無線局域網技術及安全性的探討

提要：安全問題是自無線局域網誕生以來一直困擾其發展的重要原因，本文研究了現階段無線局域網面臨的主要安全問題，并介紹了相應的解決辦法。

關鍵詞：無線局域網 安全 802.11標準 ACL

無線局域網以它接入速率高，組網靈活，在傳輸移動數據方面具有得天獨厚的優勢等特點得以迅速發展。但是，隨著無線局域網應用領域的不斷拓展，無線局域網受到越來越多的威脅，無線網絡不但因為基于傳統有線網絡TCP/IP架構而受到攻擊，還受到基于IEEE 802.11標準本身的安全問題而受到威脅，其安全問題也越來越受到重視。

一、非法接入無線局域網

1.非法用戶的接入

(1)基于服務設置標識符(SSID)防止非法用戶接入

服務設置標識符SSID是用來標識一個網絡的名稱，以此來區分不同的網絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。

(2)基于無線網卡物理地址過濾防止非法用戶接入

由于每個無線工作站的網卡都有惟一的物理地址，利用MAC地址阻止未經授權的無限工作站接入。為AP設置基于MAC地址的Access Control(訪問控制表)，確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。

如果網絡中的AP數量太多，可以使用802.1x端口認證技術配合后臺的RADIUS認證服務器，對所有接入用戶的身份進行嚴格認證，杜絕未經授權的用戶接入網絡，盜用數據或進行破壞。

2.非法AP的接入

無線局域網易于訪問和配置簡單的特性，增加了無線局域網管理的難度。因為任何人都可以通過自己購買的AP，不經過授權而連入網絡，這就給無線局域網帶來很大的安全隱患。

(1)基于無線網絡的入侵檢測系統防止非法AP接入

使用入侵檢測系統IDS防止非法AP的接入主要有兩個步驟，即發現非法AP和清除非法AP。

發現非法AP是通過分布于網絡各處的探測器完成數據包的捕獲和解析，它們能迅速地發現所有無線設備的操作，并報告給管理員或IDS系統。當然通過網絡管理軟件，比如SNMP，也可以確定AP接入有線網絡的具體物理地址。發現AP后，可以根據合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關參數，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。

(2)檢測出非法AP連接在交換機的端口，并禁止該端口

基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入。在無線AP接入有線交換設備時，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網絡的寶貴資源，因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法，在此驗證過程中不但AP需要確認無線用戶的合法性，無線終端設備也必須驗證AP是否為虛假的訪問點，然后才能進行通信。通過雙向認證，可以有效地防止非法AP的接入。

(3)基于檢測設備防止非法AP的接入

在入侵者使用網絡之前，通過接收天線找到未被授權的網絡。對物理站點的監測，應當盡可能地頻繁進行。頻繁的監測可增加發現非法配置站點的存在幾率。選擇小型的手持式檢測設備，管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測，清除非法接入的AP。

二、數據傳輸的安全性

1.數據加密

(1)IEEE802.11中的WEP

有線對等保密協議(WEP)是由IEEE 802.11標準定義的，用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。

WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞?，F在，已經出現了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort。

(2)IEEE802.11i中的WPA

Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的，用來改進WEP所使用密鑰的安全性的協議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數據包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中的缺點得以解決。

2.數據的訪問控制

訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。

訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。

3.其他安全性措施

許多安全問題都是由于AP沒有處在一個封閉的環境中造成的。所以，首先，應注意合理放置AP的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。例如，將天線遠離窗戶附近，因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區域的中心，盡量減少信號泄露到墻外，必要時要增加屏蔽設備來限制無線局域網的覆蓋范圍。其次，由于很多無線設備是放置在室外的，因此需要做好防盜、防風、防雨、防雷等措施，保障這些無線設備的物理安全。

綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全策略，能夠最大限度提高安全水平。

為了保障無線局域網的安全，除了通過技術手段進行保障之外，制定完善的管理和使用制度也是很有必要的。