鐘文基　董英

摘要：隨著移動(dòng)互聯(lián)技術(shù)的興起，無線網(wǎng)絡(luò)以其靈活性強(qiáng)、可擴(kuò)展性好等優(yōu)勢(shì)得到了快速的發(fā)展。但由于無線網(wǎng)絡(luò)選擇了通過特定的無線電波來傳送，開放性強(qiáng)，使其比有線網(wǎng)絡(luò)更容易入侵。該文圍繞無線網(wǎng)絡(luò)面臨的安全問題和防護(hù)措施進(jìn)行了簡(jiǎn)單探討。

關(guān)鍵詞：無線網(wǎng)絡(luò)；威脅；防范

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）14-0052-01

無線網(wǎng)絡(luò)技術(shù)是新時(shí)代計(jì)算機(jī)通訊技術(shù)發(fā)展的趨勢(shì)，擺脫了傳統(tǒng)有線網(wǎng)絡(luò)傳輸?shù)氖`，極大的方便了人們的生活。無線局域網(wǎng)的覆蓋范圍從幾米到幾百米，在這樣的范圍內(nèi)，無線終端可以自由移動(dòng)，非常適合于移動(dòng)性低的應(yīng)用環(huán)境，并且無線局域網(wǎng)成本低速度快，迅速的成為了無線移動(dòng)互聯(lián)技術(shù)的主流。然而，由于無線局域網(wǎng)開放性強(qiáng)，數(shù)據(jù)傳播范圍很難控制，存在著很多安全隱患，無形中威脅著使用者的財(cái)產(chǎn)安全，需要管理者加以重視。

1無線網(wǎng)絡(luò)潛在的安全問題

在計(jì)算機(jī)網(wǎng)絡(luò)中，無線網(wǎng)絡(luò)的傳輸采用空間電磁波實(shí)現(xiàn)了數(shù)據(jù)的通信，傳輸?shù)妮d體不再是網(wǎng)線和光纖，而是電磁波信號(hào)，電磁波穿透能力很強(qiáng)，能穿過墻體、玻璃、樓板等物體，使得無線用戶終端在較遠(yuǎn)距離也能接受到無線信號(hào)，實(shí)現(xiàn)移動(dòng)通信。當(dāng)然，也帶來了安全的隱患，黑客能借助無線網(wǎng)絡(luò)接收到通信的數(shù)據(jù)信號(hào)，容易對(duì)數(shù)據(jù)進(jìn)行干擾或竊聽，給網(wǎng)絡(luò)安全帶來隱患和威脅。

無線局域網(wǎng)所面臨的安全威脅主要有：

1）無線網(wǎng)絡(luò)密碼破解

互聯(lián)網(wǎng)中，有很多無線網(wǎng)絡(luò)密碼破解軟件，通過抓取用戶的無線區(qū)域內(nèi)的數(shù)據(jù)包，就可以進(jìn)行密碼的破解。例如：BT3里自帶的spoonwep2可以輕松地對(duì)WEP加密的無線路由密碼進(jìn)行破解。對(duì)于WPA2方式進(jìn)行加密的無線網(wǎng)絡(luò)，只要抓取到足夠的“握手包”和“信息包”，也可以通過Linux下安裝無線密碼破解軟件minidwep-gtk，利用詞典的方式進(jìn)行猜解。

2）數(shù)據(jù)嗅探

網(wǎng)絡(luò)中明文傳送的數(shù)據(jù)，都有可能被黑客進(jìn)行嗅探，并還原出通信內(nèi)容。在無線網(wǎng)絡(luò)中，無線路由器、無線接人點(diǎn)信號(hào)覆蓋范圍內(nèi)，傳輸?shù)臄?shù)據(jù)有可能被黑客監(jiān)聽和篡改，數(shù)據(jù)安全很難保障。

3）網(wǎng)卡物理地址欺騙

對(duì)于設(shè)置了網(wǎng)卡物理地址過濾的無線路由器，黑客通過修改計(jì)算機(jī)無線網(wǎng)卡的物理地址，偽裝成合法用戶進(jìn)入網(wǎng)絡(luò)。

4）無線網(wǎng)絡(luò)釣魚攻擊

無線網(wǎng)絡(luò)釣魚是有線釣魚的延伸，通過偽造用戶經(jīng)常訪問的網(wǎng)站，截取DNS請(qǐng)求使其訪問虛假網(wǎng)站，獲取用戶各種上網(wǎng)信息與數(shù)據(jù)。

2無線安全防護(hù)方法

1）隱藏?zé)o線SSID。SSID是無線網(wǎng)絡(luò)的標(biāo)識(shí)，通過隱藏設(shè)備的SSID，這樣能夠減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能性，增加探測(cè)難度。

