馮　棟

摘要：隨著信息技術(shù)的飛速發(fā)展，人們對網(wǎng)絡(luò)通信的需求不斷提高，對Internet訪問的持續(xù)性、移動性和適應(yīng)性等方面取得很大進(jìn)展，近年來無線網(wǎng)絡(luò)已經(jīng)成為一種較為普及的網(wǎng)絡(luò)訪問方式，并且在一些領(lǐng)域已經(jīng)占據(jù)了主流的地位。本文對現(xiàn)階段的無線網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了分析，并提出了幾項(xiàng)措施可以對無線網(wǎng)絡(luò)起到很好的保護(hù)。

關(guān)鍵詞：無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全防范

隨著移動辦公的普及，無線網(wǎng)絡(luò)技術(shù)也得到飛速發(fā)展，采用無線局域網(wǎng)辦公，能夠擺脫龐雜的網(wǎng)絡(luò)聯(lián)線的束縛，極大的提高辦公效率，而且讓辦公室看起來更加整齊。無線技術(shù)給人們帶來的影響是無可爭議的，但由于無線技術(shù)的迅速發(fā)展，“催生”了大量的家用和商用協(xié)議，每一種技術(shù)都有其適應(yīng)的市場及其專用的設(shè)備，不好的是每一種技術(shù)都在推廣它自己專用的軟件協(xié)議，這就導(dǎo)致了他們之間不兼容的情況。由于無線局域網(wǎng)采用公共的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防備，使得它的安全性更加難以保證，網(wǎng)絡(luò)將面臨著嚴(yán)重的威脅，我們需要無線網(wǎng)絡(luò)帶來的便捷和高效，更需要無線網(wǎng)絡(luò)能夠給我們帶來足夠的信息安全性。

無線技術(shù)給人們帶來的影響是無可爭議的，如今每一天大約有幾十萬人成為新的無線用戶，全球范圍內(nèi)的無線用戶數(shù)量目前已經(jīng)超過4億，但由于無線局域網(wǎng)采用公共的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防備，Security在英國倫敦進(jìn)行的一項(xiàng)調(diào)查表明，67％的WLAN毫無安全可言。自從1999年9月份IEEE(電子和電氣工程師協(xié)會)批準(zhǔn)了802.11b標(biāo)準(zhǔn)以來，WEP(WiredEquivalent Privacy，有線對等保密)就成為無線局域網(wǎng)上應(yīng)用的主要的加密機(jī)制，對無線局域網(wǎng)上的數(shù)據(jù)流進(jìn)行加密。不過目前許多企業(yè)并沒有啟動WEP，主要是因?yàn)閃EP的密鑰管理和配置起來過于繁瑣，盡管META Group已經(jīng)承認(rèn)了一些與WEP有關(guān)的漏洞，不過最近報(bào)道的一些攻擊行為證明，該保密機(jī)制的漏洞要比想象中的還要多。所以企業(yè)用戶必須依據(jù)使用環(huán)境的機(jī)密程度，對使用的應(yīng)用軟件進(jìn)行評估。切入點(diǎn)是從無線局域網(wǎng)的連接上開始，考慮三個(gè)基本的安全服務(wù)：審計(jì)、認(rèn)證和機(jī)密性。

從短期的解決方案來看，用戶應(yīng)該對已存在的WLAN的安全性重新進(jìn)行評估。一些企業(yè)用戶已經(jīng)推遲或終止了在WLAN上WEP的開發(fā)和應(yīng)用，在完整的解決方案出臺之前，企業(yè)用戶最好是配置附加的解決方案(例如使用防火墻和虛擬私有網(wǎng)VPN)，來保證網(wǎng)絡(luò)安全。在今后的一段時(shí)期內(nèi)，企業(yè)的WLAN將會通過特定的網(wǎng)關(guān)，集成為一個(gè)新的網(wǎng)絡(luò)，其目標(biāo)就是來解決安全、管理、漫游和服務(wù)質(zhì)量(QOS)問題。

