趙九思 劉 劍

（天津市公安局，中國 天津 300020）

隨著無線技術(shù)的迅速發(fā)展，無線保真技術(shù)WIFI應(yīng)勢而生。WIFI以其突出的優(yōu)勢：覆蓋范圍廣；傳輸速度快；信號密集，定位精確；組建簡單；免布線等，迅速風(fēng)靡于全世界。讓世界城市的每個角落都能上寬帶的“無線城市”夢想已經(jīng)變成了現(xiàn)實，基本實現(xiàn)了從“無線城市”到“無線國家”甚至“無線地球”之間的跨越。在無線網(wǎng)絡(luò)日趨普及的同時，人們必須首先考慮加強無線網(wǎng)絡(luò)的安全措施，以便更有效、更放心地使用。

1 WIFI技術(shù)簡介

WIFI（Wireless Fidelity）俗稱無線寬帶，又叫802.11b標(biāo)準(zhǔn)，是IEEE定義的一個無線網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)。IEEE802.11b標(biāo)準(zhǔn)是在IEE E802.11的基礎(chǔ)上發(fā)展起來的，工作在2.4Hz頻段，最高傳輸率能夠達(dá)到11Mbps。該技術(shù)是一種可以將個人電腦，手持設(shè)備等終端以無線方式互相連接的一種技術(shù)。

2 WIFI安全隱患分析

隨著無線網(wǎng)絡(luò)的逐漸普及，網(wǎng)絡(luò)安全問題也正變得日益嚴(yán)峻。無線通訊的本性使然，由于傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的、安裝在不同樓層、甚至是發(fā)射機所在的大樓之外的接收設(shè)備，因此，數(shù)據(jù)安全也就成為最重要的問題。沒有良好保護(hù)的無線網(wǎng)絡(luò)可造成客戶的無線通訊被黑客攔截，從而造成重大損失。黑客能夠利用竊取的信用卡號碼、銀行賬戶口令、機密的商務(wù)信息以及其它敏感的數(shù)據(jù)為自己及其同伙牟利。

《孫子兵法》有云：知己知彼，百戰(zhàn)不殆。為了使無線網(wǎng)絡(luò)安全、有效地運行，為了抵御黑客的入侵和破壞，對無線網(wǎng)絡(luò)的安全隱患進(jìn)行分析研究、找出無線網(wǎng)絡(luò)的隱患所在是至關(guān)重要的。通過對目前無線網(wǎng)絡(luò)的犯罪事例分析研究，對無線網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在以下幾個方面：

2.1 容易侵入

WIFI無線網(wǎng)絡(luò)非常容易被找到，信號提供者為了使用戶能夠發(fā)現(xiàn)WIFI的存在，在發(fā)送信號時，會發(fā)送有特定參數(shù)的信標(biāo)幀，這就給入侵者提供了一定的入侵條件；還有一些個別用戶在組建網(wǎng)絡(luò)時沒有改變WIFI路由器的默認(rèn)設(shè)置，這種默認(rèn)設(shè)置對于外界的連接要求以及對數(shù)據(jù)的加密都是疏于防范的，因此這樣處于信號覆蓋范圍內(nèi)的WIFI設(shè)備都可以很容易的連接到網(wǎng)絡(luò)，從而造成入侵。

2.2 惡意訪問點

惡意訪問點指的是那些沒有經(jīng)過網(wǎng)絡(luò)規(guī)劃或者許可接入網(wǎng)絡(luò)的訪問點，惡意訪問點逐漸成為安全行業(yè)令人頭痛的一個問題。入侵者會掃瞄所有開放的無線訪問點AP(Access Point)，其中，部分網(wǎng)絡(luò)的確是為大眾提供的，但多數(shù)則是因為用戶沒有做好安全設(shè)置造成的。無線網(wǎng)絡(luò)訪問便捷和容易配置的特點，使得任何使用者的無線設(shè)備都可以通過購買的無線訪問點AP，而輕松的接入網(wǎng)絡(luò)。當(dāng)今無線局域網(wǎng)的構(gòu)建已經(jīng)相當(dāng)?shù)姆奖?，在一些單位?nèi)部，很多部門在沒有經(jīng)過網(wǎng)絡(luò)部門授權(quán)的情況下就自行組建無線局域網(wǎng)，這種非專業(yè)人員安裝的無線路由器和訪問點設(shè)備，在安裝時很少考慮網(wǎng)絡(luò)的安全策略。這樣就給網(wǎng)絡(luò)留下了安全隱患。

2.3 破解 WEP

當(dāng)今，WEP有漏洞可以被入侵者利用，入侵者通過掃描WEP安全協(xié)議的漏洞，破解無線通信設(shè)備與用戶之間的聯(lián)系。如果入侵者只是采用簡單的監(jiān)視方式的攻擊，則需要花費很長的時間才能破解，而利用一些軟件工具進(jìn)行解密，所需的時間就很短了。盡管后來許多廠商針對WEP研發(fā)了安全策略，但也不能將安全保障都寄希望于加密WEP協(xié)議。因為它多層網(wǎng)絡(luò)安全措施有很多層，雖然加密WEP協(xié)議具有很重要的作用，但整個的網(wǎng)絡(luò)安全不能只依賴其中一層的安全性能。

