淺談無線網絡安全技術

摘 要：隨著信息化進程的深入和互聯網的快速發展，網絡化已成為信息化發展的大趨勢，信息資源也得到了最大程度的共享。然而，無線網絡技術為人們帶來極大方便的同時，安全問題已經成為阻礙無線網絡技術應用普及的一個主要障礙。

關鍵詞：網絡；安全；計算機技術；WLAN

1 無線網絡的結構

無線局域網由無線網卡、無線接入點（AP）、計算機和有關設備組成。采用單元結構，將整個系統分成多個單元，每個單元成為一個基本服務組（BSS），BSS的組成有以下三種方式：無中心的分布對等方式、有中心的的集中控制方式以及這兩種方式的混合方式。

2 無線網絡面臨的安全威脅

2.1 竊聽

無線網絡易受匿名黑客的攻擊，攻擊者可以截獲無線電信號并解析出數據。竊聽主要用于收集目標網絡的信息，包括誰在使用網絡、能訪問什么信息及網絡設備的性能等。

2.2 通信阻斷

有意或無意的干擾源可以阻斷通信。對整個網絡進行DoS攻擊可以造成通信阻斷，使包括客戶端和基站在內的整個區域的通信線路堵塞，造成設備之間不能正常通信。針對無線網絡DoS的攻擊則很難預防。

2.3 數據的注入和篡改

黑客通過向已有連接中注入數據來截獲連接或發送惡意數據或命令。攻擊者能夠通過基站插入數據或命令來篡改控制信息，造成用戶連接中斷。數據注入可被用作DoS攻擊。攻擊者可以向網絡接入點發送大量連接請求包，使接入點用戶連接數超標，以此造成接入點拒絕合法用戶的訪問。

2.4 中間人攻擊

中間人攻擊比大多數攻擊更復雜，攻擊者需要對網絡有深入的了解。攻擊者通常偽裝成網絡資源，當受害者開始建立連接時，攻擊者會截獲連接，并與目的端建立連接，同時將所有通信經攻擊主機代理到目的端。這時，攻擊者就可以注入數據、修改通信數據或進行竊聽攻擊。

2.5 客戶端偽裝

通過對客戶端的研究，攻擊者可以模仿或克隆客戶端的身份信息，以試圖獲得對網絡或服務的訪問。攻擊者也可以通過竊取的訪問設備來訪問網絡。要保證所有設備的物理安全非常困難，當攻擊者通過竊取的設備發起攻擊時，通過第二層訪問控制手段來限制對資源的訪問都將失去作用。

2.6 漫游造成的問題

無線網絡與有線網絡的主要區別在于無線終端的移動性。在CDMA、GSM和無線以太網中，漫游機制都是相似的。很多TCP/IP服務都要求客戶端和服務器的IP地址保持不變，但是，當用戶在網絡中移動時，不可避免地會離開一個子網而加入另一個子網，這就要求無線網絡提供漫游機制。在移動IP系統中，當一個移動點漫游到一個網絡時，就會獲得一個與地點有關的臨時地址，并注冊到外地代理上；外地代理會與所屬地代理聯系，通知所屬地代理有關移動節點的接入情況。所屬地代理將所有發往移動節點的數據包轉發到外地代理上。這種機制會帶來一些問題：首先，攻擊者可以通過對注冊過程的重放來獲取發送到移動節點的數據：其次，攻擊者也可以模擬移動節點以非法獲取網絡資源。

3 無線局域網的安全技術

3.1 物理地址過濾

每個無線客戶端網卡都有唯一的48b物理地址標志，可在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新。如果用戶增加，則擴展能力變差，其效率會隨著終端數目的增加而降低，因此只適用于小型網絡規模。非法用戶通過網絡監聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以通過盜用合法用戶的MAC地址非法接入。

3.2 服務區標示符匹配

無線客戶端必須設置于無線訪問點AP相同的SSID才能訪問IP。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能降低的問題。可以通過設置隱藏接入點（AP）及SSID區域的劃分和權限控制來達到保密的目的，因此可以認為SSID是一個很簡單的口令，通過提供口令認證機制，確保一定程度的安全。如果配置AP向外廣播其SSID，那么安全程度就下降；因為一般情況下用戶自己配置客戶端系統，很多人都知道該SSID，所以很容易共享給非法用戶。

3.3 連接對等保密

IEEE802.11b、IEEE802.11a以及IEEE802.11g協議中都包含有一個可選安全組件，名為無線等效協議（WEP），他可以對每一個企圖訪問無線網絡的人的身份進行識別，同時對網絡傳輸內容進行加密。盡管現有無線網絡標準中的WEP技術遭到了批評，但如果能夠正確使用WEP的全部功能，那么WEP扔提供了在一定程度上比較合理的安全措施。這意味著需要更加注重密鑰管理、避免使用缺省選項，并確保在每個可能被攻擊的位置上都進行了足夠的加密。WEP使用了RC4加密算法，該算法是采用的一種流密碼。發送者和接收者都使用流密碼，從一個雙方都知道的共享密鑰創建一致的偽隨機字符串。整個過程需要發送者使用流密碼對傳輸內容執行邏輯異或操作，產生加密內容。盡管理論上的分析認為WEP技術并不保險，但是對于普通入侵者而言，WEP已經是一道難以逾越的鴻溝。大多數無線路由器都使用至少支持40位加密的WEP，但通常還支持128位甚至256位選項。在試圖同網絡連接的時候，客戶端設置中的SSID和密鑰必須同無線路由器的匹配，否則將會失敗。

4 總結

無線網絡技術的運用雖然給我們的工作和生活帶來了極大的便利，但其所帶來的安全威脅還是極大地阻撓了我們對無線技術的進一步開發和利用，因此，對于這些不法用戶和惡意黑客對我們無線網絡的攻擊，我們要隨時保持應有的警惕，同時，我們也需要不斷研發出嚴密、更加高端的安全防御產品，從而使我們的無線網絡更加安全。

[參考文獻]

[1]曾湘黔，主編.《網絡安全技術》.清華大學出版社.2013年1月.

[2]康會光，主編.《計算機網絡基礎教程與實驗指導》.清華大學出版社.2013年5月.

[3]吳銳，主編.《網絡安全技術》.中國水利水電出版社.2012年3月.