郝國良

摘要：無線局域網(wǎng)在應(yīng)用過程中，自身及外部攻擊都存在多種程度安全問題，解決他們就要分析無線局域網(wǎng)自身所存在的安全弱點(diǎn)及各種非法入侵手段，而我們在建造一個無線網(wǎng)絡(luò)的同時除了避開各種問題以外還需要構(gòu)造安全的策略體系。

關(guān)鍵詞：WLAN；入侵；AP；網(wǎng)絡(luò)安全WLAN,又稱無線局域網(wǎng)。是通過射頻技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)傳輸，它比傳統(tǒng)局域網(wǎng)更加方便，靈活，并可實(shí)現(xiàn)在其覆蓋范圍內(nèi)的漫游服務(wù)，有著傳統(tǒng)局域網(wǎng)無法比擬的優(yōu)勢。但隨著WLAN的普及，其安全性也需要關(guān)注。

無線網(wǎng)絡(luò)在網(wǎng)絡(luò)安全上存在很大程度的威脅，像非法訪問、網(wǎng)絡(luò)病毒、惡意攻擊等，又因?yàn)闊o線網(wǎng)絡(luò)的傳輸方式與有線網(wǎng)絡(luò)有很大區(qū)別，所以無線網(wǎng)絡(luò)存在更多安全風(fēng)險(xiǎn)。無線網(wǎng)絡(luò)自身就存在安全弱點(diǎn)，首先，無線網(wǎng)絡(luò)中存在多個無線訪問接入設(shè)備AP，它們覆蓋的范圍形成了通向網(wǎng)絡(luò)的一個新入口，無線網(wǎng)絡(luò)的這個入口管理起來比較麻煩，所以一般對此入口的安全不采取任何措施，這樣入侵者經(jīng)常會利用AP進(jìn)行無線網(wǎng)絡(luò)的非法攻入，進(jìn)行病毒的傳播或是盜取網(wǎng)絡(luò)中的重要信息，或與企業(yè)員工勾結(jié)竊取企業(yè)機(jī)密，甚至把當(dāng)前網(wǎng)絡(luò)作為跳板等。其次，WLAN是利用微波原理在空氣中進(jìn)行輻射傳播，我們無法控制其網(wǎng)絡(luò)覆蓋的范圍，在它所覆蓋的區(qū)域內(nèi)，任何人都可以對其移動終端進(jìn)行攻擊、竊取數(shù)據(jù)。第三，WLAN的帶寬容量較低，也經(jīng)常遭到帶寬消耗性拒絕服務(wù)攻擊。第四，雖然WLAN采用了WEP加密協(xié)議，并在數(shù)據(jù)鏈路進(jìn)行RC4對稱加密，但其是對客戶機(jī)進(jìn)行單向認(rèn)證，利用開放式系統(tǒng)認(rèn)證與共享式密鑰認(rèn)證算法，安全度低，認(rèn)證簡單，很容易被入侵者破解，并截獲數(shù)據(jù)，達(dá)到竊取手段。第五，一般WLAN都是通過SSID服務(wù)集標(biāo)識符作為憑證接入AP，經(jīng)常用WLAN子系統(tǒng)中設(shè)備的網(wǎng)絡(luò)名做簡單的口令來分割子網(wǎng)，所以該口令安全級別很低，而且SSID采用廣播形式由AP向外進(jìn)行發(fā)送，很容易盜取。

除了WLAN存在的自身安全缺陷以外，多種入侵也經(jīng)常對其進(jìn)行攻擊。其中，拒絕服務(wù)攻擊通過結(jié)合其他入侵方式對WLAN具有強(qiáng)大的破壞性，它利用無線局域網(wǎng)的帶寬及認(rèn)證方式的缺點(diǎn)對WLAN進(jìn)行頻率干擾，使帶寬消耗和安全服務(wù)設(shè)備的資源耗盡，通過其非法連入AP，向網(wǎng)內(nèi)發(fā)送中止命令，導(dǎo)致網(wǎng)內(nèi)多數(shù)計(jì)算機(jī)斷網(wǎng)。而中間人攻擊，也對WLAN構(gòu)成威脅，采用對客戶端及AP進(jìn)行欺騙，從而盜取網(wǎng)內(nèi)信息。在WLAN中，通過檢查包中未加密的IP地址和網(wǎng)絡(luò)信息流，可以分析出通信雙方的發(fā)送接收內(nèi)容，并且檢查SSL加密的網(wǎng)站的URL請求的信息，可以獲取網(wǎng)絡(luò)中服務(wù)器信息及服務(wù)器返回的網(wǎng)頁數(shù)據(jù)長度，從而達(dá)到獲取信息的目的。另一種攻擊方法是可以通過截取客戶端及AP的驗(yàn)證信息，從而對驗(yàn)證信息的重放達(dá)到非法入侵AP的目的，即使在傳送信息過程中使用VPN技術(shù)也無法防止。最后身份假冒技術(shù)也可以攻擊無線局域網(wǎng)，它采用假冒客戶端及AP的身份，進(jìn)行入侵從而獲取信息，黑客也可以通過竊取合法用戶的MAC地址，之后將本身的MAC地址設(shè)置成與合法用戶相同的MAC地址，從而取得信任冒充合法用戶連接到AP。通過以上種種入侵方式，說明WLAN的安全正面臨種種威脅，當(dāng)然無線局域網(wǎng)也可以變得很安全。

