淺談無線網(wǎng)絡(luò)在企業(yè)應(yīng)用中的安全性分析

摘要 隨著互聯(lián)網(wǎng)技術(shù)日新月異的發(fā)展，無線網(wǎng)絡(luò)已經(jīng)逐漸普及。對于無線網(wǎng)絡(luò)用戶來說，最擔(dān)心的是網(wǎng)絡(luò)的安全問題，而大部分的網(wǎng)絡(luò)使用者對網(wǎng)絡(luò)安全知識都是一知半解的。因此，筆者總結(jié)了一點無線網(wǎng)絡(luò)安全的經(jīng)驗，希望對大家會有所幫助。

關(guān)鍵詞 無線網(wǎng)絡(luò)安全 WLAN MAC地址 sniffer

中圖分類號：TN925. 文獻標(biāo)識碼：A

一、引言

無線局域網(wǎng)絡(luò)(Wireless Local Area Networks; WLAN)是一種新興的便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻技術(shù)，以無線信道作為傳輸介質(zhì)取代雙絞銅線所構(gòu)成的局域網(wǎng)絡(luò)，是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)允許在局域網(wǎng)環(huán)境中使用未授權(quán)的2.4或5.8GHz射頻波段進行無線連接。它們的應(yīng)用非常廣泛，從家庭到企業(yè)再到Internet接入熱點。

在無線網(wǎng)絡(luò)的射頻波段有效范圍內(nèi)，任何具有wifi功能的設(shè)備都可以接收到信號，從而接入到目標(biāo)網(wǎng)絡(luò)。這就意味著在企業(yè)的Wlan的覆蓋范圍內(nèi)任何人都可以利用筆記本電腦可以接入到企業(yè)的網(wǎng)絡(luò)中，這個人可能是該企業(yè)的員工也可能是該企業(yè)的競爭對手。

據(jù)有關(guān)機構(gòu)最近的一次調(diào)查表明，有85%的IT企業(yè)的網(wǎng)絡(luò)經(jīng)理認為無線網(wǎng)絡(luò)的安全防范意識和防范手段還需要進一步加強。鑒于無線網(wǎng)絡(luò)自身的特性，攻擊者不費吹灰之力就可以在企業(yè)的建筑旁邊接入企業(yè)網(wǎng)絡(luò)，肆意盜取企業(yè)機密或進行破壞。華碩網(wǎng)絡(luò)通信部技術(shù)經(jīng)理郭勇先生表示，無線網(wǎng)絡(luò)安全將引發(fā)下一輪無線網(wǎng)絡(luò)的技術(shù)革命。誰率先突破技術(shù)瓶頸，打造出最安全的無線網(wǎng)絡(luò)，誰就將成為推動行業(yè)進步的主導(dǎo)力量，揚名沙場、統(tǒng)領(lǐng)群雄。

二、企業(yè)無線網(wǎng)絡(luò)所面臨的安全威脅

（一）加密密文頻繁被破解。

曾幾何時無線通訊最可靠的安全方式就是針對無線通訊數(shù)據(jù)進行加密，加密方式種類也很多，從最基本的WEP加密到WPA加密。然而從去年開始這些加密方式被陸續(xù)破解，首先是WEP加密技術(shù)被黑客在幾分鐘內(nèi)破解；繼而國外研究員ErikTews表示他可以在15分鐘內(nèi)破解WPA加密技術(shù)。雖然現(xiàn)在該方法還沒有流傳出來，但是WPA不安全已經(jīng)是不爭的事實。

WEP與WPA加密都被破解，這樣就使得目前無線網(wǎng)絡(luò)通訊只能通過建立Radius驗證服務(wù)器或使用WPA2來提高通訊安全了。不過WPA2也是有局限性的，并不是所有的設(shè)備都支持的。

（二）sniffer讓無線網(wǎng)絡(luò)通訊毫無隱私可言。

讓用戶最不放心的就是由于無線通訊的靈活性，只要有信號的地方入侵者就可以通過專業(yè)的sniffer類嗅探工具知道無線通訊數(shù)據(jù)包的內(nèi)容，無論是加密的還是沒有加密的，都可以查看到具體的數(shù)據(jù)內(nèi)容。像隱藏SSID信息，修改信號發(fā)射頻段等方法在sniffer工具面前都無濟于事。

