無(wú)線網(wǎng)絡(luò)安全問題及其防范措施

朱俊

（湖南常德職業(yè)技術(shù)學(xué)院現(xiàn)代教育技術(shù)中心 湖南常德415000）

1 引言

因特網(wǎng)是計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)發(fā)展的產(chǎn)物，現(xiàn)在已經(jīng)給人們的工作和生活帶來(lái)了深刻的變化；而無(wú)線網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。無(wú)線網(wǎng)絡(luò)是使用無(wú)線電波代替雙絞線、同軸電纜等設(shè)備來(lái)傳輸數(shù)據(jù)，省去了布線的麻煩，組網(wǎng)靈活，實(shí)現(xiàn)了網(wǎng)絡(luò)互聯(lián)的可移動(dòng)性，提高了用戶訪問信息的及時(shí)性、有效性和克服了受線纜限制而引起的不便性。因此，無(wú)線網(wǎng)絡(luò)從誕生至今，在我國(guó)發(fā)展非常迅速，正在深刻的改變著人們的各種觀念，改變著人們的傳統(tǒng)工作、學(xué)習(xí)和生活方式，越來(lái)越多的人們正在生活在無(wú)線網(wǎng)絡(luò)之中。但由于無(wú)線網(wǎng)絡(luò)應(yīng)用具有很大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線網(wǎng)絡(luò)將存在著嚴(yán)峻的安全問題。

2 無(wú)線網(wǎng)絡(luò)面臨的安全問題

無(wú)線網(wǎng)絡(luò)的信息，是在開放的空間通過電磁波全方位發(fā)射的，數(shù)據(jù)傳輸范圍很難控制，對(duì)于越權(quán)存取或竊聽的行為不太容易設(shè)防，只要在無(wú)線信號(hào)覆蓋范圍之內(nèi)，就有可能接收到無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔?。因此，無(wú)線網(wǎng)絡(luò)的安全問題歸納起來(lái)主要有如下幾方面：

2.1 攻擊者非法接入而導(dǎo)致的網(wǎng)絡(luò)安全問題

無(wú)線網(wǎng)絡(luò)的信息通過電磁波全方位傳輸，而電磁波能夠穿越各類建筑物。因此，在一個(gè)接入點(diǎn)AP所覆蓋的范圍內(nèi)，授權(quán)或非授權(quán)的客戶端都可以接收到無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔?，如果信息在傳輸過程中沒有強(qiáng)有力的安全措施，傳輸?shù)臄?shù)據(jù)很容易被攻擊者破壞、竊取、篡改。另外，無(wú)線網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)設(shè)備技術(shù)不完善，安全漏洞不能及時(shí)修補(bǔ)，給非法入侵者帶來(lái)了可乘之機(jī)，也是導(dǎo)致無(wú)線網(wǎng)絡(luò)安全問題的一個(gè)原因。

2.2 無(wú)線網(wǎng)絡(luò)的開放性而導(dǎo)致的網(wǎng)絡(luò)安全問題[4]

無(wú)線網(wǎng)絡(luò)的信息是在開放的空間通過電磁波全方位傳輸?shù)?，故無(wú)線網(wǎng)絡(luò)沒有明確的防御邊界，黑客可能從四面八方對(duì)每個(gè)接入點(diǎn)進(jìn)行直接或間接的攻擊。這種開放性給無(wú)線網(wǎng)絡(luò)帶來(lái)了非法信息截取、未授權(quán)信息服務(wù)等一系列的信息安全問題。

2.3 無(wú)線網(wǎng)絡(luò)終端移動(dòng)性而導(dǎo)致的網(wǎng)絡(luò)安全問題

無(wú)線網(wǎng)絡(luò)終端不僅可以在較大范圍內(nèi)移動(dòng)，而且還可以跨越區(qū)域漫游，這意味著移動(dòng)接點(diǎn)AP沒有足夠的物理防范，從而信息易被攻擊者竊聽、破壞、劫持，同時(shí)攻擊者還可能在任何位置通過設(shè)備實(shí)施攻擊。

