萬(wàn)寧坤 王媛 穆文聯(lián)

（邯鄲供電公司，河北 邯鄲 056000）

1 概述

1.1 課題背景

網(wǎng)絡(luò)是信息化的基礎(chǔ)，網(wǎng)絡(luò)設(shè)施的完善和網(wǎng)絡(luò)技術(shù)的進(jìn)步，對(duì)信息網(wǎng)絡(luò)化起到積極的推動(dòng)作用。進(jìn)入20世紀(jì)90年代以來(lái)，隨著個(gè)人數(shù)據(jù)通信的發(fā)展，功能強(qiáng)大的便攜式數(shù)據(jù)終端以及多媒體終端的廣泛應(yīng)用，使得人們對(duì)網(wǎng)絡(luò)通信的需求也隨之不斷提高，希望打破不同的地域或客觀條件的制約，使任何人在任何時(shí)間、任何地點(diǎn)均能夠?qū)崿F(xiàn)數(shù)據(jù)通信的目標(biāo)。

無(wú)線局域網(wǎng)（Wireless Local Area Networks；WLAN）是20世紀(jì)90年代計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。以無(wú)線媒體或介質(zhì)，利用射頻的技術(shù)，取代舊式的雙絞銅線所構(gòu)成的局域網(wǎng)絡(luò)，使得無(wú)線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過(guò)它，達(dá)到“信息隨身化、便利走天下”的理想境界。WLAN已在教育、醫(yī)院、金融行業(yè)、旅游酒店行業(yè)等各方面有了廣泛應(yīng)用，具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、擴(kuò)展容易等顯著特點(diǎn)。

1.2 無(wú)線局域網(wǎng)的發(fā)展趨勢(shì)

從2001年開(kāi)始，無(wú)線局域網(wǎng)完成了從室外到室內(nèi)的大飛躍。大企業(yè)無(wú)線應(yīng)用的普及與無(wú)線網(wǎng)進(jìn)入家庭，同時(shí)熱點(diǎn)地區(qū)寬帶無(wú)線接入成為電信運(yùn)營(yíng)商看好的市場(chǎng)。2001年至今，用戶已經(jīng)對(duì)無(wú)線局域網(wǎng)有了一個(gè)很好的認(rèn)知，供貨商也在不斷增加，技術(shù)的普及使得各網(wǎng)絡(luò)廠商均有生產(chǎn)無(wú)線局域網(wǎng)產(chǎn)品的實(shí)力。

無(wú)線局域網(wǎng)的國(guó)家標(biāo)準(zhǔn)是從符合我國(guó)國(guó)情的角度出發(fā)，全面考慮了市場(chǎng)現(xiàn)狀和產(chǎn)業(yè)未來(lái)發(fā)展的前景。我國(guó)出臺(tái)了自己的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)，勢(shì)必將對(duì)無(wú)線局域網(wǎng)技術(shù)在我國(guó)的應(yīng)用起到推動(dòng)作用，一旦成為國(guó)際標(biāo)準(zhǔn)更將具有劃時(shí)代的意義。

2 無(wú)線局域網(wǎng)安全分析與防范對(duì)策

2.1 安全隱患分析

導(dǎo)致網(wǎng)絡(luò)設(shè)計(jì)和建設(shè)時(shí)埋下的安全隱患主要有以下幾個(gè)方面：

①弱密碼問(wèn)題：弱密碼，即非常容易猜測(cè)到的密碼。黑客可以通過(guò)猜測(cè)、使用弱密碼字典進(jìn)行暴力破解等方式破解出密碼。

②非法AP問(wèn)題：無(wú)線局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單的特性，使得任何人不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò)。一是企事業(yè)單位的工作人員為了工作上的便利，私自搭建無(wú)線局域網(wǎng)。二是黑客獲取用戶的信息，采用各種手段癱瘓、摧毀用戶接入的無(wú)線局域網(wǎng)，偽造一個(gè)類似的無(wú)線局域網(wǎng)，以引入詐騙用戶接入，間接截獲傳輸?shù)男畔ⅰ?/p>

