基于無線局域網的安全問題研究

唐濤

鎮江高等專科學校 江蘇 212003

0 前言

無線網絡技術已經廣泛應用到多個領域。無線技術是指在不使用物理線纜的前提下，從一點向另一點傳遞數據的方法，其中包括無線電、蜂窩網絡、紅外線和衛星等技術。無線網絡具有的可移動性、安裝簡單、高靈活性和擴展能力，在對傳統有線網絡進行延伸的同時，使得各種無線設備廣泛普及，無線網絡技術被應用到多個領域。然而，由于無線網絡本身具有的動態拓撲、開放鏈路、資源有限等特點，使得無線網絡的安全問題頗令人擔憂。本文研究了當前無線局域網中面臨的一些主要安全問題，并嘗試給出相應的解決辦法。

近年來，計算機及通信技術發展突飛猛進，隨著有線網絡的快速發展和普及，無線網絡也隨著無線接入設備的發展而快速擴展著，其在技術上變得越來越成熟和快捷，在信息發展中起到了相當重要的作用，在多個領域得到了廣泛應用。其中尤以無線局域網為代表的無線網絡技術得到了相當廣泛的發展和應用。但是在無線網絡作為有線網絡的補充和延伸的同時，由于其本身的技術特性，使得無線網絡安全問題成為制約其發展的瓶頸，如何安全有效地使用無線網絡，必須引起大家足夠的重視。

1 無線局域網概述

無線局域網絡是一種相當便利的數據傳輸系統。它以無線電波作為傳輸介質來代替有線局域網中的部分或者全部傳輸介質(如雙絞線、同軸電纜等)而構成的局域網。之所以稱其是局域網，是因為受到無線連接設備與終端之間距離的遠近限制而影響傳輸范圍，必須要在區域范圍之內才可以連上網絡。現有的無線局域網中大都采用射頻技術來充分利用頻譜資源。無線局域網在有線局域網的基礎上通過無線集線器、無線訪問節點、無線網橋、無線網卡等設備使無線通信得以實現。

1.1 無線局域網的優勢

無線局域網相對有線網絡來說具有如下多種優勢。

(1) 靈活性和可移動性：不受線纜限制，在信號覆蓋范圍內可隨時隨地連接網絡。

(2) 容易安裝，成本低：無需布置安裝線纜，一般只要安裝一個或多個接入點設備，就可以建立覆蓋整個區域的局域網絡。

(3) 組網靈活：可迅速加入現有網絡并在適當環境下正常運行。

(4) 故障定位容易：容易定位故障，更換故障設備即可恢復網絡連接。

(5) 易于擴展：無線局域網的多種配置方式已與擴展多種網絡拓撲，并提供節點間的“漫游”功能。

因為種種優勢，使得無線局域網在各行各業中得到了極其廣泛的應用。

1.2 無線局域網存在的不足

雖然無線網絡擁有如此眾多的優點來彌補有線網絡的不足，但是，無線網絡自身的特點也注定了無線網絡仍然還有很多不足：

(1) 性能不穩定：無線信號是通過無線發射裝置依靠無線電波進行傳輸的，在傳輸過程中建筑、樹木等障礙物都可能阻擋電磁波的傳輸，從而影響整個無線網絡性能。

(2) 傳輸速率慢：無線信道傳輸速率相比有線信道的傳輸速率低得多，使用范圍有限，多適用于個人終端或小規模的網絡應用。

(3) 安全性有待提高：無線信號是發散的以廣播形式傳輸信號。理論上說，很容易監聽到無線電波廣播范圍內的任何信號，從而造成通訊信息的泄露。

1.3 無線局域網安全現狀

由于無線傳輸的特點限制，不可能做到將發射數據僅僅傳送給一名特定的目標接收，因此數據發射覆蓋范圍內的任何無線局域網用戶都能接觸到這些數據，惡意用戶可以繞過防火墻，在視距范圍內截獲和非法插入數據，數據傳輸的安全性得到了極大威脅。我們認為無線網絡安全性包括了兩個方面：①訪問控制：確保敏感數據僅由獲得授權的用戶訪問。②保密性：確保傳送的數據只被目標接收人接收。事實上，無線網絡受大量安全風險和安全問題的困擾。

2 無線局域網存在的安全問題

2.1 非授權服務

移動設備的增加導致更多非授權用戶接入到了網絡中來享受各種網絡服務，非授權無線用戶的任意“無線”將加重整個網絡的負擔，產生一系列安全隱患，甚至導致整個網絡的崩潰。我們必須采取一些安全措施和手段來防止和管理非授權用戶的接入。

2.1.1 基于服務集標識符(Service Set ID,SSID)

SSID相當于一個簡單的口令系統。對多個AP設置不同SSID，無線基站訪問AP時需提供正確SSID，并對資源訪問權限作出限制。因為網絡內任何人都可以通過工具得到這個SSID，所以應該配置AP禁止向外廣播其自有SSID，方能保證通訊的安全。此時無線基站必須主動發送正確SSID才能與AP進行聯系。

