無(wú)線網(wǎng)絡(luò)安全策略的研究

張曉明

(太原大學(xué) 網(wǎng)絡(luò)中心，山西 太原 030032)

無(wú)線局域網(wǎng)(WLAN)作為有線網(wǎng)絡(luò)的補(bǔ)充，可以幫助有線網(wǎng)絡(luò)進(jìn)行全方位的覆蓋以及彌補(bǔ)有線網(wǎng)絡(luò)不可移動(dòng)的缺點(diǎn)。因此，無(wú)線局域網(wǎng)已經(jīng)成為了各大公司和企業(yè)必備的網(wǎng)絡(luò)接入方式，甚至有些企業(yè)干脆不采用有線網(wǎng)絡(luò)，整個(gè)公司全部采用單一的無(wú)線網(wǎng)絡(luò)接入方式來(lái)組網(wǎng)，無(wú)線局域網(wǎng)在當(dāng)下有著不可替代的作用。

1 無(wú)線局域網(wǎng)面臨的隱患和危害

無(wú)線局域網(wǎng)按照組網(wǎng)規(guī)模的不同，可以分為家庭無(wú)線網(wǎng)絡(luò)、熱點(diǎn)應(yīng)用、企業(yè)無(wú)線網(wǎng)絡(luò)以及無(wú)線城市。

家庭無(wú)線網(wǎng)絡(luò):互聯(lián)網(wǎng)發(fā)展迅速，同時(shí)擁有臺(tái)式機(jī)、上網(wǎng)本、網(wǎng)絡(luò)電視、智能手機(jī)的家庭用戶越來(lái)越多，使用無(wú)線路由器來(lái)組建一個(gè)家庭局域網(wǎng)，使得這些設(shè)備可以隨時(shí)隨地的接入網(wǎng)絡(luò)，成為了最佳的組網(wǎng)方案。

熱點(diǎn)應(yīng)用:越來(lái)越多的咖啡廳、餐廳、商場(chǎng)以及車站等地方，都為顧客提供了無(wú)線上網(wǎng)服務(wù)，利用熱點(diǎn)應(yīng)用使得在無(wú)線覆蓋范圍內(nèi)的用戶都能夠通過(guò)匿名的方式訪問(wèn)網(wǎng)絡(luò)，十分方便。

企業(yè)無(wú)線網(wǎng)絡(luò):不同規(guī)模的企業(yè)有著不同規(guī)模的無(wú)線網(wǎng)絡(luò)應(yīng)用，使企業(yè)網(wǎng)絡(luò)具有移動(dòng)辦公、組網(wǎng)方便等特點(diǎn)。另外，有很多社區(qū)、高校也都提供無(wú)線局域網(wǎng)的服務(wù)。

無(wú)線城市網(wǎng)絡(luò):以覆蓋整個(gè)城市為目標(biāo)的無(wú)線網(wǎng)絡(luò)，從國(guó)外到國(guó)內(nèi)都有案例，這標(biāo)志著一個(gè)城市網(wǎng)絡(luò)發(fā)展的水平。

無(wú)論何種規(guī)模的無(wú)線網(wǎng)絡(luò)，都面臨著一定的安全隱患和危害。

1.1 無(wú)線網(wǎng)絡(luò)的安全隱患

密碼破解:無(wú)線網(wǎng)絡(luò)的接入密碼，是接入無(wú)線網(wǎng)絡(luò)的最有力的憑證，也是蹭網(wǎng)者或者黑客攻擊的首要目標(biāo)。對(duì)于大多數(shù)的無(wú)線局域網(wǎng)而言，都可能會(huì)遇到自己的密碼被破解的風(fēng)險(xiǎn)，一旦破解成功，非授權(quán)用戶就能夠使用無(wú)線網(wǎng)絡(luò)，輕者損失帶寬，重者遭受經(jīng)濟(jì)損失。

假冒客戶端身份:連入無(wú)線局域網(wǎng)的第一步首先要配置正確的無(wú)線網(wǎng)絡(luò)名稱:SSID。一些非法入侵者為了達(dá)到訪問(wèn)企業(yè)中無(wú)線網(wǎng)絡(luò)的目的，通過(guò)技術(shù)手段獲取無(wú)線網(wǎng)絡(luò)的SSID，偽裝成正常的用戶進(jìn)行連接。

假冒網(wǎng)絡(luò)端AP:入侵者將自己的計(jì)算機(jī)偽裝成合法的網(wǎng)絡(luò)AP 接入點(diǎn)，欺騙客戶端在連接無(wú)線網(wǎng)絡(luò)的時(shí)候連接自身計(jì)算機(jī)，從而進(jìn)行信息竊取和篡改、入侵電腦等攻擊。

