無線局域網(wǎng)的安全機(jī)制及安全措施

摘要：無線局域網(wǎng)是指采用無線傳輸媒介的計(jì)算機(jī)局域網(wǎng)。但由于WLAN采用公共的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防范。WLAN的安全問題嚴(yán)重的束縛了WLAN的高速和健康發(fā)展。本文通過研究當(dāng)前無線局域網(wǎng)使用的各種安全機(jī)制的特點(diǎn)及其缺陷，提出了一些相應(yīng)的安全措施手段，以此來提高無線局域網(wǎng)的安全性。

關(guān)鍵詞：無線局域網(wǎng) 安全機(jī)制 安全措施

0 引言

通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在兩個(gè)方面：一是訪問控制，另一個(gè)是數(shù)據(jù)加密。無線局域網(wǎng)相對于有線局域網(wǎng)所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數(shù)據(jù)信號(hào)。雖然目前局域網(wǎng)建網(wǎng)的地域變得越來越復(fù)雜，利用無線技術(shù)來建設(shè)局域網(wǎng)也變得越來越普遍，但無線網(wǎng)絡(luò)的這種電磁輻射的傳輸方式是無線網(wǎng)絡(luò)安全保密問題尤為突出的主要原因，也成為制約WLAN快速發(fā)展的主要問題。

1 現(xiàn)有安全機(jī)制特點(diǎn)及其缺陷

1.1 物理地址（MAC）過濾控制

每個(gè)無線客戶端網(wǎng)卡都有唯一的物理地址標(biāo)識(shí)，因此可以在AP中手工維護(hù)一組答應(yīng)訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作；但其擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)。另外，非法用戶利用網(wǎng)絡(luò)偵聽手段很輕易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。

1.2 有線對等保密機(jī)制（WEP）

WEP認(rèn)證采用共享密鑰認(rèn)證，通過客戶和接入點(diǎn)之間命令和回應(yīng)信息的交換，命令文本明碼發(fā)送到客戶，在客戶端使用共享密鑰加密，并發(fā)送回接入點(diǎn)。WEP使用RC4流密碼進(jìn)行加密。RC4加密算法是一種對稱的流密碼，支持長度可變的密鑰。但WEP也存在缺少密鑰治理、完整性校驗(yàn)值算法不合適、RC4算法存在弱點(diǎn)等嚴(yán)重安全缺陷。

1.3 無線保護(hù)訪問（WPA）

無線保護(hù)訪問(WPA)是WiFi 聯(lián)盟推出的一個(gè)過渡性標(biāo)準(zhǔn)，主要是考慮當(dāng)前無線局域網(wǎng)發(fā)展的現(xiàn)狀，為了兼容有線對等保密機(jī)制，故采用TKIP和AES兩種措施進(jìn)行加密。而隨后的WPA2是WiFi聯(lián)盟在此基礎(chǔ)上再次推出的第二代標(biāo)準(zhǔn)，它推薦使用一種安全性能更高的加密標(biāo)準(zhǔn)，那就是CCMP，同時(shí)也兼容TKIP，WEP，當(dāng)然WPA和WPA2兩種標(biāo)準(zhǔn)都是在802.11i的基礎(chǔ)上發(fā)展起來的。

不過WPA在三個(gè)方面存在缺憾：不能為獨(dú)立基礎(chǔ)服務(wù)集（IBSS）網(wǎng)絡(luò)（即對等無線網(wǎng)絡(luò)）提供安全支持；不能在網(wǎng)絡(luò)上對多個(gè)接入點(diǎn)進(jìn)行預(yù)檢；不能支持高級(jí)加密標(biāo)準(zhǔn)（AES），假如使用AES的話就需要為客戶機(jī)增加額外的計(jì)算能力，也就意味著增加了成本。

1.4 虛擬專用網(wǎng)絡(luò)（VPN）

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）是一門網(wǎng)絡(luò)新技術(shù)，它提供一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式，同時(shí)以另外一種強(qiáng)大的加密方式保證數(shù)據(jù)傳輸?shù)陌踩裕⒖膳c其它的無線安全技術(shù)兼容。IP VPN一方面可相當(dāng)方便地代替租用線以及傳統(tǒng)的ATM/幀中繼(FR)VPN來連接計(jì)算機(jī)或局域網(wǎng)(LAN)，另一方面還可提供峰值負(fù)載分擔(dān)、租用線的備份、冗余等，以此大大降低成本費(fèi)用，最后它也支持中央安全管理，它的缺點(diǎn)是需要在客戶機(jī)中進(jìn)行數(shù)據(jù)的加密和解密，這會(huì)大大增加系統(tǒng)的負(fù)擔(dān)，實(shí)際應(yīng)用當(dāng)中還存在無線環(huán)境運(yùn)行脆弱、吞吐量能力存在制約性、網(wǎng)絡(luò)擴(kuò)展受局限等諸多問題。

