文/韓華鋒

基于802.11協(xié)議的無(wú)線局域網(wǎng)接入技術(shù)Wi-Fi具有無(wú)需布線、用戶移動(dòng)性、建設(shè)便捷性、投資經(jīng)濟(jì)性等優(yōu)勢(shì)，在促進(jìn)校園無(wú)線網(wǎng)絡(luò)建設(shè)中將起到巨大的革新作用。Wi-Fi接入作為有線網(wǎng)絡(luò)的延伸，與有線網(wǎng)絡(luò)相比，它由于其物理上的公開性，經(jīng)常遇到各方面的威脅。

Wi-Fi校園網(wǎng)絡(luò)面臨的主要安全威脅

未經(jīng)授權(quán)使用服務(wù)

很少用戶使用AP時(shí)在其默認(rèn)的配置基礎(chǔ)上進(jìn)行過修改，幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。由于無(wú)線局域網(wǎng)的開放訪問方式，未經(jīng)授權(quán)擅自使用無(wú)線網(wǎng)絡(luò)服務(wù)會(huì)對(duì)正常用戶造成很惡劣的影響。一是會(huì)影響到正常用戶的網(wǎng)絡(luò)訪問速度；二是會(huì)對(duì)按照網(wǎng)絡(luò)流量繳納上網(wǎng)服務(wù)費(fèi)用的用戶造成直接經(jīng)濟(jì)損失，甚至可能會(huì)導(dǎo)致法律糾紛；三是未經(jīng)授權(quán)使用無(wú)線網(wǎng)絡(luò)會(huì)增加正常用戶遭遇攻擊和被入侵的概率；四是如果未經(jīng)授權(quán)的用戶利用無(wú)線網(wǎng)絡(luò)進(jìn)行黑客行為造成安全事件，可能會(huì)導(dǎo)致ISP中斷服務(wù)，正常用戶可能受到牽連。

非法AP

由于任何聲稱是一個(gè)AP且廣播正確服務(wù)裝置的識(shí)別都是網(wǎng)絡(luò)認(rèn)證的一部分，并且IEEE802.11協(xié)議沒有任何功能要求一個(gè)AP證明它確實(shí)是一個(gè)AP。因此，攻擊者可以通過利用未經(jīng)認(rèn)證的AP偽裝到網(wǎng)絡(luò)中，輕易地假裝成一個(gè)AP。偽造AP的方式一般有以下兩種。一種假冒AP的方式是采用偽裝的方式，利用專用軟件將攻擊者指定的某個(gè)終端設(shè)備（包括計(jì)算機(jī)）偽裝成AP；另一種是攻擊者拿一個(gè)真實(shí)的AP，非法接入到被入侵的網(wǎng)絡(luò)中，而授權(quán)的客戶端就會(huì)無(wú)意識(shí)地連接到這個(gè)AP上來，給網(wǎng)絡(luò)和正常用戶帶來很大安全隱患。

信息泄露

由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個(gè)無(wú)線訪問點(diǎn)所服務(wù)的區(qū)域中未被授權(quán)的客戶端也可以接收。因此，無(wú)線網(wǎng)絡(luò)比較容易入侵，造成信息泄露。泄露威脅包括竊聽、截取和監(jiān)聽。由于大多網(wǎng)絡(luò)通信都是以非加密的方式在網(wǎng)絡(luò)上傳輸?shù)?，因此通過觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流模式，就能夠得到用戶的網(wǎng)絡(luò)通信信息。

服務(wù)和性能限制

無(wú)線局域網(wǎng)的傳輸帶寬是有限的，而且由于物理層的開銷，使無(wú)線局域網(wǎng)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。無(wú)線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無(wú)線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會(huì)輕易地吞噬AP有限的帶寬；如果發(fā)送廣播流量，就會(huì)同時(shí)阻塞多個(gè)AP；利用非法的數(shù)據(jù)流覆蓋Wi-Fi所有的頻段（2400～2483. 5MHz這83. 5MHz頻段），導(dǎo)致服務(wù)器負(fù)荷超載，使得合法的業(yè)務(wù)需求無(wú)法被接收或者是正常的數(shù)據(jù)流不能到達(dá)用戶或接入點(diǎn)。另外，微波爐、嬰兒監(jiān)視器、無(wú)繩電話等工作在2. 4GHz頻段上的設(shè)備都會(huì)干擾整個(gè)頻率上的無(wú)線網(wǎng)絡(luò)，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

非法侵入

無(wú)線局域網(wǎng)為了能夠使用戶發(fā)現(xiàn)，網(wǎng)絡(luò)持續(xù)發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者通過高靈敏度天線可以從公路邊、樓宇中以及其他任何地方不需要任何物理方式的侵入而對(duì)網(wǎng)絡(luò)發(fā)起攻擊。一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱和容易受到攻擊的。此外，通過簡(jiǎn)單配置無(wú)線網(wǎng)絡(luò)就可快速地接入主干網(wǎng)絡(luò)，但這樣會(huì)使主干網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使重要網(wǎng)絡(luò)暴露出來從而遭到攻擊。

入侵者破解Wi-Fi網(wǎng)絡(luò)方法

WEP加密破解

收集足夠的Cap數(shù)據(jù)包（5～15萬(wàn)），然后使用aircrack破解，在無(wú)客戶端情況下都可以采用主動(dòng)注入的方式破解。