2.4 欺騙

欺騙（Spoofing）是指黑客將偽造的信息發(fā)送給計算機的行為。由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，入侵者可以使用欺騙幀的方式，重新定向數(shù)據(jù)流、使ARP表變得混亂，經(jīng)過簡單的操作，入侵者就可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址，這些MAC地址可以用于惡意入侵時使用。

3 排除WIFI安全隱患的措施

“工欲善其事，必先利其器”，在我國全面建成“無線城市”之前，必須先加強WIFI安全保護(hù)措施，使無線網(wǎng)絡(luò)在安全、健康的情況下，在為我國的城市建設(shè)和發(fā)展中發(fā)揮出最大的優(yōu)勢。

3.1 設(shè)置新的SSID

無線局域網(wǎng)都有一個缺省的SSID，在組建網(wǎng)絡(luò)時應(yīng)更改這個設(shè)置，需要取消SSID的自動播放功能，同時通過對多個訪問點AP設(shè)置不同的SSID，要求相關(guān)的無線接入設(shè)備必須驗證SSID后才能訪問AP，這樣在一定程度上可以提高網(wǎng)絡(luò)的安全性，但這種SSID是用字母和數(shù)字符號來表示的，只是一種簡單的口令，使用該網(wǎng)絡(luò)的用戶都知道，因此容易泄露，所以只用于對安全等級要求不高的網(wǎng)絡(luò)。

3.2 啟用加密措施WPA

WEP提供了40位和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個應(yīng)用范圍內(nèi)的所有用戶共同使用一個密鑰，只要一個用戶丟失或者泄漏密鑰將使整個網(wǎng)絡(luò)不安全。改善靜態(tài)WEP安全的一種方法是設(shè)置接入點使用MAC過濾，僅允許事先確定的用戶群訪問這個網(wǎng)絡(luò)，但MAC地址在理論上可以偽造。盡量使用WPA或者WPA2形式的加密措施。擁有用戶和計算機認(rèn)證的EAP-TLS（擴展認(rèn)證協(xié)議-傳輸層安全）的WPA或者WPA2是最強大的身份識別方式。EAP-TLS使用數(shù)字證書提供互相身份識別。

3.3 虛擬專用網(wǎng)絡(luò)VPN

VPN是一種虛擬的、加密的網(wǎng)絡(luò)，它是在現(xiàn)有網(wǎng)絡(luò)上組建的。VPN主要使用“隧道傳輸”（tunneling）技術(shù)，因為加密數(shù)據(jù)流是通過一個普通的、未加密的連接來設(shè)置和維護(hù)的。VPN將安全的內(nèi)部網(wǎng)延展到遠(yuǎn)程用戶。因此，遠(yuǎn)程無線用戶能同時出現(xiàn)在兩個網(wǎng)絡(luò)中。在使用無線網(wǎng)絡(luò)的同時，還創(chuàng)建了一個VPN隧道，從而將遠(yuǎn)程客戶端連接到公司的內(nèi)部網(wǎng)絡(luò)。這樣一來，用戶在遠(yuǎn)程位置也能使用內(nèi)部網(wǎng)的資源。在WEP加密基礎(chǔ)上再使用VPN加密，攻擊者就難以同時對數(shù)據(jù)進(jìn)行兩道解密。尤其是，攻擊者無法輕松獲得VPN口令、證書或者智能卡密鑰，破解VPN數(shù)據(jù)的幾率是非常低的。

3.4 無線網(wǎng)絡(luò)由專業(yè)人員構(gòu)建

近年來無線網(wǎng)絡(luò)飛速發(fā)展，相應(yīng)組建無線網(wǎng)絡(luò)的設(shè)備也相當(dāng)普及，這就給構(gòu)建無線網(wǎng)絡(luò)提供了非常便利的條件，但非專業(yè)人士在安裝無線路由器等相關(guān)設(shè)備時，很少考慮網(wǎng)絡(luò)的安全性，入侵者通過網(wǎng)絡(luò)探測工具就可以對找到無線網(wǎng)絡(luò)的“后門”。因此，在構(gòu)建無線網(wǎng)絡(luò)時需要由專業(yè)人員設(shè)計、制作，這樣才能最大限度的提高無線網(wǎng)絡(luò)的安全性。

4 結(jié)束語

在我國“無線城市”的建設(shè)和完善過程中，我們必須深入考慮網(wǎng)絡(luò)的信息安全問題，在認(rèn)真借鑒和分析其他國家經(jīng)驗和教訓(xùn)的同時，結(jié)合我國的網(wǎng)絡(luò)現(xiàn)狀，以科學(xué)發(fā)展觀為指導(dǎo)，建設(shè)適應(yīng)我國經(jīng)濟社會需求的無線網(wǎng)絡(luò)，為中國特色社會主義經(jīng)濟建設(shè)提供有力的網(wǎng)絡(luò)支持。