1.5 802.1X端口訪問控制機(jī)制

802.1X端口訪問控制機(jī)制是一種基于端口訪問控制技術(shù)的安全機(jī)制，它被認(rèn)為是無線局域網(wǎng)的一種加強(qiáng)版的網(wǎng)絡(luò)安全解決方案。它工作的主要模式是：當(dāng)一個(gè)外來設(shè)備發(fā)出需接入AP的請求時(shí)，用戶得提供一定形式的證明讓AP通過一個(gè)標(biāo)準(zhǔn)的遠(yuǎn)程撥號(hào)用戶認(rèn)證服務(wù)（RADIUS)服務(wù)器進(jìn)行鑒別以及授權(quán)。一旦無線終端與AP相關(guān)聯(lián)以后，802.1x標(biāo)準(zhǔn)的認(rèn)證是用戶是否可以使用AP服務(wù)的關(guān)鍵。換句話說，如果802.1x標(biāo)準(zhǔn)認(rèn)證通過，則AP為用戶打開此邏輯端口，否則AP不允許該用戶接入網(wǎng)絡(luò)。

802.1X端口訪問控制機(jī)制除了為無線局域網(wǎng)提供認(rèn)證和加密外，還可提供快速重置密鑰、密鑰管理功能等相關(guān)功能。使用802.1x標(biāo)準(zhǔn)可周期性地把這些密鑰傳送給相關(guān)各用戶。不過此機(jī)制的不足之處是802. 1x的客戶端認(rèn)證請求方法僅屬于過渡期方法且各廠商在實(shí)際運(yùn)用當(dāng)中的實(shí)現(xiàn)方法又有所不同，這直接造成兼容問題，同時(shí)另一個(gè)問題是該方法還需要專業(yè)知識(shí)部署和Radius服務(wù)器支持， 費(fèi)用偏高。

2 對無線局域網(wǎng)采取的安全措施

2.1 對無線網(wǎng)絡(luò)進(jìn)行加密

對無線網(wǎng)絡(luò)進(jìn)行加密是最基本的。就目前來說，常見的安全類型有WEP、WPA、WPA2三種。WEP是一種運(yùn)用傳統(tǒng)的無線網(wǎng)絡(luò)加密算法進(jìn)行加密。如果采用WEP加密，入侵者就能很容易的利用無線嗅探器直接讀取數(shù)據(jù)，但如果采用支持128位的WEP進(jìn)行加密的話，入侵者要破解128位的WEP是一有定的難度的，所以建議一是對WEP密鑰經(jīng)常更換，二是最好使用動(dòng)態(tài)WEP進(jìn)行加密（Windows XP系統(tǒng)本身就提供了這種支持，可選中WEP選項(xiàng)的“自動(dòng)為我提供這個(gè)密鑰”），有條件的話可以啟用獨(dú)立的認(rèn)證服務(wù)為WEP進(jìn)行自動(dòng)分配密鑰。WPA是在WEP的基礎(chǔ)上改進(jìn)而來，采用TKIP和AES進(jìn)行加密。WPA2則是目前最安全的安全類型，它提供一種安全性更高的加密標(biāo)準(zhǔn)-CCMP，其加密算法為AES。但加密并不是萬能的，WPA2安全類型在一定的技術(shù)和設(shè)備條件下已經(jīng)被破解。

當(dāng)然，對無線網(wǎng)絡(luò)進(jìn)行加密只是提高網(wǎng)絡(luò)安全性的第一步而已。

2.2 設(shè)置MAC地址過濾

MAC地址即硬件地址，是網(wǎng)絡(luò)設(shè)備獨(dú)一無二的標(biāo)識(shí)，具有全球唯一性。因?yàn)闊o線路由器可追蹤經(jīng)過它們的所有數(shù)據(jù)包源MAC地址，所以通過開啟無線路由器上的MAC地址過濾功能，以此來建立允許訪問路由器的MAC地址列表，達(dá)到防止非法設(shè)備接入網(wǎng)絡(luò)的目的。