1.2 無(wú)線網(wǎng)絡(luò)攻擊的危害

無(wú)線網(wǎng)絡(luò)受到攻擊，可能造成的主要危害有:

泄露網(wǎng)絡(luò)資源:當(dāng)有非法用戶接入網(wǎng)絡(luò)以后，網(wǎng)絡(luò)內(nèi)的資源如共享文檔、文件服務(wù)器、日常的通訊記錄都將一覽無(wú)余。

泄露敏感信息:非法用戶不僅可以獲取網(wǎng)絡(luò)內(nèi)部的核心文檔，還可以通過(guò)一定的技術(shù)手段獲取企業(yè)內(nèi)部的敏感保密信息，可能給企業(yè)造成致命打擊。

消耗網(wǎng)絡(luò)帶寬:對(duì)于家庭用戶和企業(yè)用戶，非法用戶的接入都會(huì)不同程度的消耗有限的網(wǎng)絡(luò)帶寬，對(duì)于帶寬本就有限的家庭用戶而言，影響會(huì)更大。

造成網(wǎng)絡(luò)癱瘓:非法用戶接入網(wǎng)絡(luò)以后進(jìn)行攻擊行為，隨意更改和刪除一些公用的信息，或者使用黑客軟件對(duì)網(wǎng)絡(luò)內(nèi)部的人員進(jìn)行惡意攻擊，會(huì)造成網(wǎng)絡(luò)內(nèi)部工作中的中斷甚至癱瘓。

造成管理混亂:網(wǎng)絡(luò)的日志審計(jì)系統(tǒng)不能夠快速有效的防止外部人員發(fā)布的敏感話題，一旦從企業(yè)網(wǎng)絡(luò)內(nèi)部發(fā)表一些不健康的言論，將無(wú)從追查發(fā)布者，給整個(gè)網(wǎng)絡(luò)造成管理上的混亂，后果非常嚴(yán)重。

2 無(wú)線局域網(wǎng)建設(shè)要點(diǎn)

無(wú)論是家庭普通用戶還是企業(yè)用戶，在組建無(wú)線局域網(wǎng)的時(shí)候，都應(yīng)該從以下幾個(gè)方面入手，解決WLAN 存在的安全隱患。

2.1 合理的規(guī)劃無(wú)線網(wǎng)絡(luò)

在組建無(wú)線局域網(wǎng)之初，應(yīng)該認(rèn)真規(guī)劃，調(diào)研無(wú)線網(wǎng)絡(luò)的主要用途，數(shù)據(jù)傳輸?shù)募?jí)別，覆蓋的范圍，設(shè)備的規(guī)格，形成完整的規(guī)劃。按照這個(gè)規(guī)劃進(jìn)行無(wú)線節(jié)點(diǎn)AP 的布置，接入的加密方式以及客戶端訪問(wèn)的權(quán)限設(shè)置。

2.2 安全策略的確定

安全策略在WLAN 中的地位相當(dāng)重要，基礎(chǔ)建設(shè)再好，如果沒(méi)有相對(duì)嚴(yán)密的安全策略，整個(gè)WLAN 的安全問(wèn)題也得不到解決。

WLAN 在滿足了建網(wǎng)的初始目標(biāo)以后，應(yīng)該盡可能的限制自身的無(wú)線覆蓋范圍，明確劃分內(nèi)部的重要網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)之間的作用區(qū)域，確保無(wú)線AP 和內(nèi)部網(wǎng)絡(luò)之間的安全訪問(wèn)，必要時(shí)需要采用物理隔離的辦法。這樣一旦無(wú)線網(wǎng)絡(luò)出現(xiàn)問(wèn)題，也不會(huì)危及內(nèi)部網(wǎng)絡(luò)的重要區(qū)域。

根據(jù)WLAN 的技術(shù)特點(diǎn)，安全策略的重點(diǎn)應(yīng)該放在網(wǎng)絡(luò)標(biāo)識(shí)SSID、加密技術(shù)WEP、MAC 綁定和過(guò)濾等方面，綜合考慮安全策略、硬件和軟件相統(tǒng)一的防御體系。

2.3 部署入侵檢測(cè)系統(tǒng)

對(duì)于預(yù)算充足的無(wú)線網(wǎng)絡(luò)建設(shè)，應(yīng)當(dāng)部署WLAN 專用的入侵檢測(cè)系統(tǒng)，可以對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)控，分析判斷有無(wú)異常現(xiàn)象。通過(guò)對(duì)WLAN 的性能和狀態(tài)進(jìn)行分析，能夠第一時(shí)間通知網(wǎng)絡(luò)管理人員進(jìn)行相應(yīng)的措施來(lái)阻止危害繼續(xù)擴(kuò)大。

