無線網(wǎng)絡(luò)的安全策略

仲麗君 管杰 健 楊陽 帕力扎提·買買提

【關(guān)鍵詞】無線網(wǎng)絡(luò) 信息安全 電腦技術(shù) 安全策略

1 引言

隨著無線網(wǎng)絡(luò)技術(shù)的出現(xiàn)，為用戶提供了一種嶄新的接入互聯(lián)網(wǎng)的方式，使我們擺脫了網(wǎng)線的束縛，更使我們距離隨時(shí)隨地與任何人進(jìn)行任何內(nèi)容通信的人類通信終極夢(mèng)想又進(jìn)了一步。但是由于無線網(wǎng)絡(luò)是采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層和墻等物體，因此在一個(gè)無線網(wǎng)絡(luò)接入點(diǎn)所在的服務(wù)區(qū)域中，任何一個(gè)無線客戶端都可以接收到此接入點(diǎn)的電磁波信號(hào)，這樣就可能包括一些惡意用戶也能接收到該無線網(wǎng)絡(luò)信號(hào)，因此數(shù)據(jù)安全成為了無線網(wǎng)絡(luò)技術(shù)當(dāng)下迫切要解決的問題。

2 無線網(wǎng)絡(luò)的安全隱患

當(dāng)前在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中現(xiàn)面臨兩大問題：

2.1 網(wǎng)絡(luò)劫持

網(wǎng)絡(luò)劫持指的是網(wǎng)絡(luò)黑客將自己的主機(jī)偽裝成默認(rèn)網(wǎng)關(guān)或者特定主機(jī)，使得所有試圖進(jìn)入網(wǎng)絡(luò)或者連接到被網(wǎng)絡(luò)黑客頂替的機(jī)器上的用戶都會(huì)自動(dòng)連接到偽裝機(jī)器上。典型的無線網(wǎng)絡(luò)劫持就是使用欺騙性AP。他們會(huì)通過構(gòu)建一個(gè)信號(hào)強(qiáng)度好的AP，使得無線用戶忽視通常的AP而連接到欺騙性AP上，這樣網(wǎng)絡(luò)黑客就會(huì)接收到來自其他合法用戶的驗(yàn)證請(qǐng)求和信息后，就可以將自己偽裝成為合法用戶并進(jìn)入目標(biāo)網(wǎng)絡(luò)。

2.2 嗅探

這是一種針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信的電子竊聽。通過使用這種工具，網(wǎng)絡(luò)黑客能夠察看到無線網(wǎng)絡(luò)的所有通信。要想使無線網(wǎng)絡(luò)不被該工具發(fā)現(xiàn)，必須關(guān)閉用于網(wǎng)絡(luò)識(shí)別的廣播以及任何未經(jīng)授權(quán)用戶訪問資格。然而關(guān)閉廣播意味著無線網(wǎng)絡(luò)不能被正常用戶端發(fā)現(xiàn)，因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。

3 無線網(wǎng)絡(luò)主要信息安全技術(shù)

3.1 擴(kuò)頻技術(shù)

該技術(shù)是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中，是一直被干擾和越權(quán)接收的。擴(kuò)頻技術(shù)是將非常低的能量在一系列的頻率范圍中發(fā)送。通常我們使用直序擴(kuò)頻技術(shù)和跳頻擴(kuò)頻技術(shù)來實(shí)現(xiàn)傳輸。一些無線網(wǎng)絡(luò)產(chǎn)品在ISM波段的2.4～2.4835GHz范圍內(nèi)傳輸信號(hào)，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無線信號(hào)是被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上。我們知道無線電波每秒鐘變換頻率次數(shù)是很多的，現(xiàn)將無線信號(hào)按順序發(fā)送到每一個(gè)通道上，并且在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的劫持站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無線網(wǎng)絡(luò)之間沒有相互干擾，也不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他人截獲。

3.2 用戶驗(yàn)證

即采用密碼控制，在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其它移動(dòng)設(shè)備的漫游用戶，所以精確的密碼策略可以增加一個(gè)安全級(jí)別，這樣就可以確保該無線網(wǎng)絡(luò)只被授權(quán)人使用。

3.3 數(shù)據(jù)加密

對(duì)數(shù)據(jù)的安全要求極高的系統(tǒng)，例如金融或軍隊(duì)的網(wǎng)絡(luò)，需要一些特別的安全措施，這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前給予加密，那么只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。

如果要求整體的安全性，數(shù)據(jù)加密將是最好的解決辦法。這種方法通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外我們還可以選擇低價(jià)格的第三方產(chǎn)品。

3.4 WEP加密配置

WEP加密配置是確保經(jīng)過授權(quán)的無線網(wǎng)絡(luò)用戶不被竊聽的驗(yàn)證算法，是IEEE協(xié)會(huì)為了解決無線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。

3.5 防止入侵者訪問網(wǎng)絡(luò)資源

這是用一個(gè)驗(yàn)證算法來實(shí)現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。

4 改進(jìn)方法及措施

4.1 正確放置網(wǎng)絡(luò)的接入點(diǎn)設(shè)備

在網(wǎng)絡(luò)配置中，要確保無線接入點(diǎn)放置在防火墻范圍之外。

4.2 利用MAC阻止黑客攻擊

利用基于MAC地址的訪問控制表，確保只有經(jīng)過注冊(cè)的用戶端才能進(jìn)入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，設(shè)置的障礙越多，越會(huì)使黑客知難而退，不得不轉(zhuǎn)而尋求其它低安全性的網(wǎng)絡(luò)。

4.3 WEP協(xié)議的重要性

WEP是802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí)，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。在簡(jiǎn)便的安裝和啟動(dòng)之后，應(yīng)該立即更改WEP密鑰的缺省值。

最理想的方式是WEP的密鑰能夠在用戶登錄后進(jìn)行動(dòng)態(tài)改變。這樣，黑客想要獲得無線網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化。基于會(huì)話和用戶的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù)，為網(wǎng)絡(luò)增加另外一層防范。

4.4 簡(jiǎn)化網(wǎng)絡(luò)安全管理：集成無線和有線網(wǎng)絡(luò)安全策略

無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進(jìn)入網(wǎng)絡(luò)時(shí)，都需要采用集成化的單一用戶ID和密碼。

4.5 不能讓非專業(yè)人員構(gòu)建無線網(wǎng)絡(luò)

盡管現(xiàn)在無線網(wǎng)絡(luò)的構(gòu)建已經(jīng)非常方便，即使是非專業(yè)人員也可以自己在辦公室內(nèi)安裝無線路由器和接入點(diǎn)設(shè)備。但是，他們?cè)诎惭b過程中很少考慮到網(wǎng)絡(luò)的安全性，這樣就會(huì)通過網(wǎng)絡(luò)探測(cè)工具掃描就能夠給黑客留下攻擊的后門。因而，在沒有專業(yè)系統(tǒng)管理員同意和參與的情況下，要限制無線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無線網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1]王樂.中國標(biāo)準(zhǔn)撼動(dòng)Wi-Fi[J].電腦報(bào)，2003.

[2]李小平.多媒體網(wǎng)絡(luò)通信[M].北京：北京理工大學(xué)出版社，2008.

[3]王文仲.應(yīng)用密碼學(xué)協(xié)議、算法與C源程序[M].北京：機(jī)械工業(yè)出版社，2006.