無(wú)線局域網(wǎng)通信安全淺析

安利峰

摘 要： 無(wú)線局域網(wǎng)通過(guò)無(wú)線多址信道進(jìn)行計(jì)算機(jī)與外界、計(jì)算機(jī)與計(jì)算機(jī)的通信，也在自身發(fā)展的同時(shí)，促使了移動(dòng)化通信、個(gè)性化通信以及多媒體化通信的發(fā)展。但是無(wú)線局域網(wǎng)還存在一定的安全問(wèn)題，必須建立安全機(jī)制對(duì)其進(jìn)行規(guī)制。

關(guān)鍵詞： 無(wú)線局域網(wǎng)；通信安全；WLAN

序言

無(wú)線局域網(wǎng)是在有線網(wǎng)絡(luò)上發(fā)展起來(lái)的，是無(wú)線傳輸技術(shù)在局域網(wǎng)技術(shù)上的運(yùn)用，而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無(wú)線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢(shì)，因此對(duì)無(wú)線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學(xué)者研究的熱點(diǎn)。無(wú)線局域網(wǎng)具有組網(wǎng)靈活、接入簡(jiǎn)便和適用范圍廣泛的特點(diǎn)，但由于其基于無(wú)線路徑進(jìn)行傳播，因此傳播方式的開(kāi)放性特性給無(wú)線局域網(wǎng)的安全設(shè)計(jì)和實(shí)現(xiàn)帶來(lái)了很大的問(wèn)題。目前無(wú)線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11，但其存在設(shè)計(jì)缺陷，缺少密鑰管理，存在很多安全漏洞。

一、無(wú)線局域網(wǎng)的概念

在有線局域網(wǎng)中，網(wǎng)絡(luò)的鏈接方式是傳輸線纜，那么對(duì)于無(wú)線局域網(wǎng)而言，“無(wú)線”的含義表示網(wǎng)絡(luò)的連接是通過(guò)紅外線、微波等無(wú)線技術(shù)實(shí)現(xiàn)；“局域網(wǎng)”定義了網(wǎng)絡(luò)應(yīng)用的范圍，它是相當(dāng)于“廣域網(wǎng)”和“個(gè)人網(wǎng)”而言，既可以是一個(gè)房間內(nèi)，一棟建筑內(nèi)，也可以是一個(gè)校園，因此無(wú)線局域網(wǎng)（WLAN）就是傳輸媒介實(shí)現(xiàn)的計(jì)算機(jī)局域網(wǎng)。隨著WLAN的廣泛應(yīng)用，從狹義上講，我們一般所講的無(wú)線局域網(wǎng)就是指遵循IEEE802.11協(xié)議的無(wú)線局域網(wǎng)，我們討論的無(wú)線局域網(wǎng)安全也是針對(duì)IEEE802.11協(xié)議標(biāo)準(zhǔn)的安全。

二、無(wú)線局域網(wǎng)的結(jié)構(gòu)

根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同，無(wú)線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)實(shí)現(xiàn)互聯(lián)。常用的具體有幾種。

1.網(wǎng)橋連接型

不同的局域網(wǎng)之間互聯(lián)時(shí)，由于物理上的原因，若采取有線方式不方便，則可利用無(wú)線網(wǎng)橋的方式實(shí)現(xiàn)二者的點(diǎn)對(duì)點(diǎn)連接，無(wú)線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接，還為兩個(gè)網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

2.基站接入型

當(dāng)采用移動(dòng)蜂窩通信網(wǎng)接入方式組建無(wú)線局域網(wǎng)時(shí)，各站點(diǎn)之間的通信是通過(guò)基站接入、數(shù)據(jù)交換方式來(lái)實(shí)現(xiàn)互聯(lián)的。各移動(dòng)站不僅可以通過(guò)交換中心自行組網(wǎng)，還可以通過(guò)廣域網(wǎng)與遠(yuǎn)地站點(diǎn)組建自己的工作網(wǎng)絡(luò)。

3.Hub接入型

利用無(wú)線Hub可以組建星型結(jié)構(gòu)的無(wú)線局域網(wǎng)，具有與有線Hub組網(wǎng)方式相類(lèi)似的優(yōu)點(diǎn)。在該結(jié)構(gòu)基礎(chǔ)上的WLAN，可采用類(lèi)似于交換型以太網(wǎng)的工作方式，要求Hub具有簡(jiǎn)單的網(wǎng)內(nèi)交換功能。

4.無(wú)中心結(jié)構(gòu)