2.3 使用靜態(tài)IP地址

一般無線路由器默認(rèn)設(shè)置應(yīng)用DHCP功能，也就是動(dòng)態(tài)分配IP地址。這樣如果入侵者找到了無線網(wǎng)絡(luò)，就很方便的通過DHCP獲得一個(gè)合法的IP地址，這對無線網(wǎng)絡(luò)來說是有安全隱患的。因此我們在聯(lián)網(wǎng)設(shè)備比較固定的環(huán)境中應(yīng)關(guān)閉無線路由器的DHCP功能，然后按一定的規(guī)則為無線網(wǎng)絡(luò)中的每一個(gè)設(shè)備設(shè)置一個(gè)固定的靜態(tài)IP地址，并將這些靜態(tài)IP地址添加到在無線路由器上設(shè)定允許接入的IP地址列表中，從而大大縮小了可接入無線網(wǎng)絡(luò)的IP地址范圍。

最好的方法是將靜態(tài)IP地址與其相對應(yīng)MAC地址同步綁定，這樣即使入侵者得到了合法的IP地址，也還要驗(yàn)證綁定的MAC地址，相當(dāng)于設(shè)置了兩道關(guān)卡，大大提高網(wǎng)絡(luò)安全性。

2.4 改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播

SSID是無線訪問點(diǎn)使用的識(shí)別字符串，客戶端利用它就能建立連接。該標(biāo)識(shí)符由設(shè)備制造商設(shè)定，每種標(biāo)識(shí)符使用默認(rèn)短語。倘若黑客知道了這種口令短語，即使未經(jīng)授權(quán)，也很容易使用無線服務(wù)。對于部署的每個(gè)無線訪問而言，要選擇獨(dú)一無二并且很難猜中的SSID。如果可能的話，禁止通過無線向外廣播該標(biāo)識(shí)符。這樣網(wǎng)絡(luò)仍可使用，但不會(huì)出現(xiàn)可用網(wǎng)絡(luò)列表上。

2.5 IDS

無線入侵檢測系統(tǒng)(IDS)相比傳統(tǒng)的入侵檢測系統(tǒng)來說主要是增加了對無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。無線入侵檢測系統(tǒng)是通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷是否是破壞系統(tǒng)和入侵事件。在無線局域網(wǎng)中，IDS主要功能是：監(jiān)視分析用戶的活動(dòng)，檢測非法的網(wǎng)絡(luò)行為，判斷入侵事件的類型，對異常的網(wǎng)絡(luò)流量進(jìn)行預(yù)警。IDS不但能找出大多數(shù)的黑客行為并準(zhǔn)確定位黑客的詳細(xì)地理位置，還能加強(qiáng)策略，大大提高無線局域網(wǎng)的安全性。同時(shí)它能檢測到rogue WAPS，識(shí)別出那些未經(jīng)加密的802.11標(biāo)準(zhǔn)的數(shù)據(jù)流量，也能通過一種順序分析，檢測到MAC地址欺騙，找出那些偽裝WAP的無線上網(wǎng)用戶。不過無線入侵檢測系統(tǒng)畢竟是一門新技術(shù)，它有很多優(yōu)點(diǎn)的同時(shí)也存在一些缺陷，隨著入侵檢測系統(tǒng)的飛速發(fā)展，相信關(guān)于這些缺陷也會(huì)被逐一解決的。

2.6 無線網(wǎng)絡(luò)中VPN技術(shù)的應(yīng)用

目前在大型無線網(wǎng)絡(luò)中當(dāng)中，對工作站的維護(hù)、對AP的MAC 地址列表設(shè)置、對AP的WEP加密密鑰等都將是一件相當(dāng)繁重的工作，而VPN技術(shù)在無線網(wǎng)絡(luò)中應(yīng)用則使其成為當(dāng)今WEP機(jī)制和MAC地址過濾機(jī)制的最佳代替者。VPN是指在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全、專用的隧道，其目的主要是保證VPN技術(shù)在應(yīng)用中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式以及使用編址無聯(lián)系，同時(shí)隧道本身就提供了一定可能的安全性。VPN在客戶端與各級(jí)組織之間設(shè)置了一條動(dòng)態(tài)的加密隧道，并同時(shí)支持用戶進(jìn)行身份驗(yàn)證，以此來實(shí)現(xiàn)高級(jí)別的安全。在VPN協(xié)議當(dāng)中它包括了采用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)、168位三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(3DES)及其它數(shù)據(jù)包鑒權(quán)算法來進(jìn)行數(shù)據(jù)加密的IPSec協(xié)議，并使用數(shù)字證書進(jìn)行驗(yàn)證公鑰。無線局域網(wǎng)的數(shù)據(jù)用VPN技術(shù)加密后再用無線加密技術(shù)加密，這就好像雙重門鎖，大大提高了無線局域網(wǎng)的安全性能。