3 無(wú)線局域網(wǎng)的安全策略

對(duì)于公共無(wú)線網(wǎng)絡(luò)、家庭無(wú)線網(wǎng)絡(luò)和企業(yè)無(wú)線網(wǎng)絡(luò)，不同的網(wǎng)絡(luò)由于建網(wǎng)的目的和用戶都不相同，安全策略的制定也應(yīng)該根據(jù)不同的情況有所變化，適應(yīng)各自的特點(diǎn)。在制定安全策略時(shí)，應(yīng)該著重在服務(wù)器端和客戶端兩個(gè)方面進(jìn)行詳細(xì)的設(shè)計(jì)。

3.1 公共場(chǎng)所的安全策略

公共場(chǎng)所建設(shè)WLAN 的目的是能夠使位于其中的客戶端方便的接入網(wǎng)絡(luò)，一般不采用加密技術(shù)，是一種不安全的連接。大多數(shù)人在連接入網(wǎng)的時(shí)候，并沒(méi)有采取相應(yīng)的安全措施，身邊的其他客戶端有可能捕獲自己的網(wǎng)絡(luò)數(shù)據(jù)包，竊取自身的隱私，這些情況我們可能都沒(méi)有發(fā)覺(jué)。

使用公共場(chǎng)所的WLAN，可能遇到的攻擊有:

網(wǎng)絡(luò)信息被竊取:在沒(méi)有加密技術(shù)的網(wǎng)絡(luò)面前，客戶端登錄網(wǎng)站所需要的用戶名以及密碼等敏感信息會(huì)完全暴露在網(wǎng)絡(luò)中，只需要借助一些簡(jiǎn)單的黑客工具就有可能全部獲取，對(duì)安全造成了很大威脅。

電腦被非法訪問(wèn):在公共場(chǎng)合里，所有連接無(wú)線網(wǎng)絡(luò)的電腦邏輯上都處于同一個(gè)網(wǎng)絡(luò)里，大多數(shù)人并不主動(dòng)去設(shè)置自身上網(wǎng)設(shè)備的安全性，任由自身的共享文件在網(wǎng)絡(luò)中處于可被直接查看的狀態(tài)。

非法熱點(diǎn)劫持:網(wǎng)絡(luò)黑客會(huì)利用一些設(shè)備和技術(shù)偽裝無(wú)線接入點(diǎn)AP，這個(gè)AP 可以借助已有的無(wú)線網(wǎng)絡(luò)提供間接上網(wǎng)功能。一些不明所以的用戶通過(guò)此AP 享受了上網(wǎng)功能，同時(shí)留下了自己的上網(wǎng)資料，特別是網(wǎng)絡(luò)購(gòu)物或者理財(cái)?shù)挠脩簦游ｋU(xiǎn)。

由于公共場(chǎng)所WLAN 的特性，我們應(yīng)該提高自身的安全性才能做到“免費(fèi)的午餐也很好吃”。

公共場(chǎng)所WLAN 的安全策略:

訪問(wèn)安全性高的網(wǎng)站:訪問(wèn)使用SSL 技術(shù)的網(wǎng)站，可以對(duì)我們?cè)诘卿浐吞幚砻舾行畔⒌臅r(shí)候進(jìn)行加密處理，能夠確保客戶端和網(wǎng)站之間信息傳輸?shù)陌踩浴Ｈ绻L問(wèn)的網(wǎng)站沒(méi)有SSL 等加密技術(shù)，可以使用公司提供的VPN 服務(wù)來(lái)訪問(wèn)公司的網(wǎng)絡(luò)，或者使用一些加密軟件來(lái)保證自己發(fā)送和接收的數(shù)據(jù)包不被他人偵聽(tīng)。

禁用共享功能:文件共享功能是方便在局域網(wǎng)中進(jìn)行文件和數(shù)據(jù)傳輸?shù)墓δ埽谠L問(wèn)公共場(chǎng)合的無(wú)線網(wǎng)絡(luò)里，完全沒(méi)有必要開(kāi)啟此功能，以防止非法用戶未經(jīng)過(guò)我們的授權(quán)而訪問(wèn)我們的電腦設(shè)備。

關(guān)閉Ad hoc 功能:Ad hoc 模式的作用是兩臺(tái)電腦利用各自的無(wú)線設(shè)備進(jìn)行互聯(lián)。在公共場(chǎng)所的網(wǎng)絡(luò)里，沒(méi)有必要開(kāi)啟這個(gè)功能。

我們還可以開(kāi)啟防火墻和禁用網(wǎng)絡(luò)發(fā)現(xiàn)等功能防止其他人利用公共網(wǎng)絡(luò)對(duì)我們進(jìn)行的非法訪問(wèn)。在我們感受到城市熱點(diǎn)提供的網(wǎng)絡(luò)便利的同時(shí)，同時(shí)要具備一定的防備意識(shí)。