2.1.2 物理地址(Media Access Controller,MAC)過濾

由于每個無線工作站的網卡都有惟一的物理地址，因此可以在AP中手工配置以物理地址為基礎的訪問控制表，確保只有進行過地址注冊的網卡才能進入網絡，以實現物理地址過濾。AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現機器在不同AP之間的漫游。如果用戶數量增加，隨時手工維護地址列表將會變得非常困難，這將注定此方式只適用于小規模網絡。理論上，MAC地址完全可以在IP數據包中進行偽造以換取AP信任取得通信資格。綜上所述，這種物理地址過濾的方法也是較低安全級別的授權認證方法。

2.1.3 連線對等保密(Wired Equivalent Protection,WEP)

通過在鏈路層采用RC4對稱加密技術，使得用戶擁有的加密金鑰必須與AP的密鑰相同時才能獲得網絡資源，此方法用于防止非授權用戶的監聽以及非法用戶的訪問。雖然WEP提供了多種密鑰機制，但其本身仍然存在許多缺陷。比如攻擊者通過截獲多組數據來進行破解，從而導致整個網絡暴露在安全隱患中。

2.1.4 虛擬專用網絡(Virtual Private Network,VPN)

VPN被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它利用隧道及加密技術保證專用數據網絡的安全性。用戶可以借助 VPN來抵抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

2.1.5 端口訪問控制技術(802.1x)

802.1 x是用于無線局域網的一種增強性的網絡安全解決方案。當無線工作站與AP關聯后，通過802.1x認證以確定是否可以使用AP。通過認證，AP提供邏輯端口允許用戶上網。反之無法接入網絡。

綜合來看，解決未授權服務最好的辦法就是阻止未被認證用戶的接入。通過加密辦法對認證過程進行加密是進行認證的前提，同時，通過 VPN技術可以有效保護通過電波傳輸的網絡流量。當然定期對網絡進行測試也能確保網絡設備使用了安全認證機制并確保網絡設備的正常配置和使用。

2.2 服務和性能的限制

有限的無線局域網的傳輸帶寬被AP所有用戶共享。如果攻擊者從快速以太網發送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；如果攻擊者發送廣播流量，就會同時阻塞多個AP；當攻擊者在與無線網絡相同的無線信道內發送信號時，被攻擊的網絡會產生自適應，大大影響無線網絡的傳輸。

我們認為，定位性能故障應從監測和發現問題入手，使用無線網絡測試儀可以有效識別網絡速率、幀類型，幫助進行故障定位，以解決服務和性能的限制。

2.3 地址欺騙和會話攔截

目前802.11無線局域網并不對數據幀進行認證操作，攻擊者可以通過欺騙幀去重定向數據流輕易獲得并解析其中的MAC地址，再利用這些地址進行惡意攻擊。如果攻擊者通過截獲會話幀發現了AP中存在的認證缺陷，并通過監測AP發出的廣播幀發現AP的存在，繼而裝扮成合法AP進入無線局域網，再通過這樣的AP進一步獲取認證身份信息即可順利進入核心網絡，這將給整個網絡帶來沉重的打擊。目前，在沒有采用對802.11 MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。

一旦攻擊者進入無線局域網，就有辦法通過無線局域網侵入核心網絡。解決此問題的辦法是將無線局域網布置到核心網絡的安全外殼之外，這樣，即使無線局域網被攻破，利用各種安全手段，核心網絡仍然能夠保證其安全性。

2.4 非法入侵、非法AP、流量分析與流量偵聽

無線局域網易于訪問和配置簡單的特性，使得非法入侵和非法AP實現起來非常容易，同時攻擊者可以采用被動方式監聽網絡流量以截獲未加密網絡流量。此時我們需要通過加強網絡訪問控制、定期進行站點審查和采用可靠協議進行數據加密等手段來解決問題。

3 總結

無線網絡在受到越來越多用戶認可的同時，其在應用過程中暴露出來的安全問題也倍受人們關注。本文通過分析無線局域網中的各種安全隱患，給出了相應安全技術對策，這對選擇合適的無線局域網安全技術提供了參考依據。但是世界上沒有絕對安全的技術，若想在使用網絡時重要信息不被竊取，除了養成良好的網絡使用習慣外，還需要依靠安全技術的發展和完善來保證無線網絡的正常安全運行。

[1] 李一川,高恒聚,王亦飛,樊夢.無線網絡的技術綜述[J].科技信息.2011.

[2] 陳云龍.淺析無線局域網的安全問題及措施[J].信息與電腦(理論版).2010.

[3] 謝庭勝.淺析無線局域網安全技術[J].電腦學習.2010.

[4] 田永民.基于無線網絡WLAN安全機制分析[J].數字技術與應用.2011.

[5] http://info.10010.com/profile/xwdt/ztbd/file251.html.

[6] http://security.zdnet.com.cn/files/klist-125-258879-1.htm.