韋毓淵

身份證號：450122198205281576

淺析無線局域網(wǎng)的安全威脅及安全機(jī)制

韋毓淵

身份證號：450122198205281576

本文分析了無線局域網(wǎng)面臨的安全威脅和基本的安全機(jī)機(jī)制以提高網(wǎng)絡(luò)安全性。

WLAN無線局域網(wǎng)；安全威脅；安全機(jī)制

一、引言

在當(dāng)前時代，網(wǎng)絡(luò)不知不覺成為每個人生活當(dāng)中不可或缺的一部分，網(wǎng)絡(luò)已經(jīng)與我們的生活產(chǎn)生了越來越緊密的聯(lián)系。.隨著信息技術(shù)的發(fā)展，人們對網(wǎng)絡(luò)通信的需求也隨之提高，也希望打破不同地域或者其他條件的制約，可與各地的人都能進(jìn)行網(wǎng)絡(luò)通信。以往網(wǎng)絡(luò)的通信方式還是以有線的方式來實現(xiàn)通信，而有線的方式已經(jīng)無法滿足人們的需求了。WLAN也就成為了有線網(wǎng)絡(luò)的延伸。隨之無線網(wǎng)絡(luò)技術(shù)發(fā)展起來并飛速發(fā)展及快速商業(yè)化普及，WLAN采用無線電波傳輸，具有移動性好，架設(shè)和維護(hù)容易等特點(diǎn)，還能支持移動計算，WLAN越來越成為企業(yè)網(wǎng)絡(luò)的重要組成部分。WLAN傳遞信息不依賴于物理布線，這樣無疑給企業(yè)用戶帶來極大的方便，但同時WLAN采用的是無線電波傳輸信號，無線電波在空氣中容易受自然天氣、建筑物、其他電波的等周圍環(huán)境的影響都可以導(dǎo)致無線網(wǎng)絡(luò)信號中斷衰減而影響到無線網(wǎng)絡(luò)的穩(wěn)定性和安全性，這就使得無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)面臨更多的安全隱患和威脅。因此，如何建立一個穩(wěn)定，安全的無線網(wǎng)絡(luò)是企業(yè)信息部門都要面臨的問題。

二、無線網(wǎng)絡(luò)所面臨的安全威脅

由于WLAN采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權(quán)存取和竊聽的行為也就不容易防備，無線網(wǎng)絡(luò)有以下幾種安全威脅。

1、無線信號的竊聽

由于WLAN使用2.4G或5.8G范圍的無線電波進(jìn)行網(wǎng)絡(luò)的通信。無線電信號可能傳播到辦公室外面，任何人都可以用一臺帶無線無線網(wǎng)卡的PC或者無線掃描器進(jìn)行竊聽，可以監(jiān)聽整個網(wǎng)絡(luò)的通訊，可以通過一些網(wǎng)絡(luò)工具如是Airopeek 和TCPDump來監(jiān)聽和分析通信量，從而可能識別出可以破解的信息。

2、信息篡改

信息篡改是指攻擊者將竊聽到的信息進(jìn)行修改之后再將信息傳給原本的接收者。其目的有兩種：惡意破壞合法用戶的通信信息，阻止合法用戶建立通信鏈接：將修改的信息傳給接收者，企圖欺騙接收者相信修改后的信息。

3、電磁波的互相干擾和抑制

由于無線網(wǎng)絡(luò)采用公共的電磁波作為載體，有兩個電磁波形有交集的時候，才會形成干擾。這兩個電磁波形之間一般是頻率較為接近，或者是倍頻關(guān)系。攻擊者采用這些原理有意的去制造電磁輻射，用足夠功率的無線電收發(fā)器，就能容易的產(chǎn)生無線干擾信號，干擾無線網(wǎng)絡(luò)其會使網(wǎng)絡(luò)癱瘓或者性能下降，使得無線網(wǎng)絡(luò)無法正常使用。另外一些設(shè)備產(chǎn)品的電磁輻射也會對無線信號有干擾，如辦公室的微波爐。還有一些噪聲或者其他形式的干擾也可阻礙節(jié)點(diǎn)之間的信號接收，就會導(dǎo)致整個無線網(wǎng)絡(luò)不能正常使用甚至?xí)拐麄€網(wǎng)絡(luò)傳輸癱瘓。干擾導(dǎo)致無線傳輸信號的誤碼率升高，導(dǎo)致網(wǎng)絡(luò)傳輸速率降低。所傳輸?shù)男畔⒅匦掳l(fā)送在地方無線AP節(jié)點(diǎn)之間的通信可能全部終止