當(dāng)我們?yōu)槠髽I(yè)設(shè)計(jì)WLAN的時候，應(yīng)該把安全問題放在首位，根據(jù)網(wǎng)絡(luò)使用的具體情況、主要用途及涉及的傳輸數(shù)據(jù)和設(shè)備，規(guī)劃好授權(quán)用戶的權(quán)限及AP的物理位置等，應(yīng)該盡量做到控制無線局域網(wǎng)信號輻射的合理范圍，在AP與企業(yè)內(nèi)部網(wǎng)之間用防火墻隔開，降低內(nèi)部網(wǎng)絡(luò)受WLAN安全問題的風(fēng)險(xiǎn)。我們可以從多方面對無線局域網(wǎng)進(jìn)行相關(guān)的設(shè)置。首先，可以通過TKIP協(xié)議來更換WLAN自身的WEP加密協(xié)議，WEP協(xié)議認(rèn)證簡單，易于偽造，所以通過安裝TKIP協(xié)議可以大大提高其安全性能，并且花費(fèi)相對低廉，同時在WLAN中建立虛擬專用網(wǎng)技術(shù)，支持端到端的SSH安全遂道連接。另外，我們還應(yīng)該使用訪問控制列表來對MAC地址進(jìn)行管理，確保在無線局域網(wǎng)中使用的設(shè)備都是經(jīng)過注冊。AP設(shè)備出廠時的口令極其簡單，也需要重新設(shè)置，而作為接入AP的SSID憑證，也需要及時更改，盡量做到AP對SSID不廣播，及時安裝入侵檢測系統(tǒng)對網(wǎng)絡(luò)實(shí)時監(jiān)控，嚴(yán)控非法入侵的假冒用戶進(jìn)入WLAN，降低入侵風(fēng)險(xiǎn)。在組建無線局域網(wǎng)的同時，硬件設(shè)備的安全也至關(guān)重要，盡量選擇密鑰長、安全級別高的連接設(shè)備，提高網(wǎng)絡(luò)的安全性能。

組建一個安全可靠的無線局域網(wǎng)絡(luò)，應(yīng)多方面全方位的考慮，對其所應(yīng)用的網(wǎng)絡(luò)協(xié)議WEP，SSID及MAC地址應(yīng)該放在重點(diǎn)位置，并且將安全策略，軟硬件資源有機(jī)的結(jié)合起來形成其有效的安全體系。在WLAN中劃分VLAN，可以有效的防止局域網(wǎng)內(nèi)部的廣播風(fēng)暴，而這種對點(diǎn)對式的通信方法可以防止網(wǎng)絡(luò)偵聽等行為，在WLAN中采用動態(tài)鏈接技術(shù)，可以動態(tài)分配密鑰，對每次的會話都會自動產(chǎn)生一個密鑰，而這種加密技術(shù)采用128位加密，運(yùn)用動態(tài)安全鏈路技術(shù)，需要在AP中建立一個用戶訪問列表，并在客戶端需要使用ID及密碼的認(rèn)證才可以連接網(wǎng)絡(luò)進(jìn)行訪問。安裝入侵檢測系統(tǒng)可以大大提高安全性能，入侵檢測系統(tǒng)對中間人攻擊、非法接入AP等情況進(jìn)行分析判斷，并及時告知網(wǎng)絡(luò)管理員阻止入侵傷害。而在無線局域網(wǎng)中，端口訪問控制技術(shù)也是一種增強(qiáng)網(wǎng)絡(luò)安全的解決方法，對遠(yuǎn)程用戶撥號認(rèn)證服務(wù)及集中式用戶簽名技術(shù)的支持，可以實(shí)現(xiàn)驗(yàn)證和記賬的網(wǎng)絡(luò)認(rèn)證登陸服務(wù)。如果用戶與AP取得關(guān)聯(lián)，要通過802.1X的認(rèn)證來換取AP服務(wù)，當(dāng)驗(yàn)證通過，AP則允許用戶打開端口聯(lián)入網(wǎng)絡(luò)，這種方式可能將IP地址與MAC地址同網(wǎng)絡(luò)端口進(jìn)行綁定，防止非法入侵。

無線網(wǎng)絡(luò)給我們帶來方便的同時，安全問題也不容小覷，安全的無線網(wǎng)絡(luò)應(yīng)該從各方面著手，盡量將入侵風(fēng)險(xiǎn)降到最低。

[參考文獻(xiàn)]

[1]鄧春紅.《網(wǎng)絡(luò)安全原理與實(shí)務(wù)》.北京理工大學(xué)，2011.