③容易入侵問(wèn)題：無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。

④MAC地址訪問(wèn)問(wèn)題：MAC地址很容易的就會(huì)被非法用戶探查到，一旦激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無(wú)線網(wǎng)卡可以用軟件來(lái)改變MAC地址。因此，非法用戶可以竊聽(tīng)到有效的MAC地址，然后進(jìn)行編程將有效地址寫(xiě)到無(wú)線網(wǎng)卡中，從而偽裝一個(gè)有效地址，越過(guò)訪問(wèn)控制。

⑤數(shù)據(jù)傳輸問(wèn)題：一是靜態(tài)WEP密鑰的安全缺陷，二是訪問(wèn)控制機(jī)制的安全缺陷。

2.2 全防護(hù)措施

對(duì)WLAN存在的安全性隱患，研究相應(yīng)的改進(jìn)措施，對(duì) WLAN技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。

①升級(jí)Wi-Fi加密

Aruba Network公司戰(zhàn)略營(yíng)銷主管Michael Tennefoss說(shuō)：“Wi-Fi將會(huì)使用基于身份的安全，在Wi-Fi網(wǎng)絡(luò)中，安全策略與用戶關(guān)聯(lián)，而不是與端口關(guān)聯(lián)的，這樣的好處是用戶可以在家，辦公場(chǎng)所，酒店，分支機(jī)構(gòu)和公共場(chǎng)所移動(dòng)，安全性不會(huì)受到影響”。我們應(yīng)選擇更加先進(jìn)的WPA2加密技術(shù)。

②修改SSID

通常每個(gè)無(wú)線網(wǎng)絡(luò)都有一個(gè)服務(wù)區(qū)標(biāo)識(shí)符（SSID），無(wú)線客戶端加入該網(wǎng)絡(luò)的時(shí)候需要有一個(gè)相同的SSID，否則將被“拒之門(mén)外”。通常路由器/中繼器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的相同的SSID。如果一個(gè)網(wǎng)絡(luò)，不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話，任何無(wú)線客戶端都可以進(jìn)入該網(wǎng)絡(luò)，這就方便了黑客入侵網(wǎng)絡(luò)。通過(guò)對(duì)多個(gè)無(wú)線接入點(diǎn)AP設(shè)置不同的SSID，并要求無(wú)線工作站出示正確的SSID才能訪問(wèn)AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問(wèn)的權(quán)限進(jìn)行區(qū)別限制。

③隱藏SSID

SSID技術(shù)可以將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證，只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)。無(wú)線路由器一般都會(huì)提供“允許SSID廣播”功能，如果不想讓自己的無(wú)線網(wǎng)絡(luò)被別人通過(guò)SSID名稱搜索到，出于安全考慮最好“禁止SSID廣播”，你的無(wú)線網(wǎng)絡(luò)仍可使用，只是不會(huì)出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。

④MAC地址過(guò)濾

無(wú)線MAC地址過(guò)濾功能是通過(guò)MAC地址允許或拒絕無(wú)線網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)廣域網(wǎng)，有效控制無(wú)線網(wǎng)絡(luò)內(nèi)用戶的上網(wǎng)權(quán)限?；旧厦恳粋€(gè)網(wǎng)絡(luò)接點(diǎn)設(shè)備都有一個(gè)獨(dú)一無(wú)二的標(biāo)識(shí)稱之為物理地址或MAC地址，無(wú)線網(wǎng)絡(luò)設(shè)備也不例外。所有路由器/中繼器等路由設(shè)備都會(huì)跟蹤所有經(jīng)過(guò)他們的數(shù)據(jù)包源MAC地址，因此可以通過(guò)手工的方式在AP中設(shè)置一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。

⑤VPN技術(shù)

VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，是在現(xiàn)有的網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN技術(shù)通過(guò)三級(jí)安全保障：用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全性保證[9]。用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無(wú)線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽(tīng)到傳輸信號(hào)，沒(méi)有充足的時(shí)間和精力也不能將這些信息解密。數(shù)據(jù)認(rèn)證確保在無(wú)線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來(lái)自已經(jīng)得到認(rèn)證的設(shè)備。

