楊杭杭

引言：隨著信息技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，目前無(wú)線局域網(wǎng)已經(jīng)成為每個(gè)辦公區(qū)域重要的應(yīng)用熱點(diǎn)，給人們的生活和工作帶來(lái)了很多便利，但是隨之而來(lái)的局域網(wǎng)安全問(wèn)題和隱患也逐漸成為人們關(guān)注的焦點(diǎn)。本文針對(duì)辦公區(qū)域無(wú)線局域網(wǎng)安全存在的各種缺陷和安全問(wèn)題進(jìn)行了分析，并結(jié)合最新的無(wú)線局域網(wǎng)安全技術(shù)提出了解決問(wèn)題的方法與措施。

前言：幾年來(lái)，隨著我國(guó)無(wú)線局域設(shè)備的不斷普及和無(wú)線局域網(wǎng)技術(shù)的不斷發(fā)展，無(wú)線局域網(wǎng)技術(shù)在辦公區(qū)域的應(yīng)用也越來(lái)越普遍，而且無(wú)線局域網(wǎng)因靈活度高、接入速度快及移動(dòng)傳輸數(shù)據(jù)方便等原因而備受人們的青睞。但是，無(wú)線局域網(wǎng)與有線網(wǎng)絡(luò)相比，更容易受到他人的攻擊和泄密，在辦公區(qū)域使用無(wú)線局域網(wǎng)進(jìn)行傳輸?shù)臄?shù)據(jù)和文件中有很多重要資料，甚至關(guān)系到商業(yè)機(jī)密，因此受到攻擊后所產(chǎn)生的后果可能非常嚴(yán)重。此外，由于辦公區(qū)域無(wú)線網(wǎng)絡(luò)具有使用群體復(fù)雜、應(yīng)用范圍廣泛、管理難度較大等特性，因此辦公區(qū)域無(wú)線網(wǎng)絡(luò)比其他無(wú)線網(wǎng)絡(luò)更加脆弱。

一、無(wú)線局域網(wǎng)簡(jiǎn)介

無(wú)線局域網(wǎng)是指以無(wú)線信息渠道為傳輸媒介的計(jì)算機(jī)局域網(wǎng)絡(luò)，是無(wú)線傳輸在局域網(wǎng)技術(shù)的應(yīng)用，是在有線網(wǎng)絡(luò)的基礎(chǔ)之上逐漸產(chǎn)生和發(fā)展起來(lái)的。由于無(wú)線局域網(wǎng)具有使用和接入方便、靈活度高、移動(dòng)性高、不受地理空間的約束等諸多特點(diǎn)，在諸多領(lǐng)域當(dāng)中體現(xiàn)出了巨大的優(yōu)勢(shì)，因此無(wú)線局域網(wǎng)技術(shù)成為當(dāng)前廣大學(xué)者和工作者研究的熱點(diǎn)。無(wú)線局域網(wǎng)的本質(zhì)是用無(wú)線的方式替代電纜方式將網(wǎng)絡(luò)和計(jì)算機(jī)、網(wǎng)絡(luò)和移動(dòng)設(shè)備進(jìn)行連接，有效提高了終端移動(dòng)和網(wǎng)絡(luò)構(gòu)建的靈活度，與傳統(tǒng)有線網(wǎng)絡(luò)相比較無(wú)線局域網(wǎng)的優(yōu)勢(shì)顯而易見(jiàn)。