要求網(wǎng)中任意兩個(gè)站點(diǎn)均可直接通信，此結(jié)構(gòu)的無(wú)線局域網(wǎng)一般使用公用廣播信道，MAC層采用CSMA類(lèi)型的多址接入?yún)f(xié)議。無(wú)線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過(guò)無(wú)線Hub、無(wú)線接入站（AP）、無(wú)線網(wǎng)橋、無(wú)線Modem及無(wú)線網(wǎng)卡等來(lái)實(shí)現(xiàn)，其中以無(wú)線網(wǎng)卡最為普遍，使用最多。

三、無(wú)線局域網(wǎng)的安全機(jī)制

1.數(shù)據(jù)加密技術(shù)

在無(wú)線局域網(wǎng)中，數(shù)據(jù)加密主要是對(duì)數(shù)據(jù)的完整性和機(jī)密性進(jìn)行保護(hù)，以防數(shù)據(jù)在無(wú)線局域網(wǎng)中傳播時(shí)被非法的篡改或者竊聽(tīng)。數(shù)據(jù)加密技術(shù)主要有WEP協(xié)議、IPSec協(xié)議和VPN技術(shù)三種。

2.數(shù)據(jù)的訪問(wèn)技術(shù)

訪問(wèn)控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問(wèn)，所謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷(xiāo)毀以及發(fā)布指令等。用戶通過(guò)認(rèn)證，只是完成了接入無(wú)線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開(kāi)始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。

3.數(shù)據(jù)認(rèn)證技術(shù)

認(rèn)證技術(shù)主要是對(duì)用戶身份的一種認(rèn)證或者是驗(yàn)證，以保證訪問(wèn)主體是授權(quán)的、合法的。認(rèn)證是無(wú)線局域網(wǎng)最重要的安全機(jī)制之一，其包括開(kāi)放式認(rèn)證和密鑰共享式認(rèn)證兩種。

四、無(wú)線局域網(wǎng)存在的安全隱患

盡管無(wú)線局域網(wǎng)是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個(gè)方面：

1.無(wú)線局域網(wǎng)傳輸介質(zhì)比較脆弱。在過(guò)去的有線局域網(wǎng)中，一般采取的是無(wú)源集線器和銅線作為傳輸媒介，它們?cè)诎踩贤艿揭欢ǖ陌踩O(shè)備或者安全人員的保護(hù)，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強(qiáng)的安全性，而無(wú)線局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理?xiàng)l件的干擾較大，同時(shí)也比較容易受到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

2.WLAN隱蔽性差。無(wú)線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及數(shù)據(jù)傳輸?shù)拈_(kāi)放式物理系統(tǒng)，通過(guò)無(wú)線電波的形式傳播數(shù)據(jù)，其有效覆蓋范圍一般為50-100米，在有障礙物的情況下距離有所縮短。為了有效接收信號(hào)，許多人都會(huì)通過(guò)增加天線來(lái)提高功放，以增大覆蓋范圍。這樣，即使不進(jìn)入無(wú)線用戶的家庭或企業(yè)內(nèi)，也可以接受到無(wú)線信號(hào)，網(wǎng)絡(luò)攻擊者就可以肆意偵聽(tīng)竊取傳輸數(shù)據(jù)，毫無(wú)隱蔽性可言。

3.用戶安全防范意識(shí)薄弱。與WLAN最緊密相關(guān)就是無(wú)線設(shè)備了，許多無(wú)線設(shè)備出廠時(shí)就被預(yù)先設(shè)定初始值。由于用戶安全防范意識(shí)較弱，購(gòu)買(mǎi)后一般不會(huì)對(duì)無(wú)線設(shè)備進(jìn)行有效的安全配置，在設(shè)置無(wú)線登陸密碼時(shí)又過(guò)于簡(jiǎn)單省事，比如生日、手機(jī)號(hào)等等，使得網(wǎng)絡(luò)侵入者可以利用這些潛在的安全漏洞進(jìn)行攻擊。

