饒 東

（湖南郵電職業(yè)技術(shù)學(xué)院，長(zhǎng)沙 410015）

在企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)過(guò)程中，WLAN 作為一重要設(shè)施且具有不可逆轉(zhuǎn)的趨勢(shì)，但是在組網(wǎng)方案中相關(guān)安全防護(hù)設(shè)備缺失的情況普遍存在，這已經(jīng)引起人們的擔(dān)憂(yōu)，在歐美等一些國(guó)家已經(jīng)制定了相關(guān)法規(guī)與技術(shù)管理方法，在重要場(chǎng)合對(duì)于在開(kāi)放空間中隱藏的WLAN 安全威脅進(jìn)行了充分考慮，或者完成了相關(guān)安全防護(hù)產(chǎn)品的部署，又或者定期開(kāi)展安全檢查。然而，WLAN網(wǎng)絡(luò)在我國(guó)是新興應(yīng)用之一，相關(guān)的防護(hù)法律法規(guī)尚未制定，相關(guān)技術(shù)、產(chǎn)品剛起步，因此需要高度重視無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題[1]。

1 WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用與風(fēng)險(xiǎn)

1.1 流氓AP

該風(fēng)險(xiǎn)具有不易被察覺(jué)的特點(diǎn)，在其信號(hào)覆蓋范圍之內(nèi)，入侵內(nèi)網(wǎng)的可能性較大，而采用防火墻等傳統(tǒng)技術(shù)很難發(fā)揮重要性，其會(huì)采用多種方式來(lái)隱藏自己且不能被察覺(jué)。在檢查過(guò)程中很難被網(wǎng)絡(luò)管理人員發(fā)現(xiàn)，但是黑客一旦發(fā)現(xiàn)就會(huì)攻擊流氓AP?；诖耍髅P 本身所存在的網(wǎng)絡(luò)安全隱患在一定程度上會(huì)對(duì)WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)的安全運(yùn)行造成直接影響[2]。

1.2 無(wú)線(xiàn)釣魚(yú)

在終端連接WLAN 網(wǎng)絡(luò)的情況下，終端會(huì)記住它。若打開(kāi)WLAN 網(wǎng)絡(luò)終端，則終端會(huì)自動(dòng)與連接過(guò)的WLAN 網(wǎng)絡(luò)連接?；赪LAN 網(wǎng)絡(luò)本身所具有的架構(gòu)屬性，能夠幫助人們制定使用某個(gè)特定AP 且能夠向另一個(gè)WLAN 網(wǎng)絡(luò)自主切斷。若與某個(gè)WLAN 網(wǎng)絡(luò)連接后，在眾多AP 中終端會(huì)實(shí)現(xiàn)自動(dòng)漫游。對(duì)于隱藏這些AP 中的釣魚(yú)AP，使用者通常很難辨別，若釣魚(yú)AP信號(hào)強(qiáng)度比其他AP 高，則終端會(huì)與這釣魚(yú)AP 立即連接，進(jìn)而很難安全的使用WLAN 網(wǎng)絡(luò)。

1.3 非法外聯(lián)

在多數(shù)移動(dòng)終端中WLAN 所具有的無(wú)線(xiàn)功能都十分常見(jiàn)，為保證網(wǎng)絡(luò)安全許多企業(yè)都采取了不同的方式，但是許多免費(fèi)無(wú)線(xiàn)網(wǎng)絡(luò)熱點(diǎn)依然存在于企業(yè)周?chē)?，為員工連接網(wǎng)絡(luò)創(chuàng)造了良好條件。員工在內(nèi)網(wǎng)、外網(wǎng)之間頻繁的切換連接，造成手機(jī)、電腦終端信息被盜等安全問(wèn)題的可能性較大，嚴(yán)重情況下不利于安全的運(yùn)行內(nèi)網(wǎng)而誘發(fā)嚴(yán)重的病毒感染[3]。

2 如何應(yīng)用WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)技術(shù)

2.1 無(wú)線(xiàn)網(wǎng)絡(luò)入侵防御技術(shù)

