎng)絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時，要納入網(wǎng)絡的規(guī)劃計劃，及時采取措施，排除無線網(wǎng)絡的安全威脅。

3.2網(wǎng)絡設計和結構部署

選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡和設置適合的網(wǎng)絡結構是確保網(wǎng)絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值；把基站看作RAS(RemoteAccessServer，遠程訪問服務器)；指定專用于無線網(wǎng)絡的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權用戶和入侵者的影響；在網(wǎng)絡上，針對全部用戶使用一致的授權規(guī)則；在不會被輕易損壞的位置部署硬件。

3.3啟用WEP機制

要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能，必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流；二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用；三是不使用預先定義的WEP密鑰，避免使用缺省選項；四是密鑰由用戶來設定，并且能夠經(jīng)常更改；五是要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

3.4MAC地址過濾

MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規(guī)模的無線網(wǎng)絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施；二是應該記錄無線網(wǎng)絡上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網(wǎng)絡，阻止非信任的MAC訪問網(wǎng)絡；三是可以使用日志記錄產(chǎn)生的錯誤，并定期檢查，判斷是否有人企圖突破安全措施。

3.5進行協(xié)議過濾

協(xié)議過濾是一種降低網(wǎng)絡安全風險的方式，在協(xié)議過濾器上設置正確適當?shù)膮f(xié)議過濾會給無線網(wǎng)絡提供一種安全保障。過濾協(xié)議是個相當有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網(wǎng)絡管理協(xié)議)訪問無線設備來修改配置的網(wǎng)絡用戶，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務攻擊的協(xié)議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網(wǎng)絡，避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡用戶。

3.7有效管理IP分配方式

分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式，判斷無線網(wǎng)絡使用哪一個分配IP的方法最適合自己的機構，對網(wǎng)絡的安全至關重要。靜態(tài)地址可以避免黑客自動獲得IP地址，限制在網(wǎng)絡上傳遞對設備的第三層的訪問；而動態(tài)地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。

3.8加強員工管理

加強單位內(nèi)部員工的管理，禁止員工私自安裝AP；規(guī)定員工不得把網(wǎng)絡設置信息告訴單位外部人員；禁止設置P2P的Adhoc網(wǎng)絡結構；加強員工的學習和技術培訓，特別是對網(wǎng)絡管理人員的業(yè)務培訓。

此外，在布置AP的時候要在單位辦公區(qū)域以外進行檢查，通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域，同時要加強對單位附近的巡查工作，防止外部人員在單位附近接入網(wǎng)絡。

參考文獻

[1]鐘章隊.無線局域網(wǎng)[M].北京：科學出版社，2004.

[2]王樂.中國標準撼動Wi-Fi[J].電腦報，2003，(49).

[3]賴慶.無線網(wǎng)絡安全對策和技術[J].科技資訊，2006，(19).