龔偉

摘 要：無(wú)線網(wǎng)絡(luò)給網(wǎng)絡(luò)社會(huì)提供了許多便捷，但隨之而來(lái)的是新的安全威脅和風(fēng)險(xiǎn)。技術(shù)上可以解決應(yīng)對(duì)無(wú)線安全威脅和漏洞，但更需關(guān)注的是網(wǎng)絡(luò)的管理問(wèn)題。無(wú)線網(wǎng)絡(luò)的管理需要一個(gè)健全的風(fēng)險(xiǎn)評(píng)估環(huán)境和發(fā)展計(jì)劃。文章提出了一個(gè)框架，以幫助管理人員了解和評(píng)估無(wú)線技術(shù)使用中面臨的各種威脅，并提出了一些可用的應(yīng)對(duì)威脅的解決方案。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；安全；威脅

無(wú)線網(wǎng)絡(luò)有許多優(yōu)點(diǎn)，比如信息資源的便捷訪問(wèn)、工作效率的提高等。但是，無(wú)線通信是基于無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸，信息被攔截的風(fēng)險(xiǎn)性要遠(yuǎn)高于有線網(wǎng)絡(luò)。如果信息未加密，或用弱算法加密，攻擊者就完全可以截獲并解密信息。無(wú)線網(wǎng)絡(luò)的安全目標(biāo)應(yīng)與有線網(wǎng)絡(luò)相同：信息的保密性、完整性、可用性。本文提供了無(wú)線網(wǎng)絡(luò)面臨的各種威脅和可用的應(yīng)對(duì)方案。

1 無(wú)線網(wǎng)絡(luò)的弱點(diǎn)、威脅與對(duì)策

無(wú)線網(wǎng)絡(luò)有4個(gè)基本組成部分：數(shù)據(jù)傳輸媒介、接入點(diǎn)、客戶端設(shè)備和用戶。對(duì)其中的一個(gè)組成部分進(jìn)行攻擊，都會(huì)影響其他3個(gè)部分的保密性、完整性和可用性。

1.1 意外關(guān)聯(lián)

如果一臺(tái)辦公計(jì)算機(jī)有兩塊以上的網(wǎng)卡，其中有線網(wǎng)卡連接到公司網(wǎng)絡(luò)，它也可以通過(guò)無(wú)線網(wǎng)卡連接到相鄰公司的無(wú)線網(wǎng)絡(luò)，這樣就造成了主機(jī)處于重疊網(wǎng)絡(luò)中。這是一個(gè)涉及公司信息泄露的安全漏洞，在現(xiàn)在社會(huì)中普遍存在。

1.2 虛擬熱點(diǎn)

攻擊者通過(guò)軟件破解合法接入點(diǎn)的密碼，并搭建一個(gè)完全一樣的虛擬接入點(diǎn)，引誘用戶主動(dòng)登錄，用戶無(wú)法辨識(shí)網(wǎng)絡(luò)的真假。一旦攻擊者獲得訪問(wèn)權(quán)限，就可以竊取密碼，在有線網(wǎng)絡(luò)上發(fā)動(dòng)攻擊或植入木馬。

1.3 MAC欺騙

當(dāng)攻擊者能夠監(jiān)聽(tīng)網(wǎng)絡(luò)流量并識(shí)別具有網(wǎng)絡(luò)特權(quán)的計(jì)算機(jī)的網(wǎng)絡(luò)接口物理地址（Media Access Control，MAC）時(shí)，會(huì)發(fā)生MAC欺騙。大多數(shù)無(wú)線系統(tǒng)通過(guò)MAC過(guò)濾，僅允許具有特定MAC地址的授權(quán)計(jì)算機(jī)來(lái)訪問(wèn)網(wǎng)絡(luò)。攻擊者可以利用網(wǎng)絡(luò)嗅探工具破解MAC地址，并偽裝成授權(quán)的主機(jī)訪問(wèn)無(wú)線網(wǎng)絡(luò)。

1.4 中間人攻擊

中間人攻擊者通過(guò)無(wú)線網(wǎng)卡，在用戶和真實(shí)網(wǎng)絡(luò)中間搭建一個(gè)真正的接入點(diǎn)，當(dāng)用戶通過(guò)這個(gè)接入點(diǎn)進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，攻擊者可以進(jìn)行流量嗅探。此種方法依賴(lài)于握手協(xié)議中的安全性錯(cuò)誤來(lái)執(zhí)行“認(rèn)證攻擊”，強(qiáng)制與熱點(diǎn)連接的計(jì)算機(jī)斷開(kāi)連接，并重新連接搭建的熱點(diǎn)，LANjack和AirJack等軟件都可以做到。