二、辦公區(qū)域無(wú)線局域網(wǎng)安全現(xiàn)狀分析

（一）傳輸過(guò)程中的缺陷

在使用無(wú)線局域網(wǎng)進(jìn)行數(shù)據(jù)傳輸時(shí)，是通過(guò)無(wú)線電波的方式進(jìn)行發(fā)射和傳送，因此通過(guò)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)任何人都有可以通過(guò)非法設(shè)備獲取傳送的網(wǎng)絡(luò)信息。為了保證通信安全，目前在無(wú)線局域網(wǎng)中采取了一定的安全措施，其中主要包括訪問(wèn)認(rèn)證、控制、數(shù)據(jù)完整性、加密等[1]。IEEE制定的無(wú)線局域網(wǎng)協(xié)議標(biāo)準(zhǔn)主要有IEEE802.11系列、Home-RF、HiperLAN及藍(lán)牙等，目前在全球范圍內(nèi)IEEE的802.11系列是無(wú)線局域網(wǎng)絡(luò)的主流標(biāo)準(zhǔn)。IEEE的802.11標(biāo)準(zhǔn)主要是通過(guò)三項(xiàng)安全技術(shù)對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)的安全傳輸進(jìn)行保障，這三項(xiàng)安全技術(shù)分別為MIC技術(shù)、SSID技術(shù)和WEP技術(shù)。但是，在設(shè)計(jì)IEEE802.11標(biāo)準(zhǔn)的最初目的主要是為了保證和方便連接，所以，IEEE802.11作為一個(gè)比較開(kāi)放的標(biāo)準(zhǔn)存在諸多安全隱患。

（二）靜態(tài)秘鑰的缺陷

一般情況下辦公區(qū)域無(wú)線局域網(wǎng)絡(luò)的靜態(tài)分配的WEP秘鑰主要保存于適配卡的非易失性儲(chǔ)存器之中，所以當(dāng)發(fā)生適配卡被盜用或者丟失的情況，他人都可以使用適配卡對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行非法訪問(wèn)。及時(shí)對(duì)辦公區(qū)域局域網(wǎng)絡(luò)共同使用的秘鑰進(jìn)行更新，并重新發(fā)布新的秘鑰可以有效避免以上問(wèn)題的發(fā)生。當(dāng)無(wú)線局域網(wǎng)使用用戶較少時(shí)，管理員對(duì)靜態(tài)密鑰進(jìn)行定期更新的工作量不會(huì)太大。但是如果辦公區(qū)域內(nèi)無(wú)線局域網(wǎng)使用用戶較多時(shí)，即使管理員通過(guò)某些方法和措施對(duì)接入點(diǎn)上的密鑰一起進(jìn)行更新，其工作量也將非常大。

（三）訪問(wèn)控制機(jī)制的缺陷

1.以太網(wǎng)MAC地址訪問(wèn)控制缺陷：如果無(wú)線局域網(wǎng)絡(luò)激活了WEP則MAC會(huì)暴露在外，因此以太網(wǎng)MAC地址很容易受到黑客和非法分子的攻擊[2]。此外，目前大多數(shù)的無(wú)線網(wǎng)卡的MAC地址可以使用某些軟件進(jìn)行修改，因此，攻擊者在盜取了MAC地址之后，通過(guò)相關(guān)編程將MAC的有效地址寫(xiě)到無(wú)線網(wǎng)卡之中，進(jìn)而偽裝成一個(gè)有效地址越過(guò)訪問(wèn)控制。

2.封閉網(wǎng)絡(luò)訪問(wèn)控制缺陷：無(wú)線局域網(wǎng)絡(luò)的幾個(gè)管理消息之中一般都會(huì)包括SSID或網(wǎng)絡(luò)名稱，而且這些管理消息被用戶和接入點(diǎn)的網(wǎng)絡(luò)使用過(guò)程中傳播，不會(huì)受到任何控制。因此黑客或者非法用戶可以輕松的發(fā)現(xiàn)網(wǎng)絡(luò)名稱，獲得辦公區(qū)域無(wú)線局域網(wǎng)的共享密鑰，進(jìn)而成功連接到無(wú)線局域網(wǎng)上。

三、辦公區(qū)域無(wú)線局域網(wǎng)安全方法探究

（一）合理安裝無(wú)線網(wǎng)絡(luò)設(shè)備

首先，在辦公區(qū)域在安裝無(wú)線局域網(wǎng)絡(luò)時(shí)AP的安放位置和WLAN的覆蓋范圍要恰當(dāng)，避免超出物理管轄范圍，給非法分子提供盜竊的空間。其次，由于辦公區(qū)域無(wú)線局域網(wǎng)絡(luò)的安全程度較低，所以應(yīng)該將核心網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)進(jìn)行有效隔離，最好將無(wú)線網(wǎng)絡(luò)接入到安全設(shè)備的外面[3]。

