無(wú)線網(wǎng)絡(luò)的布局及安全防范淺析

+ 貴州省廣播電視局衛(wèi)星地球站 饒?jiān)室?/p>

一、網(wǎng)絡(luò)的設(shè)置

本文以家庭無(wú)線網(wǎng)絡(luò)為例，對(duì)無(wú)線網(wǎng)的布局作一介紹。辦公室等公共空間布局方式大同小異，無(wú)非是設(shè)備更好，支持接入接出的端子更多而已。 見圖1。

把寬帶入戶總線，從門口引入到書房位置，在此接入一臺(tái)高性能無(wú)線路由器，引出的有線接入到NAS上。臺(tái)式電腦要求高速穩(wěn)定，因此也采用由無(wú)線路由器引出網(wǎng)線到電腦網(wǎng)絡(luò)端，然后再無(wú)線路由器引出網(wǎng)線到客廳電視背景墻處，這是為了接入網(wǎng)絡(luò)電視，臥室網(wǎng)絡(luò)電視也可以這樣接入。無(wú)線路由器接線方式以常用ADSL上網(wǎng)方式為例，見圖2.

為了清晰拍攝進(jìn)出人員，攝像頭位置選在了客廳的高處、面對(duì)大門。攝像頭采用無(wú)線傳輸，和NAS配合使用。具有動(dòng)態(tài)監(jiān)測(cè)功能的攝像頭日常處于休眠狀態(tài)，有人員活動(dòng)時(shí)啟動(dòng)拍攝，通過(guò)無(wú)線路由器傳輸?shù)絅AS存儲(chǔ)。NAS定時(shí)會(huì)上傳備份監(jiān)控視頻到遠(yuǎn)程FTP服務(wù)器，這樣即使發(fā)生入戶盜竊、NAS被破壞，還可以從遠(yuǎn)程FTP服務(wù)器取證到犯罪嫌疑人的作案視頻。當(dāng)然日常的監(jiān)控?cái)z像頭還支持實(shí)時(shí)查看功能，透過(guò)無(wú)線路由器的端口映射，可以使用電腦或者手機(jī)實(shí)時(shí)查看家中的視頻監(jiān)控畫面。

二、無(wú)線網(wǎng)絡(luò)的安全

無(wú)線網(wǎng)絡(luò)的安全性問(wèn)題比有線網(wǎng)絡(luò)更加突出。

1、威脅無(wú)線局域網(wǎng)的因素

第一類：無(wú)線網(wǎng)的接入。由于WLAN是以無(wú)線電波作為傳輸介質(zhì)來(lái)進(jìn)行網(wǎng)絡(luò)傳播，因此，只要無(wú)線信號(hào)覆蓋范圍內(nèi)的區(qū)域，只要掌握網(wǎng)絡(luò)口令均可訪問(wèn)。而目前無(wú)線網(wǎng)的加密口令相對(duì)比較容易破解，這樣就造成了非法用戶登入無(wú)線網(wǎng)進(jìn)行操作的可能性。輕者占用WLAN網(wǎng)帶寬，導(dǎo)致網(wǎng)速變慢，重者監(jiān)聽竊取了網(wǎng)絡(luò)用戶的資料、資源、密碼等，對(duì)網(wǎng)絡(luò)正當(dāng)合法用戶的利益造成損失。

第二類：由于無(wú)線網(wǎng)同樣也是符合網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)，因此，電腦病毒、木馬等惡意程序同樣也可以在無(wú)線網(wǎng)中進(jìn)行傳播，由于無(wú)線網(wǎng)的覆蓋面廣，導(dǎo)致的后果也更為嚴(yán)重。

三、無(wú)線局域網(wǎng)的安全措施

（一）采用無(wú)線加密協(xié)議

這種方式就是設(shè)置登錄口令。 常用加密方式分為兩種：一種是WEP加密，即802.11 Wired Equivalent Privacy（WEP)。但WEP破解起來(lái)非常容易，它采取的加密方式是使用了rsa數(shù)據(jù)安全性公司開發(fā)的rc4 prng算法。全稱為有線對(duì)等保密。使用了該技術(shù)的無(wú)線局域網(wǎng)，所有客戶端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密。密鑰越長(zhǎng)，黑客就需要更多的時(shí)間去進(jìn)行破解，因此能夠提供更好的安全保護(hù)。而另一種是WPA加密，即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵。如果對(duì)數(shù)據(jù)安全性有很高要求，那就必須選用WPA方式了。WPA比WEP更嚴(yán)密，主要體現(xiàn)在身份認(rèn)證、加密機(jī)制和數(shù)據(jù)包檢查等方面，還提升了無(wú)線網(wǎng)絡(luò)的管理能力。 如果想知道自己的WALN是哪種加密方式 ，只要通過(guò)WINDOWS中的“搜索無(wú)線網(wǎng)絡(luò)”，即可以看到在該地點(diǎn)，能夠通過(guò)自己電腦上的無(wú)線網(wǎng)卡所能找到的所有無(wú)線網(wǎng)絡(luò)，如圖3所示。

事實(shí)證明，用WEP加密的WLAN，利用一些解密軟件，如BT3和SPOONWEP2 ,十分鐘左右即可破解相應(yīng)密碼。而采用WPA 加密方式的WALN，破解難度相對(duì)較大。

（2）改變自己的SSID名稱，如果可能，禁止SSID廣播。

SSID即服務(wù)集標(biāo)識(shí)。由于各無(wú)線路由器廠商均對(duì)自己的產(chǎn)品采用相同SSID，容易被非法入侵者利用其初始化字符串來(lái)進(jìn)行連接。因此，一定要對(duì)自己的無(wú)線路由器設(shè)置不同的SSID。同時(shí)，無(wú)線路由器的設(shè)置中均會(huì)有“禁止SSID廣播”一項(xiàng)，如果不是公共服務(wù)區(qū)域，建議關(guān)閉，這樣就不會(huì)出現(xiàn)在別人的搜索網(wǎng)絡(luò)名單中。當(dāng)然，自己的網(wǎng)絡(luò)依然可用。

（3）靜態(tài)IP與MAC地址綁定

無(wú)線路由器作為服務(wù)器，缺省的方式是只要登入該無(wú)線網(wǎng)絡(luò)，就自動(dòng)分配一個(gè)動(dòng)態(tài)的IP地址給用戶。這種方式是有安全隱患的，如果非法入侵者破解了登錄密碼，無(wú)線路由器同樣會(huì)分配一個(gè)動(dòng)態(tài)IP地址給他使用，而不會(huì)去認(rèn)證該用戶是否合法。因此，建議在無(wú)線路由器中關(guān)閉DHCP服務(wù)，即動(dòng)態(tài)分配IP地址。然后找到每一臺(tái)可能接入該WLAN網(wǎng)的電腦網(wǎng)卡的MAC地址，在無(wú)線路由器中分配固定的IP地址一一對(duì)應(yīng)于不同的MAC地址，這樣就實(shí)現(xiàn)了靜態(tài)的IP與MAC地址的綁定。大大提高了WALN的安全性。

四、結(jié)論

當(dāng)然，非法入侵還有更多更隱蔽的技術(shù)和手段，同樣，防范加密措施也還有更高級(jí)更安全的技術(shù)在應(yīng)用。