2.4 無(wú)線網(wǎng)絡(luò)中主機(jī)存在的安全問題

無(wú)線網(wǎng)絡(luò)是用無(wú)線電技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的一類網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡(luò)上流行的病毒之外，還可能會(huì)出現(xiàn)專門針對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備的無(wú)線病毒，當(dāng)無(wú)線網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接之后，無(wú)線病毒的攻擊也會(huì)隨之加?。蝗绻到y(tǒng)軟件與網(wǎng)絡(luò)軟件的漏洞不能及時(shí)修補(bǔ)，給黑客帶來(lái)了可乘之機(jī)，也會(huì)導(dǎo)致主機(jī)的安全問題。

2.5 自然環(huán)境千變?nèi)f化而導(dǎo)致的網(wǎng)絡(luò)安全問題

由于無(wú)線網(wǎng)絡(luò)的信息是在空氣中按照通信協(xié)議傳送的，傳輸介質(zhì)、傳輸路徑，會(huì)隨時(shí)間而改變，同時(shí)電磁輻射、強(qiáng)磁場(chǎng)、強(qiáng)電場(chǎng)、氣候、高溫、濕度、風(fēng)災(zāi)、火災(zāi)、反射等都有損壞無(wú)線網(wǎng)絡(luò)中信息的可能。

3 無(wú)線網(wǎng)絡(luò)安全性防范措施

無(wú)線網(wǎng)絡(luò)誕生之日起，安全問題與其靈活方便的優(yōu)勢(shì)就一并共存，網(wǎng)絡(luò)安全問題的解決方法制約和影響著無(wú)線網(wǎng)絡(luò)的應(yīng)用和推廣。為了實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)中傳輸信息的安全性，必須做到如下幾點(diǎn)：

3.1 禁用SSID（服務(wù)集標(biāo)識(shí)符）廣播

SSID是無(wú)線網(wǎng)絡(luò)用于定位服務(wù)的，無(wú)線路由器一般都會(huì)提供"允許SSID廣播"功能，如果使用了這項(xiàng)功能，就暴露了無(wú)線路由器的位置，這會(huì)帶來(lái)潛在的安全問題。最好是通過手動(dòng)修改SSID，"禁用SSID廣播。"修改方法是：打開"我的電腦"，在地址欄中輸入自己所設(shè)IP地址 (一般為162.168.1.1或192.168.0.1），再輸入用戶名和密碼，打開"TP-LINK"窗口，單擊窗口左邊欄中"無(wú)線設(shè)置"，打開"無(wú)線網(wǎng)絡(luò)基本設(shè)置"窗口，如圖-1，單擊"?開啟SSID廣播"前面的復(fù)選框，取消復(fù)選框中的"√"，再單擊"保存"按鈕，最后重新啟動(dòng)，即達(dá)到"禁用SSID廣播"的目的。

圖1 無(wú)線網(wǎng)絡(luò)基本設(shè)置

3.2 無(wú)線MAC地址過濾

由于無(wú)線MAC地址的過濾功能，可以通過MAC地址允許或拒絕無(wú)線客戶端訪問本無(wú)線網(wǎng)絡(luò)，有效的控制非法客戶訪問權(quán)限，讓無(wú)線網(wǎng)絡(luò)獲得較高的安全性。例如只允許MAC地址為"01-22-26-B8-7E-17"的主機(jī)訪問本無(wú)線網(wǎng)絡(luò)，其他主機(jī)均不可訪問本無(wú)線網(wǎng)絡(luò)，其設(shè)置方法是：用3.1中的方法打開"TP-LINK"窗口，單擊左邊欄中"無(wú)線設(shè)置-無(wú)線MAC地址過濾"，打開"無(wú)線網(wǎng)絡(luò)MAC地址過濾設(shè)置"窗口，如圖-2，單擊過濾規(guī)則中"允許列表中生效的MAC地址訪問本無(wú)線網(wǎng)絡(luò)"前面的單選鈕，再單擊"添加新條目"，打開圖-3，在"MAC地址："欄中輸入允許訪問本無(wú)線網(wǎng)絡(luò)的主機(jī)MAC地址"01-22-26-B8-7E-17"，在"描述："欄中輸入"上述地址為王五的電腦"，單擊"保存"，即達(dá)到了MAC地址過濾的目的。