21使用WPA/WPA2方式進(jìn)行加密并設(shè)置復(fù)雜的密碼，傳統(tǒng)的WEP加密方式容易被攻擊者通過監(jiān)聽一次成功的認(rèn)證，就可以猜解出WEP的密鑰，非常的不安全。WPA/WPA2使用的是強(qiáng)壯的加密算法，使得無線局域網(wǎng)的安全程度大大提高。

3）設(shè)置復(fù)雜的密碼并定期更換密碼，設(shè)置字母、數(shù)字、符號(hào)的復(fù)雜密碼，增加破解的難度，且密碼需要定期更好，因?yàn)殡S著時(shí)間的發(fā)展，一個(gè)從不更換密鑰的無線網(wǎng)絡(luò)安全性會(huì)大打折扣，定期更換無線的秘鑰可以提高安全性。

4）設(shè)置網(wǎng)卡MAC地址過濾，由于每個(gè)網(wǎng)卡物理地址（MAC）都是不相同且全球唯一，通過把受信任的主機(jī)網(wǎng)卡物理地址添加進(jìn)來，只有得到授權(quán)的計(jì)算機(jī)才能訪問無線網(wǎng)絡(luò)。網(wǎng)卡物理地址過濾簡(jiǎn)化了訪問控制，接受或拒絕預(yù)先設(shè)定的用戶，被過濾了的計(jì)算機(jī)物理地址不能進(jìn)行訪問，提供了2層的防護(hù)功能。

5）采用Hotspot或Public WLAN，通過采用Web認(rèn)證和AP無線客戶二層隔離的安全措施，一定程度上加強(qiáng)了安全防護(hù)。

3不同類型用戶的無線安全方案

不同類型的用戶，網(wǎng)絡(luò)功能特點(diǎn)不同，對(duì)無線安全的要求不盡相同，防護(hù)的技術(shù)手段也不一致。本文針對(duì)不同類型的用戶，簡(jiǎn)單進(jìn)行介紹：

1）SOHO、個(gè)人和家庭用戶

SOHO、個(gè)人和家庭用戶，無線終端少，訪問量不大，可采用WPA-PSK/WPA2-PSK方式進(jìn)行密碼加密、網(wǎng)卡物理地址過濾，隱藏?zé)o線SSID等方法進(jìn)行簡(jiǎn)單防護(hù)。

2）企業(yè)用戶

企業(yè)用戶處理采用包括網(wǎng)卡物理地址過濾，隱藏?zé)o線SSID，采用WPA/WPA2方式進(jìn)行加密，MAC地址過濾，VPN協(xié)議等，也可以采用網(wǎng)頁熱點(diǎn)認(rèn)證和無線客戶二層隔離的安全措施。在企業(yè)的辦公區(qū)域，有著各個(gè)部門，如研發(fā)部、工程部、市場(chǎng)部、財(cái)務(wù)部等等。這是支撐整個(gè)企業(yè)業(yè)務(wù)發(fā)展的重要部門，但是各個(gè)部門間的工作不一樣，各部門都有各自的保密文檔，所以在無線網(wǎng)絡(luò)上需要設(shè)定不同的SSID來劃分不同的VLAN，使得各個(gè)部門都再同一個(gè)VLAN下工作，又不影響登陸外網(wǎng)的需求。

3）政府機(jī)關(guān)

政府機(jī)關(guān)單位不僅需要處理大量的辦公信息，同時(shí)還提供日常公眾服務(wù)，作為國(guó)家職能機(jī)構(gòu)，對(duì)于信息安全還有較高的要求。故此，進(jìn)行政府機(jī)關(guān)單位無線網(wǎng)絡(luò)規(guī)劃的時(shí)候，不僅要考慮滿足內(nèi)部辦公、公眾開放，還需要考慮權(quán)限管控、安全策略等更深層次的問題。保證辦公帶寬，內(nèi)外網(wǎng)隔離，有效的權(quán)限管控，健全的安全防護(hù)體系，管理、維護(hù)簡(jiǎn)便?？梢造`活為辦公人員、訪客來賓及公眾市民等設(shè)置不同的接入認(rèn)證方式，以滿足不同身份群組、使用人群的需求。如針對(duì)內(nèi)部辦公人員可使用802.1X、CA證書認(rèn)證等高級(jí)認(rèn)證方式，正對(duì)來訪及公眾可采用短信認(rèn)證、微信認(rèn)證等，且通過進(jìn)行賬號(hào)與MAC地址綁定，支持用戶分組、辦公網(wǎng)和訪客網(wǎng)隔離，保障內(nèi)網(wǎng)信息安全。對(duì)用戶的上網(wǎng)行為進(jìn)行管控和審計(jì)，遏制非法訪問，記錄上網(wǎng)行為。

總的來說，無線網(wǎng)絡(luò)安全的防護(hù)并不是絕對(duì)可靠的，需要根據(jù)不同用戶的特點(diǎn)，選擇適合的安全防范手段，通過制度的保障和技術(shù)上的不斷加強(qiáng)才能構(gòu)建安全的無線網(wǎng)絡(luò)環(huán)境。