而且我們也無法從根本上杜絕無線sniffer，因為信號覆蓋范圍廣泛本身是無線網(wǎng)絡(luò)的一大特色。所以說無線數(shù)據(jù)sniffer讓無線通訊毫無隱私是其先天性的“基因”導(dǎo)致的。

（三）MAC地址易被修改讓其過濾功能形同虛設(shè)。

雖然無線網(wǎng)絡(luò)應(yīng)用方面提供了MAC地址過濾的功能，很多用戶也正在使用該功能保護無線網(wǎng)絡(luò)，但是由于通過注冊表或網(wǎng)卡屬性都可以隨意偽造MAC地址信息。所以當(dāng)通過sniffer工具查找到具有訪問權(quán)限的MAC地址通訊信息后，就可以將非法入侵主機的MAC地址進行偽造，從而讓MAC地址過濾功能形同虛設(shè)。

三、企業(yè)無線網(wǎng)絡(luò)應(yīng)用安全解決方案

由于企業(yè)的各個部門對網(wǎng)絡(luò)需求不同，比如視頻監(jiān)控中心將公司各個視頻監(jiān)控數(shù)據(jù)通過wx3024傳送到視頻服務(wù)器，不需要連接互聯(lián)網(wǎng)，而財務(wù)部們則需要鏈接銀聯(lián)服務(wù)器進行賬務(wù)處理、票據(jù)打印等業(yè)務(wù)。這就要求無線控制器具有一系列不同級別的安全技術(shù)策略。

企業(yè)在認證方式上若采用radius認證方式，則可以大大提高無線網(wǎng)絡(luò)的安全機制。這種認證方式需要架設(shè)一臺radius服務(wù)器，將所有用戶的數(shù)據(jù)儲存在數(shù)據(jù)庫中。這樣我們就可以對所有的網(wǎng)絡(luò)訪問用戶的身份進行驗證，看其是否具有登錄權(quán)限。但企業(yè)在規(guī)劃無線網(wǎng)絡(luò)時一般都首先考慮信息的高速、安全和可擴展性，以充分實現(xiàn)信息共享、傳遞和提高工作效率，同時建立出口通道以實現(xiàn)與Internet的互聯(lián)。因此在信息安全的建設(shè)方面可以通過以下幾種方式來完成：

（1）開啟MAC地址過濾功能，以阻止未經(jīng)授權(quán)的無線客戶端訪問AP及進入內(nèi)網(wǎng)。

（2）禁用或修改SNMP設(shè)置，避免黑客利用SNMP獲取關(guān)于用戶網(wǎng)絡(luò)的重要信息。

（3）改變服務(wù)集標(biāo)識符并且禁止SSID廣播。

（4）采用IEEE 802.11i數(shù)據(jù)加密方式，這種數(shù)據(jù)加x認證和密鑰管理方式，在數(shù)據(jù)加密方面定義了TKIP、CCMP和WRAP三種加密機制，采用了高級加密標(biāo)準(zhǔn)(AES)。AES是目前最嚴格的加密標(biāo)準(zhǔn)。

（5）在WLAN的安全防護方面還需要通過及時修復(fù)系統(tǒng)補丁、安裝殺毒軟件、個人防火墻、及時備份重要數(shù)據(jù)等方式保障網(wǎng)絡(luò)信息安全。

（6）安裝部署一套內(nèi)外網(wǎng)防御系統(tǒng)。

四、小結(jié)

隨著無線局域網(wǎng)的不斷發(fā)展，給我們提出了無線網(wǎng)絡(luò)安全的更高要求。本文中提出WLAN在企業(yè)應(yīng)用中的安全機制及存在的安全風(fēng)險、安全漏洞以及一些臨時的解決方案，企業(yè)在構(gòu)架無線網(wǎng)絡(luò)時可以根據(jù)企業(yè)的自身需要，建立多層安全保護機制，采用適當(dāng)?shù)陌踩Ｃ墚a(chǎn)品，設(shè)定相應(yīng)的安全級別。從接入、認證、加密等幾個方面充分考慮，最大程度的享受無線網(wǎng)絡(luò)帶來的高端享受，最大限度地減少無線網(wǎng)絡(luò)帶來的風(fēng)險。