1.5 拒絕服務(wù)

攻擊者通過(guò)發(fā)送虛假請(qǐng)求，過(guò)早地成功連接信息、故障信息或其他命令，不斷攻擊目標(biāo)接入點(diǎn)或網(wǎng)絡(luò)，導(dǎo)致合法用戶無(wú)法連接網(wǎng)絡(luò)，甚至可能導(dǎo)致網(wǎng)絡(luò)崩潰。這些攻擊依賴(lài)于協(xié)議的濫用，如可擴(kuò)展身份驗(yàn)證協(xié)議（Extensible Authentication Protocol，EAP）。

2 無(wú)線傳輸安全

無(wú)線通信的性質(zhì)造成3個(gè)基本威脅：攔截、改變和破壞。

2.1 保護(hù)無(wú)線傳輸?shù)膶?duì)策

有兩種方法可以減少無(wú)線傳輸竊聽(tīng)的風(fēng)險(xiǎn)：（1）讓無(wú)線信號(hào)難以定位和攔截；（2）使用加密技術(shù)以保持保密性，即使無(wú)線信號(hào)被截獲，也無(wú)法輕易破解信息。

2.1.1 信號(hào)隱藏技術(shù)

為了攔截?zé)o線傳輸，攻擊者首先需要識(shí)別和定位無(wú)線網(wǎng)絡(luò)，可以采取讓攻擊者難以找到無(wú)線接入點(diǎn)的方法來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)。簡(jiǎn)單的方法有：關(guān)閉服務(wù)集標(biāo)識(shí)（Service Set Identifier，SSID）名稱(chēng)廣播、降低信號(hào)強(qiáng)度、熱點(diǎn)遠(yuǎn)離窗戶和外墻等；專(zhuān)業(yè)的手段有：使用定向天線限制信號(hào)的輻射范圍，使用屏蔽技術(shù)屏蔽信號(hào)輻射等。

2.1.2 信息加密

為了保護(hù)無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔?，最好的方法是加密所有無(wú)線流量。即使攻擊者獲取了網(wǎng)絡(luò)的訪問(wèn)權(quán)，也破解不了其中所包含的信息。

2.2 防止通信截獲的對(duì)策

兩種對(duì)策可以顯著降低這種攻擊的風(fēng)險(xiǎn)：強(qiáng)大的加密設(shè)備和強(qiáng)大的用戶身份驗(yàn)證。

2.3 減少拒絕服務(wù)攻擊的對(duì)策

無(wú)線通信也容易受到拒絕服務(wù)攻擊，可以采取幾個(gè)步驟來(lái)減少這種攻擊風(fēng)險(xiǎn)。首先，仔細(xì)辨別是否存在來(lái)自其他設(shè)備的信號(hào)；其次，要定期對(duì)無(wú)線網(wǎng)絡(luò)活動(dòng)審核，采取移除違規(guī)設(shè)備或其他措施以提高信號(hào)強(qiáng)度和覆蓋范圍。

3 保護(hù)無(wú)線接入點(diǎn)

不安全的、不當(dāng)?shù)臒o(wú)線接入點(diǎn)可能會(huì)通過(guò)未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)，從而損害保密性。

降低無(wú)線網(wǎng)絡(luò)未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)主要有2種方法：（1）消除惡意接入點(diǎn)。應(yīng)對(duì)惡意接入點(diǎn)的威脅，最好的方法是使用802.1X身份驗(yàn)證，禁止未經(jīng)授權(quán)的設(shè)備連接到網(wǎng)絡(luò)。（2）正確配置所有授權(quán)接入點(diǎn)。改變無(wú)線網(wǎng)絡(luò)的默認(rèn)設(shè)置，確保接入點(diǎn)配置安全，防止被攻擊者利用。

4 保護(hù)無(wú)線客戶端設(shè)備

無(wú)線客戶端受到的一個(gè)威脅是設(shè)備丟失，一旦落入他人手中，設(shè)備上存儲(chǔ)的私密信息（如個(gè)人識(shí)別信息等）就會(huì)被曝光并被第三方收集；另一方面，客戶端可以被破解，使攻擊者可以直接訪問(wèn)存儲(chǔ)在設(shè)備上的敏感信息，或使用設(shè)備在未經(jīng)授權(quán)的前提下獲得其他資源的訪問(wèn)權(quán)。

