無線局域網中的安全措施

摘要：隨著局域網建網地域規模的不斷擴大，應用無線網絡建設局域網的技術也日趨成熟。但是無線網絡技術是應用電磁波作為傳輸媒介的，因此安全問題就顯得尤為重要。通過對危害無線局域網的一些因素的敘述，提出了一些解決的安全措施，以保證無線局域網能夠安全、正常地運行。

關鍵詞：WLAN AP WEP SSID 安全措施

中圖分類號：TP393.08 文獻標志碼：Ａ文章編號：１６７３－２９１Ｘ（２０11）26－０290－02

引言

隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，希望不論在何時、何地、與何人均能進行數據、語音、圖像等多種內容通信，并希望能實現主機在網絡中自動漫游。無線局域網依靠其無法比擬的靈活性、可移動性和極強的可擴充性，使人們真正享受到簡單、方便、快捷的鏈接。

WLAN是Wireless LAN的簡稱，即無線局域網。通俗地說，無線局域網就是在不采用有線傳輸介質，只利用無線電波，提供傳統有線局域網的所有功能。網絡所需要的基礎設施不用埋藏在地下，布設在空中或隱藏在墻里，而網絡卻能夠隨著用戶的移動來提供服務。

但當用戶對WLAN的期望日益提高時，無線通信設備是在自由空間中進行傳輸，而不是像有線網絡那樣是在一定的物理線纜上進行傳輸，無法通過對傳輸媒介的接入控制來保證數據不會被未經授權的用戶獲取，因而WLAN必須將安全問題擺在前所未有的重要位置。

一、WLAN的安全漏洞分析

IEEE802.1x認證協議的發明者，即Extreme Networks公司總裁VipinJain在接受媒體采訪時表示：“說起無線網絡，企業的IT經理人最擔心兩件事：第一，市面上的標準和安全解決方案太多，使用戶不知聽從哪一個好；第二，無線媒體是一個共享的媒介，不會受限于建筑物實體界線，因此有人要入侵網絡可以說十分容易，所以如何避免網絡遭到入侵或攻擊又成為了新的難題。”

首先應該被考慮的問題是，由于WLAN是以無線電波作為上網的傳輸媒介，因此無線網絡存在著難以限制網絡資源的物理訪問。無線網絡信號可以傳播到預期的方位以外的地域，具體情況要根據建筑材料和環境而定，這樣就使得在網絡覆蓋范圍內都成為了WLAN的接入點，給入侵者有機可乘，可以在預期范圍以外的地區反復訪問WLAN，竊聽網絡中的數據，在入侵者擁有了網絡訪問權以后，有機會入侵WLAN應用各種攻擊手段對無線網絡進行攻擊。

其次，由于WLAN還是符合所有網絡協議的計算機網絡，所以計算機病毒一類的網絡威脅因素同樣也威脅著所有WLAN內的計算機，甚至產生比普通網絡更嚴重的后果。

進一步分析表明，WLAN安全性主要體現在訪問控制和數據加密兩方面。訪問控制保證敏感數據只能由合法的授權用戶進行訪問，而數據加密則保證所發射的數據只能被所期望的用戶接受和解密。

因此，WLAN中存在的安全威脅因素主要是：竊聽、截取后者修改傳輸數據、置信攻擊、拒絕服務等等。

二、無線局域網的安全措施

第一，首先確定安全策略，定位WLAN在整個工作中的主要用途，涉及傳輸數據和人員、設備，然后具體規劃AP（Access Point，無線訪問接入）的物理位置、客戶端的訪問權限和控制模式等。

第二，從網絡結構入手，采取網絡隔離及網絡認證措施。限制WLAN信號的范圍，并將WLAN和重要的內部網絡之間明確區分開來，在AP和內部網絡之間采用防火墻進行安全隔離，必要時采用物理隔離手段，這樣，即使WLAN出現了安全問題也不會立即導致內部網絡的嚴重危機。