WPA加密破解

在合法的客戶端在線的情況下，接收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。入侵者通常主動(dòng)攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP重新握手，入侵者即可抓到包含握手信息的數(shù)據(jù)包，或可守株待兔等待合法的客戶端上線與AP握手。

WPA-PSK 破解

WPA-PSK/WPA2-PSK（TKIP，AES）是目前主流的加密方式，破解無(wú)線WPA-PSK加密難度較大，目前主要依賴字典，受單機(jī)CPU運(yùn)算主頻限制。目前單機(jī)速度主要100～400key/s，破解8～12位密碼耗費(fèi)時(shí)間大概需要70～280小時(shí)。

Wi-Fi配置安全防范措施

加強(qiáng)安全認(rèn)證

加強(qiáng)安全認(rèn)證是最好的防御方法，也就是阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)。由于訪問特權(quán)是基于用戶身份的，所以進(jìn)行認(rèn)證的前提是對(duì)認(rèn)證過程進(jìn)行加密，通過VPN技術(shù)能夠有效地保護(hù)通過電波傳輸?shù)木W(wǎng)絡(luò)信息。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機(jī)制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。

定期進(jìn)行站點(diǎn)審查

入侵者在使用網(wǎng)絡(luò)之前會(huì)通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，所以盡可能頻繁地進(jìn)行物理站點(diǎn)的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)存在的機(jī)率，但是這樣會(huì)花費(fèi)很多的時(shí)間并且移動(dòng)性很差。一種折中的辦法是選擇小型的手持式檢測(cè)設(shè)備，隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)。

隔離無(wú)線網(wǎng)絡(luò)和核心網(wǎng)絡(luò)

在網(wǎng)絡(luò)規(guī)劃中布置Wi-Fi設(shè)備時(shí)可以使用防火墻把有線校園網(wǎng)絡(luò)和多個(gè)無(wú)線網(wǎng)絡(luò)分開，或考慮在周邊網(wǎng)絡(luò)內(nèi)布建無(wú)線存取網(wǎng)絡(luò)，這樣即使無(wú)線客戶端被破解，入侵者還是無(wú)法攻擊有線網(wǎng)絡(luò)。如果學(xué)校沒有專門防火墻也可以跟VLAN結(jié)臺(tái)起來，把無(wú)線網(wǎng)絡(luò)單獨(dú)劃分一個(gè)或幾個(gè)VLAN，這些VLAN不能訪問校園的任何有線網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)上的使用者需要訪問有線網(wǎng)絡(luò)的時(shí)候必須使用VPN隧道技術(shù)。

網(wǎng)絡(luò)檢測(cè)

很多AP可以通過SN-MP報(bào)告統(tǒng)計(jì)信息，但是信息十分有限，不能反映用戶的實(shí)際問題。無(wú)線網(wǎng)絡(luò)測(cè)試儀則能夠如實(shí)反映當(dāng)前位置信號(hào)的質(zhì)量和網(wǎng)絡(luò)健康情況，還可以有效識(shí)別網(wǎng)絡(luò)速率、幀的類型，幫助進(jìn)行網(wǎng)絡(luò)故障定位。

加強(qiáng)網(wǎng)絡(luò)訪問控制

通過強(qiáng)大的網(wǎng)絡(luò)訪問控制可以減少無(wú)線網(wǎng)絡(luò)遭遇攻擊的風(fēng)險(xiǎn)，一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏。當(dāng)然如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基于IEEE802.1X的新的無(wú)線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1X定義了用戶級(jí)認(rèn)證的新的幀類型，借助于校園網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫(kù)，將前端基于IEEE802.1X無(wú)線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。

使用可靠的協(xié)議進(jìn)行加密

如果無(wú)線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSL、IPSec等加密技術(shù)來加強(qiáng)數(shù)據(jù)的安全性。

做好無(wú)線設(shè)備的安全配置

無(wú)線路由器或中繼器是無(wú)線網(wǎng)絡(luò)中最重要的設(shè)備之一。一般來說，同品牌的無(wú)線設(shè)備訪問地址都是相同的，如192.168.1.1等；而其默用的用戶名、密碼也大多為admin；其SSID標(biāo)識(shí)也都一樣。如果不修改這些默認(rèn)的設(shè)置，那么入侵者則可以非常容易地通過掃描工具找到這些設(shè)備并進(jìn)入管理界面，獲得設(shè)備的控制權(quán)。因此，修改默認(rèn)設(shè)置是項(xiàng)最基本的安全措施。無(wú)線安全設(shè)置主要包括：禁止 SSID廣播、過濾MAC、關(guān)閉DHCP，設(shè)置密鑰、防Ping等，這不僅對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備有用，對(duì)其他共享上網(wǎng)的ADSL、路由等同樣有效。

網(wǎng)絡(luò)技術(shù)不斷在更新，新的安全漏洞也會(huì)不斷出現(xiàn)，我們需要做的就是不斷加強(qiáng)的安全意識(shí)，而不是一味地去防范新的破解技術(shù)。網(wǎng)絡(luò)安全與加密、認(rèn)證等機(jī)制有關(guān)，而且還需要入侵檢測(cè)、防火墻等技術(shù)的配合來共同保障，因此基于Wi-Fi校園網(wǎng)的安全需要從多層次來考慮，綜合利用各種技術(shù)來實(shí)現(xiàn)。