圖2 無(wú)線網(wǎng)絡(luò)MAC地址過濾設(shè)置

圖3 無(wú)線網(wǎng)絡(luò)MAC地址過濾設(shè)置

3.3 設(shè)置高級(jí)別用戶登錄密碼

無(wú)線網(wǎng)絡(luò)用戶的登錄密碼，是無(wú)線網(wǎng)絡(luò)安全系統(tǒng)的最外層防線，在登錄過程中，系統(tǒng)會(huì)檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入網(wǎng)絡(luò)系統(tǒng)。這種登錄密碼的級(jí)別要設(shè)置高一些，這種密碼不能和其他人共用，而且密碼最好經(jīng)常更改。

3.4 設(shè)好網(wǎng)絡(luò)資源訪問權(quán)限

網(wǎng)絡(luò)資源訪問主要包括文件、打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等這些網(wǎng)絡(luò)用戶都有可以使用的資源。訪問權(quán)限主要體現(xiàn)在用戶對(duì)網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源屬性和訪問權(quán)限可以有效地控制網(wǎng)絡(luò)系統(tǒng)的安全性。

3.5 無(wú)線網(wǎng)絡(luò)安全監(jiān)視[1]

無(wú)線網(wǎng)絡(luò)安全監(jiān)視的作用，主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件。如定位網(wǎng)絡(luò)故障點(diǎn)、捕捉IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。通過網(wǎng)絡(luò)監(jiān)視系統(tǒng)可以找出并解決網(wǎng)絡(luò)上的安全問題，

3.6 對(duì)傳輸?shù)臄?shù)據(jù)報(bào)文加密

由認(rèn)證服務(wù)器動(dòng)態(tài)生成密鑰來(lái)替代單個(gè)靜態(tài)密鑰，并把密鑰首部的長(zhǎng)度由原來(lái)的24位增加到128位，這樣增強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性，使用主密鑰為用戶產(chǎn)生一個(gè)唯一的數(shù)據(jù)密鑰，加密每一個(gè)無(wú)線通信數(shù)據(jù)報(bào)文。這樣，即使是非法用戶從無(wú)線網(wǎng)絡(luò)中竊取了數(shù)據(jù)報(bào)文也無(wú)法使用。

3.7 端口訪問認(rèn)證技術(shù)

端口訪問認(rèn)證技術(shù)，是用于無(wú)線局域網(wǎng)中的一種網(wǎng)絡(luò)安全防范措施。當(dāng)無(wú)線網(wǎng)絡(luò)客戶端與無(wú)線網(wǎng)絡(luò)接入點(diǎn)關(guān)聯(lián)后，是否可以利用接入點(diǎn)（AP）上網(wǎng)，這要取決于802.1x認(rèn)證結(jié)果。如果用戶輸入的密碼與接入點(diǎn)（AP）預(yù)先存入的密鑰吻合，證明是合法的用戶，認(rèn)證通過，接入點(diǎn)（AP）為用戶打開這個(gè)邏輯端口，用戶才擁有對(duì)網(wǎng)絡(luò)資源的訪問權(quán)，否則不允許用戶上網(wǎng)。

3.8 身份認(rèn)證技術(shù)[2]

身份認(rèn)證技術(shù)，是計(jì)算機(jī)用戶，在進(jìn)入系統(tǒng)或訪問不同級(jí)別的資源時(shí)，系統(tǒng)確認(rèn)用戶身份是否真實(shí)、合法的這一過程。通過身份認(rèn)證技術(shù)可以防止非法人員進(jìn)入系統(tǒng)，防止非法人員通過違法操作獲取不正當(dāng)利益；通過身份認(rèn)證技術(shù)可以防止訪問受控制信息、惡意破壞系統(tǒng)數(shù)據(jù)的完整性。目前身份認(rèn)真證主要有口令、磁卡、IC卡、智能令牌、指紋、密碼表等。

3.9 確保啟用了防火墻

防火墻是位于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通道，是網(wǎng)絡(luò)安全的第一道防線。它是由軟件或軟硬件設(shè)備結(jié)合的一種安全設(shè)備的總稱。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)交換的所有信息都要經(jīng)過防火墻這個(gè)通道，在通道內(nèi)過濾掉外部網(wǎng)絡(luò)的非法用戶、黑客的入侵攻擊行為，同時(shí)也可以阻止內(nèi)部網(wǎng)絡(luò)用戶非法向外部網(wǎng)絡(luò)傳遞信息。

