論無線局域網安全問題及其對策

摘 要：無線局域網是近年來迅速發展的無線數據通訊網。無線局域網由于采用了電磁波作為載體來傳輸數據，使得安全保密問題尤為突出。本文在分析目前無線局域網主要存在的安全隱患的基礎上，介紹了常用的無線局域網安全機制，并且針對不同的安全等級要求提出了具體的實現措施。

關鍵詞：無線局域網 網絡安全 訪問控制 數據加密

一、引言

伴隨著IT技術的飛速發展，無線局域網(WLAN)的應用正在不斷得到深入和發展，但在發展的同時，安全問題也正變得日益嚴峻。

由于無線局域網的數據是通過電磁波在空中輻射傳播的，只要在接入點（AP）覆蓋的范圍內，所有的無線終端都可以接收到無線信號。無線網絡的電磁輻射傳輸方式使其安全保密問題變得尤為突出。如何確保數據不外泄和數據的完整性是首要解決的的問題。

二、無線局域網的安全隱患

相對于有線局域網，無線局域網新增的安全問題主要是因其不同的傳輸方式所引起，其它方面的安全問題是相似的。因而這將成為我們分析的重點。

1. 過度追求覆蓋范圍

無線局域網有一定的覆蓋范圍，對不需要信號覆蓋的區域沒有采取屏蔽措施，而如此“曝光”無線局域網，就為攻擊者探測和接收到必要的信息提供了便利，使得散布出去的信號可能被攻擊者利用，攻擊者通過高靈敏天線可從任何地方發起攻擊而不需要物理方式的侵入。

2. 惡意的訪問點

無線局域網易于訪問，任何人可自行購買AP設備，不經網管許可而接入網絡，非法接入點將給網絡帶來很多不安全因素。

同時，許多用戶對無線AP設備的出廠設置未做更改，僅開啟和使用默認密鑰。Windows XP操作系統的“無線零配置”又具有自動搜索無線網絡的功能，使XP客戶端一旦進入信號覆蓋范圍，就會自動連接，導致不設防的侵入。

3. 拒絕服務攻擊

無線局域網的帶寬比較有限，而其頻率和微波爐、藍牙手機等設備相同，這些設備會對無線局域網形成干擾。如果人為惡意地增加這種干擾，很容易形成消耗帶寬的拒絕服務攻擊。除此之外，攻擊者還可以利用自己控制的AP，發出大量的中止命令，使終端斷開連接。

4. 身份假冒

由于802.11無線局域網對數據幀不進行認證，攻擊者可以通過欺騙去重定向數據流和使ARP表變得混亂，輕易獲得網絡節點的MAC地址，從而在惡意攻擊時使用。

攻擊者還可以通過監測AP發出的廣播幀發現其存在。通過輔助工具，將入侵者的計算機偽裝成AP，讓客戶端自動連接到假冒的AP，然后進行攻擊。

5. WEP協議的固有漏洞

802.11所采用的WEP加密方式本身就存在安全漏洞。802.11無法防止攻擊者采用被動方式監聽網絡，利用無線網絡分析儀可以輕易截獲未加密的網絡流量。WEP僅能保護用戶和網絡通信的初始數據，并且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者提供了機會。

6. 對內部網絡的攻擊

很多網絡都有一套設置完善的安全設備為外殼，以防止非法攻擊，但在外殼保護的網絡內部則較為脆弱，容易受攻擊。無線局域網可通過簡單配置快速接入主干網絡，這樣會使網絡暴露在攻擊者面前。即使有一定邊界安全設備的網絡，同樣會使網絡暴露從而遭到攻擊。

三、無線局域網的安全措施

通過上述分析，可以獲知無線局域網的安全性較為薄弱。有必要采取一些具體的方法來填補漏洞。盡管這些方法不能單獨用于保證網絡安全，但綜合運用它們，就能大幅提升安全性。

1. 基本安全措施

為了加強WLAN的安全性，首先將重點放在接入點AP上，因為AP是無線局域網數據傳輸的基礎。

1.1合理布置

合理布置無線AP及節點位置，以免超出物理管轄范圍，控制AP發送的信號，從而控制信號泄漏。例如將AP置于建筑物中心區域，遠離窗戶。不僅使室內的合法節點能更好地接入，而且還可減少外界干擾。另一方面還應靈活地減少接入點廣播強度，僅覆蓋所需區域，減少被竊聽的機會。

1.2服務集標識(SSID)匹配

對于較低級別的安全防護，可以使用SSID匹配驗證。改變SSID的默認值，不同的無線AP設置不同的SSID標識，當工作站正確設置了SSID才能訪問AP。關閉SSID的定期廣播，使入侵者增加了竊聽難度。

1.3物理地址過濾

在網絡規模較小且工作站相對固定的場合可使用MAC地址過濾進行訪問控制。可以設置AP只允許特定的MAC地址連接，實現基于物理地址的過濾，限制非授權N的訪問，經常查看AP日志，及時發現攻擊者。

雖然MAC地址過濾存在缺陷：更改無線網卡設置來偽造MAC地址，但這需要攻擊者有一定的嗅探及網絡水平才能破解，因而它能防止大多數的網絡入侵。

1.4有線等效保密(WEP)技術

目前的WEP版本雖有明顯缺陷，但它仍可起到最起碼的保護，避免大多數的安全威脅。

WEP采用共享密鑰RC4對稱加密方法，對網絡鏈路層的信息數據進行加密，數據的加密和解密采用相同的密鑰和算法。只有用戶的密鑰與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。