第三，設置嚴密的用戶口令及認證措施，防止非法用戶入侵。在無線網的站點上使用口令控制，當然沒必要局限于無線網，諸如Novell NetWare和Microsoft NT等網絡操作系統和服務器都提供了包括口令管理在內的內建多級安全服務，口令應處于嚴格的控制之下并經常予以變更。由于無線局域網的用戶包括移動用戶，而移動用戶傾向于把他們的筆記本電腦移來移去，因此，嚴格的口令策略等于增加了一個安全級別，它有助于確認網站是否正被合法的用戶使用。

第四，設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容。假如數據要求有極高的安全性，譬如說是商用網或軍用網上的數據，那么可能需要采取一些特殊的措施。最后也是最高級別的安全措施就是在網絡上發送帶局域網之前要用軟件或硬件的方法驚醒加密，只有那些擁有正確密鑰的站點才可以恢復、讀取這些數據。如果需要全面的安全保障，加密是最好的方法，一些網絡操作系統具有加密能力，基于每個用戶或服務器、價位較低的第三方加密產品也可以勝任，并可為用戶提供最好的性能、質量服務和技術支持。

第五，充分利用WLAN本身提供的安全特性進行安全保障。比如對于AP可以做以下工作：一是更改缺省的口令。一般設備出廠時的口令都非常簡單，必須要更改。二是加密手段。盡管WEP（Wired Equivalent Privacy加密技術）已經被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。三是采用MAC地址的方式對客戶端進行驗證。在沒有實施更加強壯的身份驗證措施之前，這種反防范措施還是必要的。四是更改SSID（Service Set Identifier的縮寫，意思是：服務集標識），并且配置AP不廣播SSID。五是更改SNMP設置。這種防范措施是和有線網絡設備相同的。

第六，采用WLAN專用入侵檢測系統對網絡進行監控，及時發現非法接入的AP以及假冒的客戶端，并且對WLAN的安全狀況進行實時的分析和監控。

第七，加強企業內部管理制度，解決來自公司內部員工的泄密破壞。采用的安全方法如下：采用端口訪問技術（802.1x）進行控制，防治非授權的非法接入和訪問；歸于密度等級高的網絡采用VPN進行連接；布置AP的時候要在公司辦公區域以外進行檢查，通過調節AP天線的角度和發射功率防止A拍的覆蓋范圍超出辦公區域，同時要讓保安人員在公司附近進行巡查，防止外部人員在公司附近接入網絡；禁止員工私自安裝AP，可通過筆記本配置無線網卡和無線掃描軟件進行掃描；制定無線網絡管理規定，規定員工不得把網絡設置信息告訴公司外部人員，禁止設置P2P的Ad hoc網絡結構；禁止用戶計算機的某些操作系統對WLAN的自動連接功能，避免這些用戶無意識地連接到未知WLAN中；在WLAN的客戶端采用個人防火墻、防病毒軟件等措施保障不受到針對客戶端攻擊行為的損害；跟蹤無線網絡技術，特別是安全技術（如802.1 1i規范了TKIP和AES），對網絡管理人員進行知識培訓。

三、結論

無線網絡應用越來越廣泛，但是隨之而來的網絡安全問題也越來越突出，本文中分析了WLAN的不安全因素，并且針對這些不安全因素給出了解決的安全措施，能有效地防范截取、竊聽或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，能夠保證無線網絡內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線局域網的安全。無線網絡安全技術在很大程度上已經得到了改善，即使這樣，要真正構建端到端的安全無線網絡還是任重道遠。

收稿日期：2011-06-10

作者簡介：鐘文濤（1989-），男，山東平度人，學生，從事網絡工程研究。

參考文獻：

[1] 陳偉，歐陽宏基.無線局域網安全技術研究[J].福建電腦，2009，（4）.

[2] 宋濤.無線局域網的安全措施[J].電信交換，2004，（3）.

[3] 王秋華，章堅武.淺談無線網絡事件的安全措施[J].中國科技信息，2005，（17）.

[4] 冷月.無線網絡保衛戰[J].計算機應用文摘，2006，（26）.

[5] 甄華.簡析IEEE802.11無線局域網安全技術[J].科技信息，2009，（17）.

[責任編輯王 莉]