淺談無線網絡安全威脅及應對措施

陳瑞

（山西廣播電視大學，山西 太原 030027）

1 引言

縱觀無線網絡的整個發展歷程，其已從業務網絡轉化為涵蓋各種無線通信技術的智能化通信系統，提供了豐富多樣的業務。但是在此過程中，受多重因素影響，無線網絡所面臨的安全威脅問題日益嚴峻，包括非法侵入、拒絕服務、地址欺騙以及拓撲變化等，是限制其應用普及的重要因素。

2 無線網絡安全威脅

基于無線網絡應用，各類信息傳播與交互更加便捷，但在電磁波覆蓋的范圍內，任何接入的用戶都可能成為安全威脅因素。相較于有線信道，無線信道的帶寬較小，開放性更強，因而更容易遭受竊聽、干擾或篡改等攻擊。目前而言，無線網絡安全威脅主要表現在以下幾方面：

2.1 非法侵入

根據802.11標準規定，無線鏈路主要采用開放式系統與共享密鑰兩種身份認證方式。其中，在開放式系統身份認證的無線網絡環境下，任何在電磁波覆蓋范圍內的用戶均可接入，并未有設置傳輸數據保護機制。相比之下，共享密鑰身份認證的安全性體驗更高，它是基于接入方與AP之間的密鑰共享，實現對接入方的身份認證，但是由于其保密性較差，并不足以被完全信賴。在無線網絡應用相當普及的時代，黑客技術也在不斷更新發展，任何具有黑客知識的人，在少量裝備的加持下，如無線網卡、密碼破解軟件等，即可成功入侵網絡，甚至可能會獲取一定權限，進而盜竊、篡改敏感信息，

給用戶信息安全造成威脅。時至今日，黑客攻擊已然成為無線網絡安全威脅的重要因素。

2.2 拒絕服務

所謂拒絕服務即是指惡性攻擊者通過占用大量無線網絡資源，導致合法用戶無法訪問網絡的現象。無線網絡是基于電磁波應用的新型信息載體，其在運行過程中，攻擊者與合法用戶同處于一個頻率的電磁波環境下，繼而干擾合法用戶的無線信號傳播，導致無法訪問網絡問題，甚至網絡癱瘓，給攻擊留有進一步作用的空隙。同時，攻擊者還可通過向AP頻繁發送身份驗證請求，導致其無法正常工作，未能及時處理正常數據包，即泛洪攻擊。另外，4G網絡應用時代，攻擊者還可應用移動模式，對無線網絡系統中的某個節點進行集中攻擊，使之不停地轉發數據包，導致網絡傳輸速度緩慢或者停滯，被稱為消耗攻擊。拒絕服務是當前無線網絡安全遭受最多的威脅之一。

2.3 地址欺騙

在無線網絡運行系統中，接入站站點通過向接入點發起鏈路認證的方式進行安全防護，決定是否接受訪問，其憑據就是自身的MAC地址。但是，無線網絡接入站站點地址可以通過第三方應用軟件進行修改，使得接入點錯誤地認為該鏈接是合法的，或者經過網絡設備同意，進而形成欺騙攻擊?，F階段而言，最容易達成欺騙攻擊目的的方法是，重新定義無線網絡MAC地址。以當前的無線網絡發展來看，由于傳輸控制協議和網際協議設計缺陷，無法有效避免MAC地址欺騙，同時源于巨大的管理任務負擔，此種安全方案極少被采用。在此過程中，為了防護無線網絡安全，唯有通過智能事件記錄和監控日志才能治理已經發生的欺騙行為。事實上，單純地通過重新提交AP身份認證，并非能發揮良好的無線網絡安全防護功能。

2.4 拓撲變化

基于無線網絡管理理念導向，可對不同用戶群體的訪問權限進行審查和限制，可起到一定的安全防護作用。在有線網絡應用環境下，可通過虛擬局域網和網絡訪問控制列表的雙重作用，實現對安全威脅的避除。而在無線網絡應用環境下，客戶端的移動性特點，導致網絡拓撲變化相當頻繁，甚至每時每刻都在發生，一定程度上增加了網絡管理的難度。相比較而言，對不同無線網絡用戶群體進行差異化訪問權限應用實非易事。在這種情況下，為了維護無線網絡安全及穩定，管理者需要耗費大量時間和精力，同時，由于地理位置變化而造成的身份重新認證，亦影響了用戶服務體驗。因此，拓撲變化無疑給無線網絡安全造成了威脅，稍有處置不當，可能會增加用戶信息泄露風險。