三、無線局域網(wǎng)的安全機(jī)制

從無線局域網(wǎng)的協(xié)議、規(guī)格特點(diǎn)入手，從不同角度分析和考慮，構(gòu)建具有較高安全保障的WLAN框架結(jié)構(gòu)，提高無線局域網(wǎng)的安全性，是無線局域網(wǎng)應(yīng)用中至關(guān)重要的工作。目前成熟并得到廣泛應(yīng)用的采用無線擴(kuò)頻技術(shù)的WLAN，其技術(shù)規(guī)范由IEEE802.11協(xié)議描述，以保障WLAN的數(shù)據(jù)傳輸安全。

1、無線網(wǎng)絡(luò)網(wǎng)卡的物理地址過濾(MAC)

每個無線用戶終端都是通過其無線網(wǎng)卡與AP通信的，而這無線網(wǎng)卡上的MAC唯一的物理地址標(biāo)識。在無線AP內(nèi)部都有一張MAC地址表，只有在表里面的MAC才是合法的可以連接的無線網(wǎng)卡，不在表里面的會被拒絕連接，這樣我們就可以在無線網(wǎng)卡所連的無線AP上通過設(shè)定MAC地址表來控制無線用戶的接入，MAC地址控制可以有效地防止未經(jīng)過授權(quán)的用戶接入無線網(wǎng)絡(luò)。MAC地址控制是目前WLAN最基本的安全訪問控制方式。

2、服務(wù)區(qū)標(biāo)識符的匹配(SSID)

服務(wù)集標(biāo)識符SSID，也稱業(yè)務(wù)組標(biāo)識符，這是人們最早使用的一種WLAN安全認(rèn)證方式，它是一個WLAN的標(biāo)識碼，無線工作站只有具有相應(yīng)服務(wù)區(qū)域的認(rèn)證ID接入WLAN進(jìn)行訪問。在WLAN中需對一個或者多個無線AP設(shè)置一個SSID，這樣對網(wǎng)絡(luò)的訪問控制就可以通過SSID來實現(xiàn)。嚴(yán)格來說，SSID不屬于安全機(jī)制，只不過可以用它作為一種實現(xiàn)訪問控制的手段。但是有個缺點(diǎn)就是無線訪問點(diǎn)的SSID是通過廣播出來，只要在其覆蓋范圍內(nèi)的無線客戶端都能獲得SSID，任何一個無線客戶都可以通過搜索SSID搜索到。

3、有線等同保密(WEP)

由于無線傳輸比有線傳輸更容易被截獲，于是IEEE802.11標(biāo)準(zhǔn)便制定了一套安全協(xié)議WEP以完成客戶端和無線訪問點(diǎn)的加密傳輸。WEB使用對稱加密算法RC4，在加密和解密端均采用40比特的加密密鑰以及還可以使用104比特的加密密鑰，而且兩把密鑰必須相同。這把密鑰被輸入到每一個客戶端以及存取點(diǎn)中，所有的數(shù)據(jù)傳輸都使用這把密鑰來進(jìn)行加密和解密。WLAN中的無線終端使用相同的密鑰訪問WLAN，WEP也提供認(rèn)證功能。

4、端口訪問控制技術(shù)

這技術(shù)是用于WLAN的一種增強(qiáng)型網(wǎng)絡(luò)安全解決方案，它由三個部分組成：客戶端，認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。當(dāng)無線客戶端與無線AP連接時，客戶端會發(fā)起802.1X的認(rèn)證?？蛻舳耸欠衲苓B接上AP取決于認(rèn)證的結(jié)果。當(dāng)用戶認(rèn)證了，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，AP為無線客戶端打開邏輯接口，允許用戶接入無線。如果用戶未認(rèn)證，認(rèn)證系統(tǒng)收到不認(rèn)證信息，無線AP也就不會為無線客戶端打開邏輯接口，用戶也就無法接入無線。這就達(dá)到了端口訪問控制的目的。

5、通過VPN虛擬專用網(wǎng)絡(luò)技術(shù)

VPN是現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的加密的網(wǎng)絡(luò)，它主要采用了4項安全保障技術(shù)來保證網(wǎng)絡(luò)安全，這4項技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、身份誰技術(shù)。VPN中的IPSEC 協(xié)議是目前通信網(wǎng)中最完整的一種網(wǎng)絡(luò)安全技術(shù)，利用它建立起來的隧道具有更好的安全性和可靠性，在WLAN中，無線客戶端需要啟用IPSEC，并在客戶端和一個VLAN集中器之間建立IPSEC傳輸模式的隧道。

四、結(jié)束語

隨著技術(shù)的發(fā)展，WLAN的安全機(jī)制已經(jīng)日漸成熟，安全技術(shù)的不斷完善，合理的組合和應(yīng)用安全機(jī)制，人們也可以享受到無線網(wǎng)絡(luò)帶來的方便和便捷。

[1]唐雄燕，李建宇等編著 寬帶無線接入技術(shù)及應(yīng)用 北京：電子工業(yè)出版社，2006

[2]曹秀英，耿嘉.沈平等編著，無線局域網(wǎng)安全系統(tǒng) 北京：電子工業(yè)出版社。2004