淺析無線局域網的安全防范措施

摘要:安全問題是自無線局域網誕生以來一直困擾其發展的重要原因，本文研究了現階段無線局域網面臨的主要安全問題，并介紹了相應的解決辦法。

關鍵詞:無線局域網;安全問題;802.11

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)07-1600-02

Analysis of Wireless LAN Security Measures

ZHAO Chang-jian

(Fuling Radio and Television University Computer Center， Chongqing 408000， China)

Abstract: Since the wireless local area network birth， the security problem has been puzzles its development the substantial clause， this article has studied the main security problem which the present stage wireless local area network faces， and introduced the corresponding solution.

Key words: wireless local area network; security problem; 802.11

近年來，無線局域網以它接入速率高，組網靈活，在傳輸移動數據方面尤其具有得天獨厚的優勢等特點得以迅速發展。但是隨著無線局域網應用領域的不斷拓展，無線局域網受到越來越多的威脅無線網絡不但因為基于傳統有線網絡TCP/IP架構而受到攻擊，還受到基于IEEE 802.11標準本身的安全問題而受到威脅，其安全問題也越來越受到重視。

1 非法接入無線局域網

無線局域網采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、墻等物體，因此在一個無線局域網接入點的服務區域中，任何一個無線客戶端(包括未授權的客戶端)都可以接收到此接入點的電磁波信號。也就是說，由于采用電磁波來傳輸信號，未授權用戶在無線局域網(相對于有線局域網)中竊聽或干擾信息就容易得多。所以為了阻止這些非授權用戶訪問無線局域網絡，必須在無線局域網引入全面的安全措施。

1.1 非法用戶的接入

1) 基于服務設置標識符(SSID)防止非法用戶接入:服務設置標識符SSID是用來標識一個網絡的名稱，以此來區分不同的網絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。

2) 基于無線網卡物理地址過濾防止非法用戶接入:由于每個無線工作站的網卡都有惟一的物理地址，利用MAC地址阻止未經授權的無限工作站接入。為AP設置基于MAC地址的訪問控制表，確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。

如果網絡中的AP數量太多，可以使用802.1x端口認證技術配合后臺的RADIUS認證服務器，對所有接入用戶的身份進行嚴格認證，杜絕未經授權的用戶接入網絡，盜用數據或進行破壞。

3) 基于802.1x防止非法用戶接入:802.1x技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。 如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網。

1.2 非法AP的接入

無線局域網易于訪問和配置簡單的特性，增加了無線局域網管理的難度。因為任何人都可以通過自己購買的AP，不經過授權而連入網絡，這就給無線局域網帶來很大的安全隱患。

1) 基于無線網絡的入侵檢測系統防止非法AP接入

使用入侵檢測系統IDS防止非法AP的接入主要有兩個步驟，即發現非法AP和清除非法AP。發現非法AP是通過分布于網絡各處的探測器完成數據包的捕獲和解析，它們能迅速地發現所有無線設備的操作，并報告給管理員或IDS系統。當然通過網絡管理軟件，比如SNMP，也可以確定AP接入有線網絡的具體物理地址。發現AP后，可以根據合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關參數，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。當發現非法AP之后，應該立即采取的措施，阻斷該AP的連接，有以下三種方式可以阻斷AP連接:

① 采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務;

② 網絡管理員利用網絡管理軟件，確定該非法AP的物理連接位置，從物理上斷開。

2) 檢測出非法AP連接在交換機的端口，并禁止該端口: 基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入。在無線AP接入有線交換設備時，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網絡的寶貴資源，因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法，在此驗證過程中不但AP需要確認無線用戶的合法性，無線終端設備也必須驗證AP是否為虛假的訪問點，然后才能進行通信。通過雙向認證，可以有效地防止非法AP的接入。

3) 基于檢測設備防止非法AP的接入:在入侵者使用網絡之前，通過接收天線找到未被授權的網絡。對物理站點的監測，應當盡可能地頻繁進行。頻繁的監測可增加發現非法配置站點的存在幾率。選擇小型的手持式檢測設備，管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測，清除非法接入的AP。

2 數據傳輸的安全性

在無線局域網中可以使用數據加密技術和數據訪問控制保障數據傳輸的安全性。使用先進的加密技術，使得非法用戶即使截取無線鏈路中的數據也無法破譯;使用數據訪問控制能夠減少數據的泄露。

2.1 數據加密

1) IEEE802.11中的WEP:有線對等保密協議(WEP)是由IEEE 802.11標準定義的，用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。現在，已經出現了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort。

2) IEEE802.11i中的WPA:Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的，用來改進WEP所使用密鑰的安全性的協議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數據包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法 計算 出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中的缺點得以解決。

2.2 數據的訪問控制

訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。

訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。

2.3 其他安全性措施

許多安全問題都是由于AP沒有處在一個封閉的環境中造成的。所以，首先，應注意合理放置AP的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。例如，將天線遠離窗戶附近，因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區域的中心，盡量減少信號泄露到墻外，必要時要增加屏蔽設備來限制無線局域網的覆蓋范圍。其次，由于很多無線設備是放置在室外的，因此需要做好防盜、防風、防雨、防雷等措施，保障這些無線設備的物理安全。

綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全策略，能夠最大限度提高安全水平。

為了保障無線局域網的安全，除了通過技術手段進行保障之外，制定完善的管理和使用制度也是很有必要的。

參考文獻:

[1] 王茂才.無線局域網的安全性研究[J].計算機應用研究，2007(01):31-32.

[2] 王玲.IEEE802.11無線局域網技術及安全性研究[J].電腦開發與應用，2007(02):20-21.