五、解決無(wú)線局域網(wǎng)通信安全問(wèn)題的有效途徑

1.通過(guò)VPN實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)通信安全

自從對(duì)網(wǎng)絡(luò)安全概念有了一定了解以來(lái)，人們一直都將VPN作為無(wú)線安全的一種解決方式，在這種保護(hù)方式中，將無(wú)線網(wǎng)絡(luò)當(dāng)作Internet一樣對(duì)待。在VPN方案中，所有的無(wú)線通信都被封在了防火墻的后面，每一個(gè)用戶都對(duì)應(yīng)一個(gè)VPN用戶，使用VPN連接無(wú)線網(wǎng)絡(luò)。這種安全方式阻止了外來(lái)設(shè)備進(jìn)入無(wú)線網(wǎng)絡(luò)，但這種方式也并不是萬(wàn)無(wú)一失。合法進(jìn)入網(wǎng)絡(luò)時(shí)需要用戶啟動(dòng)并獲得一個(gè)IP地址，一旦每個(gè)用戶都有了一個(gè)IP地址，用戶就可以開(kāi)始網(wǎng)絡(luò)通信了。非法進(jìn)入用戶的過(guò)程是差不多的，只是不能通過(guò)認(rèn)證進(jìn)入網(wǎng)絡(luò)中。由于攻擊者也有一個(gè)給定的IP地址，所以就沒(méi)有什么辦法來(lái)阻止它和同一個(gè)防火墻內(nèi)的用戶進(jìn)行通信了。通過(guò)這種通信，攻擊者也可以侵入一個(gè)合法用戶，并借此進(jìn)入網(wǎng)絡(luò)中。

2.綁定靜態(tài)IP和MAC地址，采取“一對(duì)一”使用的方案

通常情況下，AP或者無(wú)線路由器在為局域網(wǎng)分配IP地址時(shí)，都是默認(rèn)使用動(dòng)態(tài)的IP地址進(jìn)行系統(tǒng)的分配與管理，因?yàn)槠浞峙涞牡刂凡⒎请S機(jī)而容易產(chǎn)生信息泄露或者被不法侵害的隱患。因?yàn)樵诖朔N前提下，只需要通過(guò)技術(shù)手段或其他方法知道用戶的IP地址后就能進(jìn)行動(dòng)態(tài)IP地址的修改，繼而會(huì)被無(wú)限局域網(wǎng)分配得到一個(gè)“合法”的新的可以使用的IP地址。要想解決這個(gè)問(wèn)題，務(wù)必要建立一個(gè)“一對(duì)一”使用的方案，即在終端設(shè)備上關(guān)閉DHCP服務(wù)，為每個(gè)用戶端分配一個(gè)固定的靜態(tài)IP地址，并且限制IP地址的自動(dòng)分配功能，再把這個(gè)靜態(tài)的IP地址和用戶電腦上MAC地址進(jìn)行系統(tǒng)的綁定，換句話說(shuō)，這么做其實(shí)是為無(wú)線網(wǎng)的使用設(shè)定雙重關(guān)卡，不法侵入者及使得到用戶的IP地址也會(huì)因?yàn)镸AC地址的不符合而導(dǎo)致無(wú)法連接上網(wǎng)。

3.加強(qiáng)無(wú)線局域網(wǎng)的入侵監(jiān)測(cè)系統(tǒng)

雖然無(wú)線局域網(wǎng)的被入侵在通常情況下是不易被察覺(jué)的，但對(duì)其的監(jiān)測(cè)也并非是毫無(wú)辦法，無(wú)線入侵監(jiān)測(cè)系統(tǒng)可以為無(wú)線局域網(wǎng)的使用提供較為準(zhǔn)確的監(jiān)測(cè)信息。普通用戶在使用無(wú)線局域網(wǎng)時(shí)，可以利用監(jiān)測(cè)系統(tǒng)來(lái)判斷入侵事件的形式及其類(lèi)型，對(duì)出現(xiàn)的非法通信行為乃至異常的通信流量給予足夠的重視，從而通過(guò)修改秘鑰等手段防止不法入侵帶來(lái)的通信安全隱患。

4.加強(qiáng)網(wǎng)絡(luò)防范意識(shí)

對(duì)于無(wú)線設(shè)備，除設(shè)置復(fù)雜密碼并時(shí)常更新之外，還可以對(duì)其進(jìn)行安全設(shè)置。比如啟用WPA加密，增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的安全性，關(guān)閉SSID廣播，使無(wú)線網(wǎng)絡(luò)不易被發(fā)現(xiàn)，設(shè)置IP過(guò)濾以及MAC地址列表避免被蹭網(wǎng)或外來(lái)者入侵。

六、結(jié)語(yǔ)

總之，安全機(jī)制存在缺陷是限制WLAN實(shí)現(xiàn)進(jìn)一步發(fā)展的重要因素，在應(yīng)用WLAN技術(shù)時(shí)要注重了解網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，并在明確安全保護(hù)機(jī)制的基礎(chǔ)上采取必要措施維護(hù)WLAN的通信安全。隨著無(wú)線技術(shù)迅猛發(fā)展，無(wú)線通信安全尚待進(jìn)一步發(fā)展和完善，將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來(lái)，才能構(gòu)筑安全的無(wú)線局域網(wǎng)。