3 無線網絡安全威脅的應對措施

在現代化創新科技發展背景下，解決問題的辦法永遠比問題多，這亦是社會進步的根本意義。人們在享受無線網絡帶來的便捷性服務的同時，也面臨著比有線網絡更加復雜的安全風險，直接損害了其自身利益?；谏鲜龇治觯Y合實際情況，針對性地提出了以下幾種無線網絡安全威脅應對措施：

3.1 端口訪問控制

基于802.1x端口訪問控制技術，集合了RADIUS認證和MAC地址認證的雙重優勢特點，是一種有效增強無線網絡安全性能的解決方案。在該運行系統中，申請者、認證者和認證服務器共同組成一個新的架構，由申請者發起身份認證，并通過認證服務器對密鑰加密轉換后發給申請者，在確認合法之后可成功接入無線網絡。當無線網絡用戶與AP關聯后，由802.1x認證結果決定是否可以使用AP服務，如果通過，則可向申請者打開AP服務端口，如若不然則會禁止用戶上網，最終實現高效的安全防護功能。同時，基于802.1x端口訪問控制技術，還能夠提供安全防護之外的計費服務。時至今日，端口訪問控制已然成為有效應對無線網絡安全威脅的重要措施。

3.2 使用WPA2算法加密

無線加密協議WEP是保護無線網絡信息安全的體制，在傳統規制下，其密鑰多采用16或32位的加密方式，雖在一定時期內發揮了重要的安全防護功能，但是很容易被當下網絡上的非法軟件破譯，并且用時非常短。對此，建議采用128位的WPA2密鑰認證方案，WPA2是在原有WEP算法的基礎上發展而來，其通過技術改進很好地消除了原有WEP算法在安全性能等方面存在的不足與缺陷，對于網絡安全的保護而言至關重要。具體來講，在密鑰的選擇上，WPA2算法使用了最為先進的動態密鑰管理辦法，在系統升級的過程中會自動對密鑰進行動態更新。在具體的操作過程中，還需在每一幀中加入校驗和，以保證信息數據完整性，有效防止數據流中插入已知文本進而破解密鑰的攻擊行為。這些措施的實施都有效保障了無線網絡的信息安全，使得不法分子對于無線網絡的攻擊無從下手，降低了無線網絡安全威脅事件的發生率。

3.3 實現地址過濾

常規來說，無線路由器或AP在進行IP地址分配時，均是默認選用動態IP地址分配，一旦不法分子找到了無線網絡，即可通過DHCP獲取合法的IP地址，增加了無線網絡的安全風險。對此，可采用靜態IP與MAC地址綁定的方式，關閉DHCP服務，減少由此帶來的無線網絡安全風險。在此過程中，可為局域網內的每臺電腦分配固定IP地址，并確認其合法，只準許合法地址訪問無線網絡，達到安全防護的目的。同時，仔細辨別日志記錄中的錯誤，繼而斷定是否存在無線網絡安全隱患，針對性地采取有效應對措施。目前，市面上的無線網絡入侵檢測系統越發專業，其功能設定使之能夠自行判斷、分析入侵行為，通過流量異常檢測其是否合法，一旦確認非法入侵即會發出警報，并禁止用戶訪問網絡。

3.4 無線漫游技術

由于無線網絡終端的流動性特點，給管理者造成了極大的工作難度，傳統分層管理模式已然難以適應現實需求。同時，無線應用區域變化，需要用戶不斷刷新登錄新的AP，影響了他們的便捷性信息服務體驗。而基于無線漫游技術的無線網絡系統，可以實現無論用戶處于哪個AP覆蓋范圍，皆可進行網絡分組管理，很大程度上減輕了管理人員的工作負擔。同時，該種應用模式下，用戶只需登錄一次，即可持續使用無線網絡，大大提升了其靈活性和安全性。

3.5 加強人才培育

知識經濟時代，人才是推動社會可持續發展的核心資源和動力。在當下的無線網絡應用環境下，加強人才培育是改善安全環境的重要方式。在具體的過程中，各級應用單位，如學校、企業等，應完善內部管理機制，禁止員工私自安裝AP和對外透露網絡設置信息，以免增加無線網絡的安全風險。同時，應用單位還需加強員工培訓教育工作，宣傳無線網絡安全意識，及時更新他們的技術技能架構，尤其對于網絡管理人員，更需加強其專業化水平建設，積極引入先進科技裝備，并使之有效掌握和應用。另外，國家應從法制層面上規范網絡行為，堅決打擊惡性攻擊，并采取必要的懲處手段，提高全民網絡安全建設意識，維護社會穩定和諧。

4 結語

總而言之，無線網絡在為用戶帶來諸多便捷性信息服務體驗的同時，亦增加了用戶信息安全威脅，因此，其有效應對至關重要。隨著無線網絡技術的不斷發展革新，需要結合實際情況，綜合分析無線網絡的安全威脅，并針對性地提出更多有效應對措施。