2.7 采用身份驗(yàn)證和授權(quán)

如果當(dāng)入侵者通過一定的途徑了解到網(wǎng)絡(luò)的SSID、MAC地址、WEP密鑰等相關(guān)信息時(shí)，他們就可據(jù)此嘗試與AP建立聯(lián)系，從而使無線網(wǎng)絡(luò)出現(xiàn)安全隱患，所以在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進(jìn)行身份驗(yàn)證將成為必要的安全措施。身份驗(yàn)證是系統(tǒng)安全的一個(gè)基礎(chǔ)方面，它主要是用于確認(rèn)嘗試登錄域或訪問網(wǎng)絡(luò)資源的每一位用戶的身份。如果我們開放身份驗(yàn)證那就意味著只需要向AP提供SSID或正確的WEP密鑰，而此時(shí)的您沒有如果其它的保護(hù)或身份驗(yàn)證機(jī)制，那么此時(shí)你的無線網(wǎng)絡(luò)對每一位已獲知網(wǎng)絡(luò)SSID、MAC地址、WEP密鑰等相關(guān)信息的用戶來說將會(huì)處于完全開放的狀態(tài)，后果可想而知。共享機(jī)密身份驗(yàn)證機(jī)制可以幫助我們在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進(jìn)行身份驗(yàn)證，它是一種類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)，也是在STA與AP共享同一個(gè)WEP密鑰時(shí)使用的機(jī)制。其工作模式是：STA向AP發(fā)送申請請求，然后AP發(fā)回口令，隨后STA利用發(fā)回的口令和加密的響應(yīng)來進(jìn)行回復(fù)。不過這種方法的不足之處在于因?yàn)榭诹钍峭ㄟ^明文直接傳輸給STA的，在此期間如果有人能夠同時(shí)截取住發(fā)回的口令和加密的響應(yīng)，那么他們就很可能據(jù)此找出用于加密的密鑰信息。所以在此基礎(chǔ)上建議配置強(qiáng)共享密鑰，并經(jīng)常對其進(jìn)行更改，比如通過使用加密的共享機(jī)密信息來認(rèn)證客戶機(jī)并處理RADIUS 服務(wù)器間的事務(wù)，不再通過網(wǎng)絡(luò)發(fā)送機(jī)密信息，從而提高網(wǎng)絡(luò)安全性。當(dāng)然也可以使用其它的身份驗(yàn)證和授權(quán)機(jī)制，比如802.1x、證書等對無線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)，而實(shí)際上使用客戶端證書也可以使入侵者達(dá)到幾乎無法獲得訪問權(quán)限的效果，大大提高無線網(wǎng)絡(luò)的安全性能。

2.8 其他

除以上本文敘述的安全措施外，實(shí)際當(dāng)中還可以采取一些其它的技術(shù)手段來加強(qiáng)WLAN的安全性，比如對用戶進(jìn)行安全教育以提高網(wǎng)絡(luò)安全防范意識(shí)、設(shè)置附加的第三方數(shù)據(jù)加密方案以加強(qiáng)網(wǎng)絡(luò)安全性、加強(qiáng)企業(yè)內(nèi)部管理、提高技術(shù)人員對安全技術(shù)措施的重視、加大安全制度建設(shè)等。

3 結(jié)束語

目前，無線技術(shù)發(fā)展越來越普及，無線網(wǎng)絡(luò)安全也應(yīng)隨之不斷改善。只有通過將用戶的認(rèn)證許可以及數(shù)據(jù)傳輸?shù)募用芄δ艿榷囗?xiàng)安全措施結(jié)合起來，才能保障無線網(wǎng)絡(luò)內(nèi)用戶的信息和數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄裕行У鼐S護(hù)無線局域網(wǎng)的安全。

參考文獻(xiàn)：

[1]劉宇蘋.無線網(wǎng)絡(luò)安全體系研究[J].軟件導(dǎo)刊.2010，1.

[2]張兆靜.無線局域網(wǎng)安全措施分析[M].內(nèi)蒙古科技與經(jīng)濟(jì).2009，(4).