郭 力

(廣東省理工職業(yè)技術(shù)學(xué)校,廣東@廣州@510500)

摘要:無線局域網(wǎng)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時(shí)帶來了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。分析了無線局域網(wǎng)常見的安全問題,并提供了相應(yīng)的對策。

關(guān)鍵詞:無線;局域網(wǎng);安全;措施

1無線局域網(wǎng)中常見的安全問題

1.12.5GHz方面

目前,用于無線局域網(wǎng)的IEEE 802.11b以及IEEE 802.11g標(biāo)準(zhǔn)使用的都是2.5GHz的無線電波進(jìn)行網(wǎng)絡(luò)通信,沒有使用授權(quán)的限制。而且通常IEEE 802.11b標(biāo)準(zhǔn)的無線產(chǎn)品覆蓋范圍在100～300米之間,還可以穿透墻壁。所以,任何人都可以通過一臺安裝了無線網(wǎng)卡的電腦在無線覆蓋范圍內(nèi)進(jìn)行監(jiān)聽,網(wǎng)絡(luò)數(shù)據(jù)很容易被泄漏,特別是在公司內(nèi)部很容易發(fā)生。

1.2WEP脆弱性

雖然常見的IEEE 802.11b和IEEE 802.11g標(biāo)準(zhǔn)使用了WEP加密,但也是不安全的。因?yàn)?WEP一般采用40位(10個(gè)數(shù)字)的密鑰,這樣采用了WEP加密的無線網(wǎng)卡和無線AP之間的連接很容易被破解。更嚴(yán)重的安全隱患在于默認(rèn)情況下通過Windows XP創(chuàng)建的無線網(wǎng)絡(luò)連接以及無線路由器禁用WEP加密。

1.3拒絕服務(wù)攻擊與干擾

在有線局域網(wǎng)中我們可以通過防火墻阻止DoS(拒絕服務(wù))攻擊,但是攻擊者可以通過無線局域網(wǎng)繞過防火墻,對公司或其他網(wǎng)絡(luò)實(shí)施攻擊。另外,雖然無線局域網(wǎng)使用了擴(kuò)頻技術(shù),但是惡意攻擊者還可以通過干擾器來進(jìn)行信號干擾,而且干擾源又不容易被查出來。

1.4服務(wù)集標(biāo)識符(SSID)

如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內(nèi),客戶端都會(huì)自動(dòng)連接到AP,這將跳過SSID安全功能。

2無線局域網(wǎng)安全防范措施

2.1端口訪問控制技術(shù)(802.1x)

該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公共無線接入解決方案。

2.2加密無線網(wǎng)絡(luò)

在無線局域網(wǎng)中,為了保證網(wǎng)絡(luò)連接的安全性,通?？梢圆扇EP加密技術(shù)。目前,該加密技術(shù)一般可以提供64/128位長度的密鑰機(jī)制,有的產(chǎn)品甚至支持256位的密鑰機(jī)制。要啟用WEP加密功能,首先可以打開無線路由器的“基本設(shè)置”頁面,默認(rèn)情況WEP是處于禁用狀態(tài)的。接著,在WEP處選擇“開啟”選項(xiàng),點(diǎn)擊“WEP密鑰設(shè)置”按鈕,在密鑰設(shè)置頁面中,可以創(chuàng)建64位或128位的密鑰。例如,我們要?jiǎng)?chuàng)建一個(gè)64位的密鑰,那么可以點(diǎn)擊“創(chuàng)建”按鈕來創(chuàng)建4個(gè)密鑰,記下這些密鑰,點(diǎn)擊“應(yīng)用”按鈕。

2.3連線對等保密(WEP)

在鏈路層采用RC4對稱加密技術(shù),用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)和128位長度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰,一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護(hù),擴(kuò)展能力差。目前為了提高安全性,建議采用128位加密鑰匙。

2.4綜合預(yù)防

(1)許多安全問題都是由于無線訪問點(diǎn)沒有處在一個(gè)封閉的環(huán)境中造成的。所以,首先就應(yīng)注意合理放置訪問點(diǎn)的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近,因?yàn)椴Ａo法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外。(2)將信號天線問題處理好之后,再將其加一層“保護(hù)膜”,即一定要采用無線加密協(xié)議(WEP)。(3)建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對無線網(wǎng)絡(luò)而言,這很有意義。如果采取這項(xiàng)措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無疑也就增加了難度)。(4)使用訪問列表(也稱之為訪問控制列表)。為了進(jìn)一步保護(hù)你的無線網(wǎng)絡(luò),建議選用此項(xiàng)特性,但請注意,并不是所有的無線訪問點(diǎn)都支持。因?yàn)榇隧?xiàng)特性可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn)。支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議 TFTP,定期下載更新的列表,非常有用。(5)綜合使用無線和有線策略。無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠最大限度提高安全水平。