⑥防止非法AP接入

無(wú)線局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單的特性，增加了無(wú)線局域網(wǎng)管理的難度，任何人都可以通過(guò)自己購(gòu)買的AP,不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò)，因此給無(wú)線局域網(wǎng)帶來(lái)很大的安全隱患。（1）通過(guò)入侵檢測(cè)系統(tǒng)防止非法AP接入，可以分為查找非法AP和消除非法AP。（2）通過(guò)檢測(cè)設(shè)備防止非法AP的接入。

⑦布置防火墻

防火墻的布置在局域網(wǎng)和外網(wǎng)的交界處，用來(lái)阻止來(lái)自外部網(wǎng)絡(luò)的入侵，用于保障內(nèi)部網(wǎng)絡(luò)安全。僅僅依靠單一層次安全措施并不足以抗拒所有的安全風(fēng)險(xiǎn)，增加安全策略將有效的防止間諜軟件和惡意軟件的侵襲。兩個(gè)重要的安全層次就是路由器防火墻和PC防火墻。保證激活內(nèi)置防火墻，與內(nèi)置的禁止匿名訪問(wèn)網(wǎng)絡(luò)機(jī)制使用效果很好。這一步將會(huì)幫助你在網(wǎng)絡(luò)上隱身，這樣就會(huì)保護(hù)你的網(wǎng)絡(luò)。

結(jié)語(yǔ)

現(xiàn)如今，無(wú)線網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得無(wú)線網(wǎng)絡(luò)必定會(huì)成為將來(lái)網(wǎng)絡(luò)發(fā)展的一大趨勢(shì)，正因如此，無(wú)線網(wǎng)絡(luò)面臨著更大的安全威脅。在無(wú)線局域網(wǎng)的未來(lái)發(fā)展中，安全問(wèn)題仍將是一個(gè)最重要、迫切需要解決的問(wèn)題，但這并不能限制無(wú)線局域網(wǎng)的迅猛發(fā)展，未來(lái)的無(wú)線網(wǎng)絡(luò)安全將面臨著更大的挑戰(zhàn)和機(jī)遇。盡管現(xiàn)在用于網(wǎng)絡(luò)安全的產(chǎn)品有很多，但是仍然有很多黑客的非法入侵。我們要根據(jù)不同的安全需要，對(duì)無(wú)線網(wǎng)絡(luò)的特性和結(jié)構(gòu)進(jìn)行透徹的分析，在不同的層面采取恰當(dāng)?shù)拇胧?，將黑客入侵的可能降至最小，從而保護(hù)無(wú)線網(wǎng)絡(luò)信息安全。隨著技術(shù)的成熟和無(wú)線網(wǎng)絡(luò)應(yīng)用商業(yè)化進(jìn)程的加快，研究者需對(duì)無(wú)線局域網(wǎng)安全投入更多的關(guān)注，并加強(qiáng)管理，為用戶提供速率更快、安全性更高的無(wú)線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)。在不久的將來(lái)，我們相信無(wú)線設(shè)備將更加安全，加密技術(shù)會(huì)更加強(qiáng)大，我們會(huì)建立更加完善的網(wǎng)絡(luò)環(huán)境。

[1]Alexander,Bruce E.802.11 wireless network site surveying and installation,Bruce E. Alexander.[M]Indianapolis,Ind.Cisco Press,c2005.

[2]Mauler，Thomas.A field guide to wireless LANs：for administrators and powerUs ers/Thomas Mauler.[M]，Upper Saddle Rive r，NJ：Prentice Hall.2004.

[3][美]JimGeier著，王群等譯.無(wú)線局域網(wǎng)[M].人民郵電出版社，2008：48-186.

[4]王茂才.無(wú)線局域網(wǎng)的安全性研究[J].計(jì)算機(jī)應(yīng)用研究，2007（01）：31-32.

[5]馬曉艷，韓忠東，馬華，孫靜.無(wú)線局域網(wǎng)安全檢測(cè)系統(tǒng)研究[J].中國(guó)科技信息，2008（01）.