ＷＬＡＮ中的安全措施

摘要：目前，局域網建網的地域越來越復雜，很多地方應用了無線技術來建設局域網。由于無線網絡應用電磁波作為傳輸媒介，因此安全問題就顯得尤為突出。找出危害無線局域網的一些因素，給出一些應對的安全措施，以保證無線局域網能夠安全、正常運行，顯得十分重要。

關鍵詞：WLAN；WEP；SSID；DHCP；安全措施

引言

WLAN是Wireless LAN的簡稱，即無線局域網。所謂無線網絡，顧名思義就是利用無線電波作為傳輸媒介而構成的信息網絡。WIAN技術為用戶提供更好的移動性、靈活性和擴展性，在難以重新布線的區域提供快速而經濟有效的局域網接入，無線網橋可用于為遠程站點和用戶提供局域網接入。但是，當用戶對WLAN的期望日益升高時，其安全問題隨著應用的深入表露無遺，并成為制約WLAN發展的主要瓶頸。

一、威脅無線局域網的因素

首先，由于WLAN是以無線電波作為上網的傳輸媒介，因此無線網絡難以限制網絡資源的物理訪問，無線網絡信號可以傳播到預期的方位以外的地域，具體情況要根據建筑材料和環境而定。這樣，網絡覆蓋范圍內都成為了WLAN的接入點，使入侵者有機可乘，可以在預期范圍以外的地方訪問WLAN，竊聽網絡中的數據；在入侵者擁有了網絡訪問權以后，有機會入侵WLAN，應用各種攻擊手段對無線網絡進行攻擊。其次，由于WLAN還是符合所有網絡協議的計算機網絡，所以計算機病毒一類的網絡威脅因素同樣也威脅著所有WLAN內的計算機，甚至會產生比普通網絡更加嚴重的后果。因此，WLAN中存在的安全威脅因素主要是：竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。

二、無線局域網的安全措施

1. 采用無線加密協議防止未授權用戶

保護無線網絡安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外，一個必須注意的問題就是，用于標志每個無線網絡的服務者身份(SSID)，在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。

2. 改變服務集標識符并且禁止SSID廣播

SSID是無線接入的身份標識符，用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備制造商設置的，并且每個廠商都用自己的缺省值。例如，3COM 的設備都用“101”。因此，知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一并且難以推測的SSID。

3. 靜態IP與MAC地址綁定

無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網絡來說是有安全隱患的，“不法”分子只要找到了無線網絡，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網絡中。因此，建議關閉DHCP服務，為每臺電腦分配固定的靜態IP地址，然后再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網絡的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關卡。設置方法如下：首先，在無線路由器或AP的設置中關閉“DHCP服務器”。然后激活“固定DHCP”功能，把各電腦的“名稱”(即Windows系統屬陸里的“計算機描述”)、以后要固定使用的IP地址、其網卡的MAC地址，都如實填寫好，最后點“執行”就可以了。

4. VPN技術在無線網絡中的應用

對于高安全要求或大型的無線網絡，VPN方案是一個更好的選擇。因為在大型無線網絡中，維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。VPN服務器提供網絡的認證和加密。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應用于大規模的無線網絡。

5. 無線入侵檢測系統

無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線局域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測系統已用于無線局域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線局域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP的無線上網用戶。無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良性能，他們同時還提供無線入侵檢測系統的解決方案。

6. 采用身份驗證和授權

當攻擊者了解網絡的SSID、網絡的MAC地址或甚至WEP密鑰等信息時，他們可以嘗試建立與AP關聯。目前，有3種方法在用戶建立與無線網絡的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于，如果您沒有其他的保護或身份驗證機制，那么您的無線網絡將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似于“口令—響應”身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制，STA向AP發送申請，然后AP發回口令；接著，STA利用口令和加密的響應進行回復。這種方法的漏洞在于，口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應，那么他們就可能找到用于加密的密鑰。這時，可以采用其他的身份驗證／授權機制，使用802.1x、VPN或證書對無線網絡用戶進行身份驗證和授權，使用客戶端證書，使攻擊者幾乎無法獲得訪問權限。

7. 其他安全措施

除了以上敘述的安全措施手段，我們還要采取一些其他的技術。例如，設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理，加強WLAN的安全性。

結束語

無線網絡應用越來越廣泛，但是隨之而來的網絡安全問題也越來越突出。要針對不安全因素給出解決的安全措施，有效防范竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等攻擊手段。由于現在各個無線網絡設備生產廠商生產的設備功能不一樣，所以本文介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網絡內用戶的信息和傳輸消息的安全性及保密性，有效地維護無線局域網的安全。

參考文獻：

[1]王秋華.淺析無線網絡實施的安全措施[J].中國科技信息.2005(17).

[3]邊鋒.無線網絡安全六種簡單技巧[J].計算機與網絡.2006(20).

（商丘市高級技工學校）