3.10 正確使用無(wú)線入侵檢測(cè)系統(tǒng)

無(wú)線入侵檢測(cè)系統(tǒng)是一種動(dòng)態(tài)網(wǎng)絡(luò)安全防范措施，是網(wǎng)絡(luò)安全的第二道防線。設(shè)置在內(nèi)部網(wǎng)絡(luò)的邊界上，用來(lái)監(jiān)視、分析用戶的上網(wǎng)活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警，還能加強(qiáng)策略，檢測(cè)MAC地址欺騙，找出偽裝WAP的無(wú)線上網(wǎng)用戶。

3.11 安全掃描技術(shù)[2]

安全掃描技術(shù)分主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全解決方案。安全掃描技術(shù)與防火墻技術(shù)、入侵檢測(cè)技術(shù)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和網(wǎng)絡(luò)運(yùn)行的安全情況，發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)。及時(shí)解決網(wǎng)絡(luò)中存在的安全問題。

3.12 VPN（虛擬專用網(wǎng)）技術(shù)的應(yīng)用[3]

VPN（virtual private networks）技術(shù)是最近幾年發(fā)展起來(lái)的網(wǎng)絡(luò)新技術(shù)。VPN技術(shù)是指綜合運(yùn)用隧道技術(shù)、身份認(rèn)證技術(shù)、數(shù)據(jù)認(rèn)證技術(shù)、加密技術(shù)等構(gòu)建在公共網(wǎng)絡(luò)上的臨時(shí)、安全的專用網(wǎng)絡(luò)。使用VPN技術(shù)可以對(duì)無(wú)線網(wǎng)的安全性得到極大的提高，能夠有效地保護(hù)數(shù)據(jù)的完整性、有效性、可信性。目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用虛擬專用網(wǎng)（VPN）技術(shù)。

以上防范措施各有優(yōu)勢(shì)和不足之處，將多種防范措施綜合應(yīng)用，發(fā)揮各自的優(yōu)勢(shì)，才能為無(wú)線網(wǎng)絡(luò)提供充實(shí)、可靠的安全保障。

4 結(jié)束語(yǔ)

雖然無(wú)線網(wǎng)絡(luò)存在比有線網(wǎng)絡(luò)更多的安全問題，但最近幾年來(lái)，無(wú)線網(wǎng)絡(luò)在我國(guó)發(fā)展很快，正在深刻改變?nèi)藗兊母鞣N觀念，改變著人們傳統(tǒng)的工作、學(xué)習(xí)和生活方式，越來(lái)越多的人生活在無(wú)線網(wǎng)絡(luò)之中。在未來(lái)的幾年里，我國(guó)可望建成世界上最大的無(wú)線網(wǎng)絡(luò)，如何在這個(gè)巨大的無(wú)線網(wǎng)絡(luò)中構(gòu)造豐富多彩的安全應(yīng)用，這是當(dāng)今網(wǎng)絡(luò)技術(shù)人員和網(wǎng)絡(luò)使用人員的一個(gè)重要研究課題。它不僅僅是一個(gè)技術(shù)問題，也是一個(gè)安全管理問題，同時(shí)也是一個(gè)社會(huì)道德與法律法規(guī)問題。因此，要解決無(wú)線網(wǎng)絡(luò)的安全問題，我們必須采取技術(shù)與立法等多種手段進(jìn)行綜合治理。

[1]松柏,計(jì)算機(jī)網(wǎng)絡(luò)入門與提高[M],航空工業(yè)出版社,2005

[2]匡松,張思成,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)習(xí)寶典[M],中國(guó)鐵道出版社,2009

[3]馮博琴,陳文革主編,呂軍,程向前,李波編.計(jì)算機(jī)網(wǎng)絡(luò)簡(jiǎn)明教程[M]高等教育出版2009.

[4]仇芒仙.無(wú)線網(wǎng)絡(luò)的安全技術(shù)的探討.電腦開發(fā)與應(yīng)用[J].2008