淺談無線網絡的安全解決方案

林鍇 國家地質實驗測試中心；北方工業大學

淺談無線網絡的安全解決方案

林鍇 國家地質實驗測試中心；北方工業大學

“Wi-Fi”是Wireless Fidelity的縮寫，原意是“無線保真”，現在被大多數人看做是美國電氣與電子工程師學會IEEE 802.11 a/b/n 無線局域網的代名詞。最近幾年，隨著技術的改進以及生產成本的降低，無線局域網已經逐漸走進了人們的生活中，現在市面上在銷售的筆記本幾乎所有都內置了無線網卡，多數人都能享受到無線網絡帶來的便捷，但是遺憾的是，多數人對于Wi-Fi的安全意識仍然停留在有線網絡的時代，因為他們忽略了一個有線到無線最重要的變化——無線網絡是開放的，它不像有線網一樣擁有網線提供物理保護，我們的所有數據都通過廣播的形式暴露在空氣中。

1 、無線網絡的加密方式

1.1 WEP加密

既然Wi-Fi的數據是通過電磁波傳播，暴露在空氣中的，就一定要考慮到數據的安全問題，為了實現與有線網絡等效的數據傳輸，在1999年通過的IEEE 802.11標準中推出了一種叫做WEP（Wired Equivalent Privacy中文意思是有線等效加密）的加密方式。這種方法在當時看來比較成熟，收發兩端通過RC4算法將數據加解密，而且具有校驗過程來保證數據完整，確保數據傳播的安全性。

但是WEP的安全性卻受到了不斷的挑戰，在2001年時，Scott Fluhrer、Itsik Mantin和Adi Shamir就撰文指出了WEP加密的缺陷性，只要搜集到足夠多的數據包就可以計算出密碼。在同一年就出現了一個名為“Airsnort”的軟件，該軟件可以自動截取并且計算WEP密碼，WEP的安全問題開始逐漸顯現。國內的大多數用戶開始接觸破解WEP的工具是2004年發布的“Aircrack”（在WINDOWS下的版本為“WinAirCrackPack”），有了這些工具和符合軟件需求的無線網卡，人人都能成為“無線黑客”

1.2 WPA加密

考慮到WEP的安全問題，IEEE在2004年通過的IEEE 802.11i標準中，推出了WPA（Wi-Fi Protected Acess，Wi-Fi安全存取）加密方式，WPA仍然使用RC4 算法， 所以支持WEP的已有無線設備可以在只做軟件升級的情況下就支持它，但同時WPA又考慮了WEP的不足，使用了比WEP長的IV、密鑰和動態變化的密鑰機制，所以WPA的安全性較之Wep 加密大大提高。加上Wi-Fi 聯盟的影響力，使得WPA在推出之后得到了廣泛的應用。

不過在2009年11月，研究員ErikTews在東京的PacSec大會上展示了如何將WPA加密方式中TKIP算法逆向還原出明文。根據Tews/Beck的方法，攻擊者嗅探數據包，略作修改影響校檢，校檢的結果會寄回接入點，允許攻擊者解密個別的數據包。不過這種攻擊只對短數據包有效，長數據包仍然很安全。

WEP與WPA加密都被破解，這樣就使得目前無線通訊只能夠通過自己建立Radius驗證服務器或使用WPA2來提高通訊安全了。不過WPA2并不是所有設備都支持的。

1.3 WPA2加密

使用AES算法，能把原來的問題解決得更好，是無線局域網當前的最高安全標準，由于AES對硬件要求比較高，因此WPA2 無法利用現有設備的基礎進行升級，只能用于通過Wi-Fi 認證的WPA2 設備。

表1 WEP、WPA和WPA2三種加密方式的比較

2 、無線網絡的誤區與設置建議

2.1 安全誤區一：不廣播SSID即隱身

很多人覺得如果關閉SSID的發送，蹭網者就不能得知區域中存在的局域網，所以就能高枕無憂的使用WEP加密甚至不加密，以得到更高的傳輸速度。但是這樣存在一個明顯的漏洞，如果攻擊者使用“Deauth攻擊”使無線路由器與用戶之間的連接斷開，當客戶端嘗試重新連接路由器時，攻擊者就會截取到數據包中包括的SSID標識，使“不廣播SSID”變得毫無意義。除此之外，“抓包分析”“暴力破解”等方式也可以輕易取得SSID，所以認為只要關閉SSID的發送就能防止蹭網、防止入侵是毫無根據的。

圖1 關閉SSID廣播

2.2 安全誤區二：綁定MAC地址即安全

很多無線路由器都內置綁定MAC地址的功能，這個功能可以允許或者禁止指定MAC地址的網卡訪問無線路由器，當設定好已知設備的MAC地址后選擇了“列表中生效規則之外的MAC地址訪問本無線網絡”，那么即使他人獲得了WEP/WPA密碼，也無法訪問到無線路由，而且這種方法不僅對無線端起作用，對有線端同樣生效。

圖2 MAC地址過濾

這種方法看起來天衣無縫，但是卻無法防止“MAC地址仿冒”的破解方法，破解者可以截獲數據包，從數據包中分析出MAC地址后更改自身的MAC地址，之后利用合法的身份連接無線路由，這樣就繞過了MAC地址過濾的排查，打到了入侵的目的。

3 、安全解決方案

目前相對安全的設置方案，就是使用復雜密碼的“WPA2-AES”加密方式，并盡量開啟“MAC地址過濾”。另外一個很重要的就是，用戶一定要為無線路由器的管理賬號設置復雜的密碼，并且更改用戶名，默認的“admin”帳戶最好刪除，換為自己建立的賬戶。

如果想要擺脫復雜的設置，也可以在資金允許的條件下購買帶有“WPS”功能的無線路由器。WPS（Wi-Fi Protected Setup，Wi-Fi保護設置）可以簡化無線網絡的安全加密設置，可以自動設定網絡名SSID、配置WPA2加密方式和密碼，用戶幾乎不需過多干涉。

圖3 支持“WPS”功能的無線路由器和無線上網卡上會有一個功能鍵

4 、結束語

盡管各個無線局域網的情況不盡相同，但是大都面臨相似的網絡安全環境，本文主要介紹了3 種常見的網絡加密協議，以及它們各自的優缺點，并相應的提出了對于應對無線網絡安全問題的解決機制，為無線局域網的安全提供了理想的建議。

[1]馮錫平, 劉元安.MIMO-OFDM 技術與IEEE802.11n 標準[J].現代電信科技.2005(03):22-24.

[2]馬建峰, 吳振強.無線局域網安全體系結構[M].北京：高等教育出版社.2008.57-77.

[3]沈芳陽.基于IEEE 802.11 系列標準的無線局域網安全性研究[D].廣東工業大學.2004.103-112.

[4]姜瑋.無線網絡安全防范技術比較.網絡通訊及安全.2009.10,

842 6-8427

10.3969/j.issn.1001-8972.2010.20.031