無線局域網(wǎng)網(wǎng)絡(luò)安全策略

摘 要：無線局域網(wǎng)可以說實現(xiàn)了計算機網(wǎng)絡(luò)技術(shù)與無線通訊技術(shù)的有機結(jié)合，其在一定范圍內(nèi)實現(xiàn)了無線網(wǎng)絡(luò)通訊服務(wù)，因此近年得到了廣泛推廣應(yīng)用。針對無線局域網(wǎng)而言，確保其安全是首要任務(wù)。本文分析了無線局域網(wǎng)及其網(wǎng)絡(luò)安全的現(xiàn)狀，在此基礎(chǔ)上提出了無線局域網(wǎng)的網(wǎng)絡(luò)安全策略。

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)安全；策略

中圖分類號：TP393.17 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2014） 02-0000-01

無線局域網(wǎng)能夠?qū)崿F(xiàn)無縫覆蓋以及可移動通信等優(yōu)勢特點，從而實現(xiàn)對有線網(wǎng)絡(luò)的補充作用，因此應(yīng)用領(lǐng)域較廣，其應(yīng)用對于人們獲取信息及進(jìn)行交流提供了極大的方便。因此，確保無線局域網(wǎng)的網(wǎng)絡(luò)安全是一項重要的研究課題。面對無線局域網(wǎng)現(xiàn)存的各種安全隱患問題，我們必須認(rèn)真對待，提出切實可行的措施，加強技術(shù)保障，從而保證無線局域網(wǎng)的安全穩(wěn)定運行。

一、無線局域網(wǎng)的網(wǎng)絡(luò)安全現(xiàn)狀

無線局域網(wǎng)現(xiàn)存的網(wǎng)絡(luò)安全隱患主要是因網(wǎng)絡(luò)為開放式易于接入引起的。因為WLAN是通過無線電波在空中傳輸數(shù)據(jù)的，因此不能對通信線路進(jìn)行保護(hù)，WLAN的數(shù)據(jù)會在發(fā)射機所在的最大區(qū)域內(nèi)進(jìn)行傳遞，該區(qū)域內(nèi)凡是能收到WLAN信號的用戶，都能接觸到該數(shù)據(jù)。如果該系統(tǒng)漏洞被不法分子利用，他們就會對數(shù)據(jù)進(jìn)行中途截取，從而造成嚴(yán)重的網(wǎng)絡(luò)攻擊。總體來說，無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)在以下幾個方面：

1.傳輸數(shù)據(jù)攻擊。非法用戶通過掃描軟件查找那些開放式的沒有加密功能的無線局域網(wǎng)的接入點，通過它非法訪問互聯(lián)網(wǎng)， 進(jìn)行攻擊；或利用一些網(wǎng)絡(luò)工具來監(jiān)聽和截取無線信號，分析獲取相關(guān)用戶信息，惡意修改或延遲數(shù)據(jù)通信，合法用戶造成損失。

2.安全協(xié)議攻擊。有線等效保密（Wired Equivalent Privacy）簡稱WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位數(shù)太短、初始化的復(fù)位設(shè)計等。

一些網(wǎng)絡(luò)的部署者在選擇上更偏向與缺省的WEP密匙，而且不改變他的配置選項，這就導(dǎo)致了黑客在破解密匙的時候，只需要收集足夠的WEP弱密匙加密包就可以了，從而使整個網(wǎng)絡(luò)缺乏安全性，給整個網(wǎng)絡(luò)帶來危害。

3.地址欺騙攻擊。802.11無線局域網(wǎng)對數(shù)據(jù)幀是不進(jìn)行認(rèn)證操作的，所以一些非法用戶可以通過簡單的方法獲取網(wǎng)絡(luò)中的站點地址，通過ARP的變動進(jìn)行身份認(rèn)證，在未經(jīng)授權(quán)的情況下使用網(wǎng)絡(luò)資源。

二、無線局域網(wǎng)的網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全問題是整個信息化發(fā)展必須要解決和考慮的問題，但是網(wǎng)絡(luò)的絕對安全性是不可以實現(xiàn)，只能說在原有的基礎(chǔ)上加強對網(wǎng)絡(luò)各個方面的管理，依靠現(xiàn)有的技術(shù)改善網(wǎng)絡(luò)環(huán)境，進(jìn)一步保障網(wǎng)絡(luò)的安全性。具有可以實現(xiàn)以下幾點：

1.應(yīng)用專業(yè)技術(shù)。利用服務(wù)集標(biāo)識符（SSID）和MAC地址過濾技術(shù)來加強訪問控制

確定無線客戶端網(wǎng)卡的唯一物理地址的標(biāo)示，使用戶在滿足客戶機地址與合法地址相匹配的前提下滿足用戶的使用，這樣就在一定程度上有利于維護(hù)無線網(wǎng)絡(luò)的安全，防止其它用戶在未經(jīng)授權(quán)的條件下非法使用網(wǎng)絡(luò)資源。