第1步：審計(jì)。網(wǎng)絡(luò)安全在WLAN上尤其顯得重要，這是因?yàn)樗苋菀自诰W(wǎng)絡(luò)內(nèi)部增加新的訪問節(jié)點(diǎn)。保護(hù)WLAN的第一步就是完成網(wǎng)絡(luò)審計(jì)，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的所有訪問節(jié)點(diǎn)都做審計(jì)，確定欺騙訪問節(jié)點(diǎn)，建立規(guī)章制度來約束它們，或者完全從網(wǎng)絡(luò)上剝離掉它們。從短期來看，企業(yè)應(yīng)該使用一些能檢測WLAN網(wǎng)絡(luò)流量(以及WLAN訪問節(jié)點(diǎn))的網(wǎng)絡(luò)監(jiān)控產(chǎn)品或工具，例如Sniffer Technologies和WildPackets廠家的產(chǎn)品。不過，采取的這些措施能達(dá)到的安全程度畢竟還是有限的，因?yàn)樗缶W(wǎng)絡(luò)管理員要根據(jù)WLAN的信號來檢測網(wǎng)絡(luò)流量，知道網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流量情況。目前，wLAN的提供商們(例如3Corn，Avaya，Cisco，Enterasys和Symb01)已開發(fā)出新的能夠檢測遠(yuǎn)程訪問節(jié)點(diǎn)的網(wǎng)絡(luò)管理工具。企業(yè)用戶應(yīng)該形成一個(gè)管理政策，保證網(wǎng)絡(luò)審計(jì)成為一個(gè)規(guī)范化的行為(至少每三個(gè)月檢測一次)，來限制具有欺騙訪問行為的站點(diǎn)恣意進(jìn)入WLAN。

第2步：認(rèn)證。因?yàn)榛赪EP標(biāo)準(zhǔn)的WLAN安全協(xié)議并不是可信的，用戶必須考慮到提供商可能會留有“后門”，企業(yè)應(yīng)該增加對WLAN用戶的認(rèn)證功能(例如使用RADI-US)。提供商們已把IEEE 802.1x用戶認(rèn)證標(biāo)準(zhǔn)融入到WLAN產(chǎn)品中，成為解決基于WEP漏洞的一種替代方式。企業(yè)用戶也可以配置入侵檢測系統(tǒng)(IDS)，做為一種檢測欺騙訪問站點(diǎn)的前期識別方式。入侵檢測系統(tǒng)還能幫助管理員識別特定的、可能存在安全漏洞的訪問點(diǎn)或網(wǎng)段，能夠幫助絡(luò)管理員發(fā)現(xiàn)入侵者的物理位置。

第3步：機(jī)密性。許多企業(yè)并不會要求擁有第二步中提到的其它安全防護(hù)層。已經(jīng)完成了WLAN機(jī)密性評估的企業(yè)用戶就可以決定使用特定的網(wǎng)段來傳輸那些沒有商業(yè)價(jià)值和不要求加密的信息(例如從貨倉中掃描來的條形碼數(shù)據(jù)等)。在這種情況下，使用基本的WEP功能就能完全滿足需要，因?yàn)檫@是一種低級加密與低價(jià)值信息的結(jié)合。不過當(dāng)用戶在WIAN上交換機(jī)密商業(yè)信息，或者傳送個(gè)人信息時(shí)，VPN(虛擬私有網(wǎng))就成為保證隱私的最可信賴的方法了。META Group提醒企業(yè)用戶每個(gè)季度對網(wǎng)絡(luò)使用情況進(jìn)行一次評估，以決定根據(jù)網(wǎng)絡(luò)流量來改變網(wǎng)絡(luò)中機(jī)密性要求。

