淺談無線網絡安全對策

佘艷

摘 要：無線網絡在帶給人們便捷的同時，也帶來了一定的網絡安全隱患，要高度重視無線網絡的安全問題。本文分析了無線網絡存在的主要安全威脅，闡述了無線網絡主要信息安全技術，重點對可以采取的無線網絡安全對策進行了探討。

關鍵詞：無線網絡；信息安全；對策

1 引言

隨著計算機網絡技術的飛速發(fā)展，無線網絡技術以獨特的優(yōu)點，被許多企業(yè)、政府、家庭所使用，但在其安裝、使用便利，接入方式靈活的同時，由于無線網絡傳送的數(shù)據是利用無線電波在空中輻射傳播，這種傳播方式是發(fā)散的、開放的，這給數(shù)據安全帶來了諸多潛在的隱患。無線網絡可能會遭到搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網絡接管與篡改、拒絕服務攻擊等安全威脅，因此，探討新形勢下無線網絡安全的應對之策，對確保無線網絡安全，提高網絡運行質量具有十分重要的意義。

2 無線網絡存在的主要安全威脅

無線網絡存在的主要安全威脅有兩類：一類是關于網絡訪問控制、數(shù)據機密性保護和數(shù)據完整性保護而進行的攻擊；另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環(huán)境下也會發(fā)生。可見，無線網絡的安全性是在傳統(tǒng)有線網絡的基礎上增加了新的安全性威脅。

2.1 攻擊者侵入威脅

無線局域網非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網絡的存在，網絡必須發(fā)送有特定參數(shù)的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線在合適的范圍內對網絡發(fā)起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP，不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。還有的部分設備、技術不完善，導致網絡安全性受到挑戰(zhàn)。這些挑戰(zhàn)可能包括竊聽、截取和監(jiān)聽。以被動和無法覺察的方式入侵檢測設備的，即使網絡不對外廣播網絡信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網絡工具，如AiroPeek和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破解的信息。

2.2 相關無線網絡保密機制存在缺陷

WEP機制用來提高無線網絡安全性，但長期的運行結果是該機制存在一定的安全缺陷，值得影響大家的關注。加密算法過于簡單。WEP中的IV由于位數(shù)太短和初始化復位設計，常常出現(xiàn)重復使用現(xiàn)象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節(jié)數(shù)據中的密鑰存在弱點，容易被黑客攻破。一個是接入點和客戶端使用相同的加密密鑰。如果在家庭或者小企業(yè)內部，一個訪問節(jié)點只連接幾臺PC的話還可以，但如果在不確定的客戶環(huán)境下則無法使用。讓全部客戶都知道密鑰的做法，無疑在宣告WLAN根本沒有加密。不同的制造商提供了兩種WEP級別，一種建立在40位密鑰和24位初始向量基礎上，被稱作64位密碼；另一種是建立在104位密碼加上24位初始向量基礎上的，被稱作128位密碼。高水平的黑客，要竊取通過40位密鑰加密的傳輸資料并非難事，40位的長度就擁有2的40次方的排列組合，而RSA的破解速度，每秒就能列出2.45×109種排列組合，很容易就可以被破解出來。

雖然WEP有著種種的不安全，但是很多情況下，許多訪問節(jié)點甚至在沒有激活WEP的情況下就開始使用網絡了，這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網絡就能輕易記下MAC地址、網絡名、服務設置標識符、制造商、信道、信號強度、信噪比的情況。作為防護功能的擴展，最新的無線局域網產品的防護功能更進了一步，利用密鑰管理協(xié)議實現(xiàn)每15分鐘更換一次WEP密鑰，即使最繁忙的網絡也不會在這么短的時間內產生足夠的數(shù)據證實攻擊者破獲密鑰。然而，一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改，幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。

2.3 搜索攻擊威脅

進行搜索也是攻擊無線網絡的一種方法，現(xiàn)在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網絡的軟件。很多無線網絡是不使用加密功能的，或即使加密功能是處于活動狀態(tài)，如果沒有關閉AP（無線基站）廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID（安全集標識符）等可給黑客提供入侵的條件。同時，許多用戶由于安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱，容易遭受黑客攻擊。

除通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前，通過會話攔截實現(xiàn)的網絡入侵是無法避免的。

2.4 網絡身份冒充

網絡身份冒充是采取假冒相關用戶的身份，通過網絡設備，使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發(fā)出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。由于TCP/IP的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經出現(xiàn)過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。

3 無線網絡安全對策探討

提高無線網絡安全等級，必須首先從思想要高度重視，提出有效的應對舉措，確保無線網絡安全。

3.1 科學進行網絡部署

選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值；把基站看作 RAS（RemoteAccessServer，遠程訪問服務器）；指定專用于無線網絡的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權用戶和入侵者的影響；在網絡上，針對全部用戶使用一致的授權規(guī)則；在不會被輕易損壞的位置部署硬件。

3.2 合理配置網絡的接入點設備

要對無線網絡加裝防火墻，并且在進行網絡配置時，要首先確保無線接入點放置在防火墻范圍之外，提高防火墻的防御功效。同時，要利用基于MAC地址的ACLs（訪問控制表）確保只有經過注冊的設備才能進入網絡。MAC過濾技術就如同給系統(tǒng)的前門再加一把鎖，設置的障礙越多，越會使黑客知難而退，不得不轉而尋求其他低安全性的網絡。

3.3 重視發(fā)揮WEP協(xié)議的重要作用

WEP是802.11b無線局域網的標準網絡安全協(xié)議。在傳輸信息時，WEP可以通過加密無線傳輸數(shù)據來提供類似有線傳輸?shù)谋Ｗo。在簡便的安裝和啟動之后，應立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態(tài)改變，這樣，黑客想要獲得無線網絡的數(shù)據就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術能夠實現(xiàn)最優(yōu)保護，為網絡增加另外一層防范。此外，所有無線局域網都有一個缺省的SSID（服務標識符）或網絡名，立即更改這個名字，用文字和數(shù)字符號來表示。如果企業(yè)具有網絡管理能力，應該定期更改SSID：即取消SSID自動播放功能。

[參考文獻]

[1]張帆，趙德復.無線網絡安全探討[J].華南金融電腦，2009，（05）.

[2]劉鐘情，任小燕.基于無線網絡安全的ECC點積算法研究[J].通信技術，200，（11）.

[3]石穎.基于EAP-TLS認證的無線網絡安全接入[J].計算機安全，2009，（09）.