2.加強身份驗證

盡量不要使用產(chǎn)商自帶的WEP秘鑰。通常WEP身份確認(rèn)有兩種方法，一是默認(rèn)的認(rèn)證方式，二是使用共享秘鑰。共享秘鑰在對用戶進(jìn)行身份確認(rèn)時，要向工作站點發(fā)送請求信號，工作站點在接收到后，會向用戶發(fā)送一個詢問信息，用戶在對詢問信息進(jìn)行確認(rèn)后，也就完成了相應(yīng)的身份確認(rèn)。但是在這個過程中，如果網(wǎng)絡(luò)攻擊者對截取了這兩則信息，就會對無線局域網(wǎng)造成威脅。

針對這方面所采取的具體措施是，不使用產(chǎn)商自帶的秘鑰，自己運用計算機采用手工方法選擇合適的加密秘鑰，比如數(shù)字和英文字母的混合組合等。其具體的操作流程是，打開瀏覽器輸入無線節(jié)點設(shè)備默認(rèn)的后臺管理地址，打開該地址后，選擇“無線網(wǎng)絡(luò)”和“安全方式”的選項，然后找出WEP加密協(xié)議。在這里，用戶就可以自己選擇和設(shè)置“共享秘鑰”的驗證方式和密碼。這樣就完成了用戶對自己的安全密鑰的設(shè)置。

3.采用TKIP協(xié)議

TKIP算法相比較WEP的一個最大優(yōu)點就在于，增強了校對的完整性。這一目標(biāo)的實現(xiàn)，主要在于TKIP中擁有包序列計數(shù)器，它能做到每一個MAC層的協(xié)議數(shù)據(jù)單元都有唯一的數(shù)據(jù)加密秘鑰與之相對應(yīng)，這就實現(xiàn)了完整性校對的過程。

TKIP在對無線局域網(wǎng)實現(xiàn)校對時采用的包序列計數(shù)器能實現(xiàn)對身份校對的防重放攻擊。也就是說，TKIP接受包序列計數(shù)器的條件就是計數(shù)器必須要大于重放窗口的計數(shù)值。如果該包序列計數(shù)器是經(jīng)過改動的，那么，TKIP就會自動檢測出不正確的解密秘鑰，就會顯示包序列計數(shù)器出錯。所以，TKIP防重放攻擊的采用，極大地減少了網(wǎng)絡(luò)攻擊者對驗證信息進(jìn)行截取的幾率。

4.避免點點模式

該對策的提出主要是基于無線局域網(wǎng)工作站的兩種基本傳輸模式所存在的缺陷，其傳輸模式主要包括，基礎(chǔ)架構(gòu)模式和點對點工作模式。前者的工作流程是，局域網(wǎng)內(nèi)的所有無線工作的實現(xiàn)都必須經(jīng)過路由器的信號處理。后者的工作流程是不采用路由器設(shè)備，直接將工作站和工作站相連，這樣的模式能加速網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)乃俣龋瑫r也為無線局域網(wǎng)附近的非法用戶提供了非法獲取和訪問信息的空當(dāng)，使局域網(wǎng)的安全受到很大威脅，所以，必須減少或禁止點對點工作模式的使用。

三、結(jié)束語

無線局域網(wǎng)的網(wǎng)絡(luò)安全是巨大的系統(tǒng)工程，要想實現(xiàn)網(wǎng)絡(luò)安全，我們必須從無線局域網(wǎng)設(shè)置的各個環(huán)節(jié)出發(fā)，無論是從源頭對無線信號加以保護(hù)，還是對運行中的客戶認(rèn)證進(jìn)行檢測，亦或是對工作站工作模式的改變，所有這些都應(yīng)該建立在用戶對無線局域網(wǎng)網(wǎng)絡(luò)安全問題高度警惕的基礎(chǔ)之上。隨著無線局域網(wǎng)應(yīng)用的日益廣泛，對其網(wǎng)絡(luò)安全的研究將更加系統(tǒng)。

參考文獻(xiàn)：

[1]連一峰，王航.網(wǎng)絡(luò)攻擊原理與技術(shù)[M].北京：科學(xué)出版社，2009：25-27.

[2]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技，2008（06）：24-26.

[3]李勤，張浩軍等.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用，2005（01）：160-162.

[作者簡介]龍星如（1983.07-），女，遼寧遼陽人，本科，研究方向：計算機網(wǎng)絡(luò)信息技術(shù)。