許多企業(yè)已經(jīng)擁有VPN，為遠(yuǎn)程訪問提供連接。但是配置VPN并不是一個(gè)簡單或者僅僅依靠經(jīng)驗(yàn)的事情，而且，目前制約VPN迅速發(fā)展的一個(gè)重要因素就是其可擴(kuò)展性，當(dāng)使用802.1lb標(biāo)準(zhǔn)時(shí)，VPN網(wǎng)關(guān)就很難進(jìn)行擴(kuò)展。當(dāng)前的VPN設(shè)備都能承受40Mbps至100Mbps的IPSec(互聯(lián)網(wǎng)安全協(xié)議)流量(運(yùn)行3DES加密和SHA－1的哈稀函數(shù))——足夠滿足遠(yuǎn)程拔號用戶或者DSL用戶的使用。對于802.11a來說，每個(gè)用戶的流量僅能提供1Mbps到10Mbps。對于使用802.11b的網(wǎng)絡(luò)來說，如果要實(shí)現(xiàn)基本的網(wǎng)絡(luò)服務(wù)(例如提供電子郵件和HTTP服務(wù))，企業(yè)在每個(gè)100Mbps的VPN網(wǎng)段上最多允許有300到500個(gè)用戶。當(dāng)應(yīng)用軟件帶寬增加，或者訪問點(diǎn)有802.11a節(jié)點(diǎn)時(shí)，就會降低到每個(gè)100M的VPN網(wǎng)段上只能承擔(dān)100到200個(gè)用戶。VPN的一些不足：昂貴的網(wǎng)關(guān)缺乏普遍存在的客戶支持，有限的漫游功能(這由終端設(shè)備決定)，沒有管理控制(因?yàn)橛兴淼懒髁?。主要的WLAN提供商目前正忙于提供WEP漏洞的解決方案，包括WEP的后門漏洞、防火墻、入侵檢測系統(tǒng)和VPN性能等，但這方面的產(chǎn)品還是不成熟的。

隨著無線網(wǎng)絡(luò)產(chǎn)品的普及和應(yīng)用范圍的不斷擴(kuò)大，會出現(xiàn)更多針對無線網(wǎng)絡(luò)的攻擊事件，筆者借鑒了相關(guān)資料，列舉了無線網(wǎng)絡(luò)安全隱患的幾種主流技術(shù)，大家不妨參考一下，牢牢把握網(wǎng)絡(luò)安全的主動權(quán)，做到有備無患。

服務(wù)集標(biāo)識符(SSID)

是通過對多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制，但這只是一個(gè)簡單的口令方式，只能提供一定的安全，而且如果配置AP向外廣播其SSID，那么安全程度還將下降。

物理地址(MAC)過濾

每個(gè)無線客戶端網(wǎng)卡都有唯一的一個(gè)物理地址，因此可以通過手工的方式在AP中設(shè)置一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，這種方式要求AP的MAC地址列表必需隨時(shí)更新，而且，必須是人工親自輸入。如果用戶增加或減少，就必須去修改MAC地址表，這樣就很煩瑣，網(wǎng)絡(luò)的擴(kuò)展能力就會很差，而MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證，只能適合于極小型的網(wǎng)絡(luò)辦公環(huán)境。

有線等效保密(WEP)

IEEES0211.b標(biāo)準(zhǔn)規(guī)定了一種被稱為有線等效保密(WEP)的可選加密方案，其目的是為WIAN提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)。但WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。靜態(tài)WEP密鑰是一種在會話過程中不發(fā)生變化也不針對各個(gè)用戶而變化的密鑰，網(wǎng)絡(luò)管理員可以設(shè)置一個(gè)40位或者128位的靜態(tài)WEP密鑰，用于身份認(rèn)證和加密，WEP在鏈路層采用RC4對稱加密技術(shù)，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問，靜態(tài)WEP密鑰對于WLAN上的所有用戶都是通用的。

除此之外還有Wj-Fi保護(hù)接入(WPA)、國家標(biāo)準(zhǔn)(WAPI)、端口訪問控制技術(shù)(802.1x)等多種技術(shù)能夠起到保護(hù)無線局域網(wǎng)的作用。

隨著科技的發(fā)展。網(wǎng)絡(luò)不僅在傳輸帶寬上得到了飛速的提升，連接方式也有了極大的改變，網(wǎng)絡(luò)不再是有線媒介一統(tǒng)天下，無線通訊模式已經(jīng)成了目前世界上發(fā)展最迅猛的一種網(wǎng)絡(luò)連接方式，就象現(xiàn)今如日中天的手機(jī)一樣，無線網(wǎng)絡(luò)也正逐漸成為人們流行追逐的目標(biāo)和企業(yè)完善網(wǎng)絡(luò)部署的最佳選擇方案。只要我們在使用過程中能夠多加注意，就一定會更好地感受到無線網(wǎng)絡(luò)帶給我們的便捷和高效。