5 確保無(wú)線網(wǎng)絡(luò)安全

5.1 加密

確保無(wú)線網(wǎng)絡(luò)免受入侵的最有效方法是加密，大多數(shù)無(wú)線路由器、接入點(diǎn)和基站都有內(nèi)置加密機(jī)制。制造商提供無(wú)線路由器的加密功能默認(rèn)模式往往是關(guān)閉的，必須確保為打開(kāi)狀態(tài)。

5.2 使用防病毒和反間諜軟件和防火墻

在無(wú)線網(wǎng)絡(luò)上的計(jì)算機(jī)需要與任何連接到因特網(wǎng)的計(jì)算機(jī)相同的保護(hù)。安裝防病毒和反間諜軟件，并保持最新版本。如果防火墻是在“關(guān)閉”模式，打開(kāi)它。

5.3 關(guān)閉無(wú)線廣播

無(wú)線路由器的廣播機(jī)制用于發(fā)出信號(hào)到附近的設(shè)備以宣布其存在。在知道網(wǎng)絡(luò)存在的前提下，可以選擇關(guān)閉廣播。

5.4 更改路由器默認(rèn)的標(biāo)識(shí)符

無(wú)線路由器的標(biāo)識(shí)符是由制造商分配到該模型的默認(rèn)ID，攻擊者可以利用ID判定路由器的品牌和型號(hào)，利用可能存在的漏洞攻破路由器，從而訪問(wèn)網(wǎng)絡(luò)。將路由器的標(biāo)識(shí)符更改為非默認(rèn)，使用至少10個(gè)字符的密碼，防止攻擊者破解。

5.5 只允許特定的計(jì)算機(jī)訪問(wèn)您的無(wú)線網(wǎng)絡(luò)

每一臺(tái)能夠與網(wǎng)絡(luò)通信的計(jì)算機(jī)都有自己獨(dú)特的MAC地址。將無(wú)線路由器設(shè)定為只允許特定MAC地址的設(shè)備訪問(wèn)網(wǎng)絡(luò)，可以降低被攻擊的概率。但是，如果攻擊者模仿了用戶的MAC地址，被攻擊的可能性并沒(méi)有降低。

5.6 不需要時(shí)關(guān)閉無(wú)線網(wǎng)絡(luò)

當(dāng)無(wú)線網(wǎng)絡(luò)被關(guān)閉時(shí)，攻擊者是無(wú)法訪問(wèn)無(wú)線路由器的。在空閑時(shí)間關(guān)閉路由器，將有效限制無(wú)線網(wǎng)絡(luò)的被攻擊時(shí)間。

5.7 不要相信公眾的熱點(diǎn)是安全的

許多咖啡館、酒店、機(jī)場(chǎng)和其他公共場(chǎng)所為用戶提供無(wú)線網(wǎng)絡(luò)，在為用戶提供便利的同時(shí)，也為攻擊者提供了極大的便利。

6 用戶培訓(xùn)

用戶作為無(wú)線網(wǎng)絡(luò)的第4個(gè)基本組成部分，是無(wú)線網(wǎng)絡(luò)安全的關(guān)鍵組成部分。事實(shí)上，針對(duì)用戶安全無(wú)線行為的培訓(xùn)十分重要，必要時(shí)可以定期重復(fù)進(jìn)行培訓(xùn)。

7 結(jié)語(yǔ)

無(wú)線網(wǎng)絡(luò)為用戶提供了眾多便利，提高了生產(chǎn)力，降低了成本。雖然以上應(yīng)對(duì)手段不能完全消除無(wú)線網(wǎng)絡(luò)面臨的所有風(fēng)險(xiǎn)，但是使用系統(tǒng)的方法來(lái)評(píng)估和管理風(fēng)險(xiǎn)，可以讓無(wú)線網(wǎng)絡(luò)處于一個(gè)整體較為安全的水平。本文討論了無(wú)線網(wǎng)絡(luò)的脆弱性和面臨的威脅，描述了各種常用的降低風(fēng)險(xiǎn)的對(duì)策，強(qiáng)調(diào)了用戶培訓(xùn)在無(wú)線網(wǎng)絡(luò)安全方面的重要性。

Analysis on the vulnerabilities， threats and countermeasures of wireless network security

Gong Wei

（Chinese Peoples Liberation Army 73677 Troops， Nanjing 210000， China）

Abstract： The wireless network provides a lot of convenience for the social community， but with new security threats and risks. Although implementation of technological solutions is the usual respond to wireless security threats and vulnerabilities， but more concern is the network management issues. The management of wireless network requires a sound and thorough assessment environment and development plan. This paper presents a framework to help managers understand and assess the various threats associated with the use of wireless technology and proposes a number of available solutions for countering those threats.

Key words： wireless network； security； threat