3.2 家庭網(wǎng)絡(luò)的安全策略

從家庭網(wǎng)絡(luò)的使用情況來(lái)看，其威脅和隱患主要來(lái)自于家庭周圍的鄰居等固定人群。要確保家庭多臺(tái)設(shè)備聯(lián)網(wǎng)的安全性，必須要注意以下幾個(gè)方面。

控制覆蓋范圍:根據(jù)無(wú)線信號(hào)直線傳播，遇到障礙物信號(hào)減弱的特性，合理放置用于發(fā)射無(wú)線信號(hào)的路由器。爭(zhēng)取在可以覆蓋家里上網(wǎng)區(qū)域的同時(shí)，減少覆蓋范圍，這樣能夠減少非法用戶掃描攻擊我們的幾率。

更改安全密鑰:很多家庭在使用路由器的時(shí)候，并沒(méi)有更改廠家默認(rèn)的密碼，導(dǎo)致非法用戶簡(jiǎn)單猜測(cè)就能夠連接上網(wǎng)核心設(shè)備，從而進(jìn)行破壞。所以，要盡量設(shè)置復(fù)雜的登錄密碼，并且在無(wú)線網(wǎng)絡(luò)訪問(wèn)中，也要設(shè)置復(fù)雜的認(rèn)證加密密碼，降低破解工具對(duì)無(wú)線網(wǎng)絡(luò)暴力破解的幾率。

改變?cè)O(shè)備的常規(guī)設(shè)置:設(shè)備默認(rèn)的DHCP 和SSID 廣播服務(wù)是開(kāi)啟的，這樣其他用戶只要搜索到網(wǎng)絡(luò)SSID，不用猜測(cè)網(wǎng)絡(luò)的IP 地址是多少，就可以了解網(wǎng)絡(luò)的基本結(jié)構(gòu)，降低了攻擊者的難度，提高了風(fēng)險(xiǎn)。應(yīng)該禁用DHCP 服務(wù)和SSID 廣播服務(wù)，把路由器本身的IP 地址更改，能夠大大增加攻擊的難度。

綁定MAC 地址:在路由器上開(kāi)啟MAC 地址綁定功能，任何接入網(wǎng)絡(luò)的設(shè)備一定是預(yù)先錄入綁定的，這樣能夠直接封殺攻擊者設(shè)備連接入網(wǎng)的機(jī)會(huì)。

3.3 企業(yè)網(wǎng)絡(luò)的安全策略

企業(yè)網(wǎng)絡(luò)擁有公共網(wǎng)絡(luò)的開(kāi)放性，同時(shí)具備家庭網(wǎng)絡(luò)的封閉性，不同的是在企業(yè)內(nèi)部有不同的部門，網(wǎng)絡(luò)數(shù)據(jù)的功能和重要性也有不同。針對(duì)企業(yè)無(wú)線網(wǎng)絡(luò)安全性的策略，除了要像公共網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)那樣詳細(xì)設(shè)置以外，還需要注意以下幾個(gè)方面。

特殊部門的隔離:企業(yè)內(nèi)部的一些部門(如財(cái)務(wù)部)不能夠和其他部門進(jìn)行數(shù)據(jù)交換，至少在局域網(wǎng)之內(nèi)應(yīng)該隔離開(kāi)，在布置無(wú)線局域網(wǎng)的時(shí)候，就應(yīng)該考慮這些部門的網(wǎng)絡(luò)與其他部門網(wǎng)絡(luò)之間的屏蔽。如果有必要，禁止這些特殊部門的無(wú)線網(wǎng)絡(luò)連接。

加密技術(shù):企業(yè)的無(wú)線網(wǎng)，需要更加可靠地加密技術(shù)來(lái)保障接入的安全性。WEP 技術(shù)對(duì)于家庭用戶來(lái)講，40 位的算法已經(jīng)夠用了，而對(duì)于企業(yè)來(lái)講，需要128 位甚至更高的算法來(lái)保障其安全性，或者采用更加穩(wěn)定安全的WPA 加密算法。

4 小結(jié)

不論是哪一種無(wú)線網(wǎng)絡(luò)，提供便利的上網(wǎng)條件很重要，但是網(wǎng)絡(luò)的安全更重要。在無(wú)線網(wǎng)絡(luò)的安全性建設(shè)方面，不僅需要依靠網(wǎng)絡(luò)管理員合理有效的運(yùn)用各種安全技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行層層保護(hù)，更需要我們每一個(gè)人加強(qiáng)自身的防范意識(shí)和網(wǎng)絡(luò)知識(shí)，對(duì)網(wǎng)絡(luò)安全的檢查以及網(wǎng)絡(luò)安全的培訓(xùn)進(jìn)行全員普及才是根本。