（二）合理配置無(wú)線網(wǎng)絡(luò)設(shè)備

對(duì)SSID進(jìn)行有效的更改，使SSID不會(huì)輕易被他人猜到；有效利用MAC地址通過(guò)訪問(wèn)權(quán)限控制列表等方式，限制非授權(quán)人員對(duì)辦公區(qū)域無(wú)線局域網(wǎng)絡(luò)的訪問(wèn)；管理者應(yīng)該經(jīng)常對(duì)AP日志進(jìn)行檢查，及時(shí)發(fā)現(xiàn)無(wú)線局域網(wǎng)絡(luò)的進(jìn)攻者。

（三）采用靜態(tài)IP地址

辦公區(qū)域無(wú)線局域網(wǎng)應(yīng)該使用靜態(tài)IP地址，避免使用由DHCP服務(wù)器進(jìn)行配置的動(dòng)態(tài)IP地址，由此防止攻擊者通過(guò)IP地址克隆和欺騙等手段對(duì)辦公區(qū)域無(wú)線局域網(wǎng)進(jìn)行非法訪問(wèn)[4]。

（四）加強(qiáng)用戶的計(jì)算機(jī)安全管理

辦公區(qū)域無(wú)線局域網(wǎng)的用戶端應(yīng)該安裝個(gè)人的殺毒軟件和防火墻，并對(duì)其進(jìn)行及時(shí)的更新；管理者對(duì)辦公區(qū)域無(wú)線局域網(wǎng)的WEP密鑰經(jīng)常進(jìn)行更新；用戶注重口令和密碼的安全使用等，由此提高辦公區(qū)域無(wú)線局域網(wǎng)的安全性。

（五）其他方法和措施

若條件允許，辦公區(qū)域無(wú)線局域網(wǎng)可以使用WLAN入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控和分析，及時(shí)發(fā)現(xiàn)和處理假冒的客戶端和非法接入的AP?；蛘呤褂萌肭謾z測(cè)工具，定期對(duì)辦公區(qū)域無(wú)線局域網(wǎng)進(jìn)行掃描，及時(shí)發(fā)現(xiàn)非法用戶等。

結(jié)語(yǔ)：無(wú)線局域網(wǎng)本身存在一定的安全缺陷，而且受到辦公區(qū)域環(huán)境特點(diǎn)的影響，導(dǎo)致改善和解決辦公區(qū)域無(wú)線局域網(wǎng)安全問(wèn)題會(huì)比較困難。所以在提高辦公區(qū)域無(wú)線局域網(wǎng)的相對(duì)安全性時(shí)，應(yīng)該從多方位、多層次進(jìn)行綜合分析，靈活使用多種安全手段，并建立無(wú)線網(wǎng)絡(luò)防護(hù)機(jī)制。隨著辦公區(qū)域無(wú)線局域網(wǎng)的在工作和生活需求中的價(jià)值不斷提升，無(wú)線局域網(wǎng)的安全性也必將得到有效的改善和提升，因此無(wú)線局域網(wǎng)安全技術(shù)和措施的研究將成為當(dāng)代信息安全領(lǐng)域中的重要課題。

參考文獻(xiàn)

[1]史云志.無(wú)線局域網(wǎng)安全機(jī)制研究與無(wú)線接入點(diǎn)WAPI協(xié)議實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2011.

[2]閆國(guó)星.面向安全保密應(yīng)用的無(wú)線局域網(wǎng)管控技術(shù)研究[D].北京：北京交通大學(xué)，2014.

[3]周星，康耀紅，孫盛杰.基于IPSec的無(wú)線局域網(wǎng)安全解決方案的研究[J].計(jì)算機(jī)工程與應(yīng)用，2013，13（11）：119-124.

[4]張威.無(wú)線局域網(wǎng)安全傳輸協(xié)議標(biāo)準(zhǔn)與安全研究[J].軟件導(dǎo)刊，2013，11（14）：15-16.

（作者單位：武漢地鐵集團(tuán)有限公司）