章國(guó)政　張亞威　李鵬龍

【摘要】隨著無(wú)線局域網(wǎng)技術(shù)的不斷成熟和普及，無(wú)線局域網(wǎng)作為有線網(wǎng)絡(luò)的補(bǔ)充和延伸，出現(xiàn)后得到了迅猛的發(fā)展。因此無(wú)線局域網(wǎng)的安全與防護(hù)就成了我們當(dāng)前的首要問(wèn)題。無(wú)線局域網(wǎng)中主要的安全性考慮包括訪問(wèn)控制和加密。本文著重分析了無(wú)線局域網(wǎng)的概念，無(wú)線局域網(wǎng)面臨的若干安全問(wèn)題以及防范對(duì)策。

【關(guān)鍵詞】無(wú)線局域網(wǎng)安全性安全威脅防范對(duì)策

一、什么是無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)（Wireless Local Area Network，縮寫(xiě)為“WLAN”）是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)的結(jié)合的產(chǎn)物。無(wú)線局域網(wǎng)是實(shí)現(xiàn)移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)中移動(dòng)站的物理層與鏈路層功能，為移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)提供必要的物理接口的網(wǎng)絡(luò)。通俗的說(shuō)，無(wú)線局域網(wǎng)就是在不采用傳統(tǒng)纜線的同時(shí)，提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。從專(zhuān)業(yè)角度講，無(wú)線局域網(wǎng)利用了無(wú)線多址信道的一種有效方法來(lái)支持計(jì)算機(jī)之間的通信，并為通信的移動(dòng)化、個(gè)性化和多媒體應(yīng)用提供了可能。

二、無(wú)線局域網(wǎng)的安全性

無(wú)線局域網(wǎng)的最大優(yōu)點(diǎn)，也正是它的最大缺點(diǎn)：已部署的這些網(wǎng)絡(luò)都是開(kāi)放式和易于接入的。信息的機(jī)密性、完整性、可用性以及資源的合法使用是網(wǎng)絡(luò)安全的四個(gè)基本目標(biāo)。但是WLAN與有線網(wǎng)路相比，卻更難達(dá)到這個(gè)目標(biāo)，一方面，數(shù)據(jù)通過(guò)無(wú)線電波傳輸，在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的任何一個(gè)無(wú)線網(wǎng)絡(luò)用戶(hù)都能接觸到數(shù)據(jù)，另一方面，無(wú)線設(shè)備存在存儲(chǔ)能力、計(jì)算能力等方面的局限性。因此無(wú)線局域網(wǎng)存在以下七大安全性威脅：

1、信息重放

在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶(hù)端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。

2、WEP破解

現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序。能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析加以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，最快可以在倆個(gè)小時(shí)內(nèi)攻破WEP密鑰。

3、網(wǎng)絡(luò)竊聽(tīng)

一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ拧Ｓ捎谌肭终邿o(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò)，所以，這種無(wú)線網(wǎng)絡(luò)安全威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一。

4、假冒攻擊

某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體訪問(wèn)無(wú)線網(wǎng)絡(luò)，即所謂的假冒攻擊。這是侵入某個(gè)安全防線的最為通用的方法。在無(wú)線網(wǎng)絡(luò)中，移動(dòng)站與網(wǎng)絡(luò)控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接，移動(dòng)站必須通過(guò)無(wú)線信道傳輸其身份信息，身份信息在無(wú)線信道中傳輸時(shí)可能被竊聽(tīng)，當(dāng)攻擊者截獲一合法用戶(hù)的身份信息時(shí)，可利用該用戶(hù)的身份侵入網(wǎng)絡(luò)，這就是所謂的身份假冒攻擊。

5、MAC地址欺騙：

通過(guò)網(wǎng)絡(luò)竊聽(tīng)工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。

6、拒絕服務(wù)：

攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱(chēng)為能源消耗攻擊。

7、服務(wù)后抵賴(lài)：

服務(wù)后抵賴(lài)是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種無(wú)線網(wǎng)絡(luò)安全威脅在電子商務(wù)中常見(jiàn)。

三、無(wú)線局域網(wǎng)的安全防范與對(duì)策

1 、建立MAC地址表。減少非法用戶(hù)的接入

如果所在接入小區(qū)接入用戶(hù)不多，可通過(guò)其提供的惟一合法MAC地址在其接入的核心交換機(jī)上建立MAC地址表，對(duì)接入的用戶(hù)進(jìn)行驗(yàn)證，以減少非法用戶(hù)的接入。同時(shí)，可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這個(gè)方案要求AP中的MA C地址列表必需隨時(shí)更新，可擴(kuò)展性差，無(wú)法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。

2 、采用有線等效保密改進(jìn)方案（WEP2）

IEEE802.11標(biāo)準(zhǔn)規(guī)定了一種被稱(chēng)為有線等效保密（WEP）的可選加密方案，其目標(biāo)是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)。WEP在鏈路層采用RC4對(duì)稱(chēng)加密算法，從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。有線等效保密（WEP）方案主要用于實(shí)現(xiàn)3個(gè)安全目標(biāo)：接入控制、數(shù)據(jù)保密性和數(shù)據(jù)完整性。然而wEP存在極差的安全性，所以IEEE802.11i提出有線等效保密改進(jìn)方案（WEP2），它與傳統(tǒng)的WEP算法相比較，將WEP加密密鑰的長(zhǎng)度加長(zhǎng)到104位，初始化向量的長(zhǎng)度右24位加長(zhǎng)到128位，所以建議使用的WLAN設(shè)備具有WEP2功能。

3、在AP點(diǎn)之間構(gòu)建VPN

VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標(biāo)準(zhǔn)定義；但是用戶(hù)可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于Radius的用戶(hù)認(rèn)汪以及計(jì)費(fèi)?？梢酝ㄟ^(guò)購(gòu)置帶VPN功能防火墻，在無(wú)線基站和AP之間建立VPN隧道，這樣整個(gè)無(wú)線網(wǎng)的安全性得到極大的提高，能夠有效地保護(hù)數(shù)據(jù)的完整性，可信性和可確認(rèn)性。

4、對(duì)SSID進(jìn)行控制

通過(guò)對(duì)AP點(diǎn)和網(wǎng)卡設(shè)置復(fù)雜的SSID（服務(wù)集標(biāo)識(shí)符），并根據(jù)需求確定是否需要漫游來(lái)確定是否需要MAC地址綁定，同時(shí)禁止AP向外廣播SSID。

5、指定接入.維護(hù)管理規(guī)范

指定嚴(yán)格、規(guī)范、合琿的無(wú)線局域網(wǎng)接入及管理規(guī)范，在WLAN的色及構(gòu)建和維護(hù)過(guò)程中，應(yīng)考慮方便集中管理、雙向認(rèn)證、數(shù)據(jù)加密方式等重要因素。要求接入用戶(hù)嚴(yán)格遵守管理規(guī)定。

【參考文獻(xiàn)】

[1]張斌，湯紅波，張汝云，劉民。下一代無(wú)線局域網(wǎng)安全性研究[j]。電視技術(shù)，2007年01期。

[2]賈光炯。淺談無(wú)線局域網(wǎng)的安全性[j].廣東通信技術(shù)，2015年02期

[3]湛成偉。網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)分析[j].重慶工學(xué)院學(xué)報(bào)，2006，20（8）：119-121