2.WLAN保護增強

隨著WLAN的發展，陸續出現了用于糾正WEP脆弱性的技術，802.11網絡新版本也采用了一些增強的安全機制。

2.1端口訪問控制技術(IEEE 802.1x)和可擴展認證協議(EAP)

IEEE 802.1x主要用于解決無線局域網用戶的接入認證問題，802.1x提供了一個可靠的用戶認證和分發密鑰的方法，可以控制用戶只有在認證通過以后才能連接到網絡。

但802.1x本身不提供實際的認證機制，需要和EAP配合才能實現。EAP允許無線終端使用不同的認證類型，與后臺的認證服務器(如遠程認證撥號用戶服務器)進行通訊。當無線終端與無線AP關聯后，是否可以使用AP的受控端口取決于802.1x的認證結果，如果非受控端口發送的認證請求通過了驗證，則AP為其打開受控端口，否則一直關閉受控端口，用戶將不能聯網。

2.2 WPA保護訪問技術

WPA是一種繼承了WEP基本原理而又解決了WEP缺點的新技術。

WPA比WEP更可靠，因為它加強了生成加密密鑰的算法，即使入侵者能截獲較多的數據，破解起來也非常困難。WPA根據通用密鑰，配合表示MAC地址和分組信息順序的編號，為每個分組生成不同的密鑰，然后將此密鑰用RC4加密。處理后的分組所交換的數據由各個不同的密鑰加密而成。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中的缺點得以解決。

2.3暫時密鑰完整性協議(TKIP)技術

加密技術TKIP是在現有WEP加密引擎中追加了密鑰細分、消息完整性檢查、具有序列功能的初始向量和密鑰生成與定期更新功能等4種算法，極大地提高了加密安全強度。

TKIP所提供的安全特性專門用于糾正WEP的脆弱性。TKIP仍采用RC4做加密算法，但它能避免生成脆弱的密鑰，并強制每10000個數據包生成一個新密鑰。同時對初始化向量IV值進行哈希處理，這些值在WEP中以明文發送，采用TKIP后IV就會以加密形式傳送。

TKIP還包括消息完整性檢查這樣一個更安全的數據完整性驗證方法，它用來解決可能允許入侵者在數據包中注入數據的漏洞。通過驗證數據包沒有被更改，同時轉儲可疑的數據包，入侵者將無法輕易推算出偽隨機生成算法(PRGA)值。

2.4高級加密標準(AES)技術

AES是增強的保護數據的加密算法。采用對稱的塊加密技術，使用128位分組加密數據，提供比RC4算法更高的加密性能，以實施更強的加密和信息完整性檢查。AES匯聚了強安全性，高性能，高效率，易用和靈活等特點。

3.虛擬專用網絡(VPN)和防火墻技術

無線網絡的安全性較低，因而無線網絡和核心網絡需要隔離，將它接在防火墻等安全設備的外面。通過設置防火墻，讓其阻止除了授權的VPN客戶端外的所有接入請求，不僅能保證訪問點的安全，還可為WLAN用戶和數據提供額外的安全保護。

對于安全要求比較高的大型無線網絡，VPN是一個較好的選擇。無線局域網的數據用VPN技術加密后再用無線加密技術加密，就好像雙重門鎖，提高了可靠性。VPN是在公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性。用戶可借助VPN來抵抗無線網絡的不安全因素。

IPSec VPN和SSL VPN是兩種較有代表意義的VPN技術。IPSec VPN運行在網絡層，保護在節點間的數據傳輸安全，要求遠程接入者必須正確地安裝和配置客戶端軟件或接入設備，將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上，提供了較高水平的安全性。SSL被預先安裝在主機的瀏覽器中，是一種無客戶機的解決方案，可以節省安裝和維護成本。將VPN安全技術與其他無線安全技術結合起來，是目前較為理想的無線局域網安全解決方案。

4.無線入侵檢測系統(IDS)

要保證無線局域網數據的安全，僅僅進行攻擊防護是不夠的，攻擊檢測技術可以作為另一道墻來保護網絡系統。盡管無線入侵檢測系統不能提供直接的保護，但它會在發現疑似攻擊時及時發出通知，極大提高網絡的防御能力。

IDS中的協議分析技術作為新的檢測模式，改進了傳統檢測手段的不足。它利用網絡通信協議的高度規則性，捕獲數據包，分析網絡數據包，確認數據包的協議類型，利用相應的命令解析程序，分析數據包的數據。它不僅能檢測到網絡入侵的存在，而且能夠指出當前不安全的網絡配置，檢測網絡中的故障，為網絡維護管理提供參考。協議分析方法的入侵檢測準確性高，可以有效地檢測入侵的來源。

四、結束語

無線局域網安全機制本身固有的漏洞及無線介質特有的開放性和穿透性，使其安全性變得較為脆弱。為了保證無線局域網的數據安全，必須有針對性地從管理和技術方面采取措施，加強防護和檢測。只有確保無線局域網的安全，才能充分發揮無線網的優越性。

參考文獻：

［1］司紀鋒.無線局域網安全分析與檢測系統的研究和實現.曲阜師范大學，2006年06期.

［2］朱坤華，馮云芝.淺析新一代無線局域網安全標準IEEE 802.11i［J］.甘肅科技縱橫，2005年04期.

［3］段鋼.加密與解密.電子工業出版社，2003年6月.

［4］梁磊.80211i無線局域網的安全現狀研究［J］.福建電腦，2006年02期.

［5］王大新.淺析無線局域網安全技術及在企業網中的應用［J］.網絡安全技術與應用，2005年07期.