無(wú)線(xiàn)安全策略的創(chuàng)新能夠最大限度的確保WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)的安全，為此可將射頻信號(hào)、802.11 特點(diǎn)結(jié)合起來(lái)。關(guān)于射頻信號(hào)需要在阻止非法用戶(hù)接入時(shí)進(jìn)行充分利用，立足于AP 或Station 屬性，實(shí)現(xiàn)對(duì)物理安全無(wú)線(xiàn)安全區(qū)域的有效構(gòu)建，為用戶(hù)網(wǎng)絡(luò)安全創(chuàng)造良好的條件。Dos、無(wú)線(xiàn)掃描等無(wú)線(xiàn)非法無(wú)線(xiàn)設(shè)備的檢測(cè)與阻斷，是充分發(fā)揮無(wú)線(xiàn)入侵防御功能的關(guān)鍵所在，經(jīng)無(wú)線(xiàn)網(wǎng)絡(luò)可有效避免內(nèi)網(wǎng)機(jī)密外傳；為實(shí)現(xiàn)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)的管理與控制，就需要在無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)邊界設(shè)置必要的入侵防御設(shè)備。

在AP 覆蓋領(lǐng)域設(shè)置無(wú)線(xiàn)安全引擎設(shè)備，主要是在每臺(tái)AP旁暫定，而位置的部署需要立足于無(wú)線(xiàn)網(wǎng)絡(luò)區(qū)域中心位置，值得一提的是關(guān)于覆蓋范圍需要盡量擴(kuò)大，通常是能夠覆蓋的全部區(qū)域。在完全阻斷其他連接的過(guò)程中需要在設(shè)備上對(duì)網(wǎng)絡(luò)進(jìn)行合法的部署，采用合法客戶(hù)端一對(duì)一允許策略，阻止連接非法網(wǎng)絡(luò)并只與合法網(wǎng)絡(luò)連接，對(duì)網(wǎng)絡(luò)實(shí)際情況進(jìn)行有效的監(jiān)控。在數(shù)據(jù)庫(kù)中寫(xiě)入審計(jì)數(shù)據(jù)，若非法AP 一旦被發(fā)現(xiàn)需立即告警并阻斷連接。采用Web 做好引擎管理，高度重視引擎上報(bào)的各種告警信息[4]。

另外，采用集中管理的方式可充分保證管理質(zhì)量，關(guān)于無(wú)線(xiàn)安全引擎設(shè)備的部署可借助專(zhuān)門(mén)的集中管理軟件，對(duì)無(wú)線(xiàn)安全引擎集中配置，集中收集各種數(shù)據(jù)，且兼具日志查詢(xún)等其他功能。

2.2 無(wú)線(xiàn)有線(xiàn)一體化關(guān)聯(lián)分析技術(shù)

為充分保證整體安全，無(wú)線(xiàn)、有線(xiàn)安全需要聯(lián)合起來(lái)，為實(shí)現(xiàn)一體化防御，就需要無(wú)線(xiàn)安全與傳統(tǒng)有線(xiàn)安全結(jié)合起來(lái)，如防護(hù)墻、IDS、IPS、審計(jì)產(chǎn)品等。關(guān)于無(wú)線(xiàn)網(wǎng)絡(luò)安全威脅的分析，需要對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)部分、無(wú)線(xiàn)局域網(wǎng)最后落地的有線(xiàn)網(wǎng)絡(luò)進(jìn)行充分的考慮，通過(guò)一體化關(guān)聯(lián)分析工作的開(kāi)展，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)安全威脅進(jìn)行準(zhǔn)確的定位。在具體分析過(guò)程中需要認(rèn)真掃描、探測(cè)無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)中的攻擊特征進(jìn)行持續(xù)的偵聽(tīng)，對(duì)無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)的攻擊特性與設(shè)備屬性進(jìn)行匯總分析[5]。

3 結(jié)束語(yǔ)

WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)安全隱患在一定程度上已經(jīng)對(duì)人們正常的工作生活造成了嚴(yán)重影響，為安全的使用WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)，就需要對(duì)相關(guān)安全防范措施進(jìn)一步完善。綜上所述，本文簡(jiǎn)單的介紹了WLAN 無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，并提出一定參考意見(jiàn)來(lái)充分確保無(wú)線(xiàn)網(wǎng)絡(luò)的安全運(yùn)行。