無線局域網的安全技術探析

摘要：隨著無線技術的發展，無線局域網已經成為IT行業的一個新的熱點，漸漸成為計算機網絡的一個重要的組成部分。本文從分析無線局域網的安全威脅出發，討論了無線局域網的幾種安全保密技術。

關鍵詞：無線局域網；安全；802.11標準

【中圖分類號】 TP393【文獻標識碼】 A【文章編號】 1671-1297（2012）11-0025-01

隨著無線技術的發展，無線局域網（Wireless Local Area Network，WLAN），已經成為一種比較成熟的技術，應用也越來越廣泛，是計算機有線網絡的一個必不可少的補充。WLAN的最大優點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網應用是基于開放系統的，它具有更大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著更嚴峻的安全問題。無線局域網的安全問題伴隨著市場與產業結構的升級而日益凸現，安全問題已經成為WLAN走入信息化的核心舞臺，成為無線局域網技術在電子政務、行業應用和企業信息化中大展拳腳的桎梏。

一無線局域網的安全威脅

無線局域網非常容易被發現，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。在目前的實際應用中，無線局域網的安全問題主要表現在以下四個方面：

1.網絡被偵測。入侵者通過利用互聯網上的應用程序，能捕捉位于AP（接入點）信號覆蓋區域內的數據包，收集足夠的WEP（有線等效保密）弱密鑰加密的包，并進行分析以恢復WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，可以在較短時間內攻破WEP密鑰。

2.網絡被竊聽。通常網絡通信是以明文形式進行的，這會使處于無線信號覆蓋范圍之內的入侵者能監聽并破解通信內容。目前，這種威脅已經成為無線局域網面臨的最大問題之一。

3.信息被竊取或篡改。無線局域網在沒有足夠的安全防范技術的情況下，是很輕易受到利用非法AP進行的中間人欺騙攻擊。中間人攻擊會對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

4.網絡拒絕服務。攻擊者能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果最為嚴重的攻擊方式。也能對移動網絡內的某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能正常工作，通常這也稱為能源消耗攻擊。

二無線局域網的安全措施

1.采用無線加密協議防止未授權用戶。保護無線網絡安全的最基本手段是加密，通過簡單的設置AP和無線網卡等設備，就可以啟用WEP加密。無線加密協議（WEP）是對無線網絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換，有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網絡的服務者身份（SSID），在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無線網絡被發現的可能。

但是目前IEEE 802.11標準中的WEP安全解決方案，在15分鐘內就可被攻破，已被廣泛證實不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相當困難的，同時也要定期的更改WEP，保證無線局域網的安全。如果設備提供了動態WEP功能，最好應用動態WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項“自動為我提供這個密鑰”。同時，應該使用IPSec，VPN，SSH或其他WEP的替代方法。不要僅使用WEP來保護數據。

2.靜態IP與MAC地址綁定。無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態IP地址分配，這對無線網絡來說是有安全隱患的，“不法”分子只要找到了無線網絡，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網絡中。因此，建議關閉DHCP服務，為家里的每臺電腦分配固定的靜態IP地址，然后再把這個IP地址與該電腦網卡的MAC地址進行綁定，這樣就能大大提升網絡的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關卡。設置方法如下：首先，在無線路由器或AP的設置中關閉“DHCP服務器”。然后激活“固定DHCP”功能，把各電腦的“名稱”（即Windows系統屬陸里的“計算機描述”），以后要固定使用的IP地址，其網卡的MAC地址都如實填寫好，最后點“執行”就可以了。

3.禁用或改動SNMP 設置。假如公司的訪問點支持SNMP，要么禁用，要么改變公開及專用的共用字符串。假如不采取這項措施，黑客就能利用SNMP 獲得有關公司網絡的重要信息。

4.建立與使用訪問控制機制。訪問控制的目標是防止任何資源被非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。

5.VPN技術在無線網絡中的應用。對于高安全要求或大型的無線網絡，VPN方案是一個更好的選擇。因為在大型無線網絡中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。

對于無線商用網絡，基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經廣泛應用于Internet遠程用戶的安全接入。在遠程用戶接入的應用中，VPN在不可信的網絡（Internet）上提供一條安全、專用的通道或者隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，VPN技術可以應用在無線的安全接入上，在這個應用中，不可信的網絡是無線網絡。AP可以被定義成無WEP機制的開放式接入（各AP仍應定義成采用SSID機制把無線網絡分割成多個無線服務子網），但是無線接入網絡VLAN （AP和VPN服務器之問的線路）從局域網已經被VPN服務器和內部網絡隔離出來。VPN服務器提供網絡的認征和加密，并允當局域網網絡內部。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應用于大規模的無線網絡。

6.其他安全措施。除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術，例如設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；加強企業內部管理等等的方法來加強WLAN的安全性。

三結論

無線網絡應用越來越廣泛，但是隨之而來的網絡安全問題也越來越突出，在文中分析了WLAN的不安全因素，針對不安全因素給出了解決的安全措施，有效的防范竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段，但是由于現在各個無線網絡設備生產廠商生產的設備的功能不一樣，所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣，但是安全措施的思路是正確的，能夠保證無線網絡內的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線局域網的安全。參考文獻

[1]李園，王燕鴻，張鉞偉，顧偉偉.無線網絡安全性威脅及應對措施[J].現代電子技術.2007， （5）：91-94

[2]王秋華，章堅武.淺析無線網絡實施的安全措施[J].中國科技信息.2005， （17）：18

[3]宋濤.無線局域網的安全措施[J]. 電信交換.2004， （1）：22-27 或引導者。由此，我們的教學方法也要因應而變，教師多開展提問式、啟發式、討論式、任務驅動、項目教學等方法來調動學生的學習積極性。

（2）教學手段的更新。隨著社會的快速發展，計算機技術更新在不斷加速，知識獲取、傳播的方式也在更新。隨著廣播、電視、互聯網“三網合一”的快速普及教師和教材已不是學生獲取知識的唯一來源。因此，改革教學手段，充分利用多媒體技術結合校園網絡平臺充分發揮計算機教師的專業優勢，建立起雙向互動的教育技術平臺，全方位、立體化、多渠道實施教學活動，是全面提高計算機專業教學質量重要保證。

（3）教師知識結構的更新。高職院校計算機專業教師的知識結構隨著計算機技術的快速發展越來越不適應現代職業教育發展的要求，充分利用自身專業優勢從互聯網上進行可持續的學習，完成專業課和實踐教學的同時，爭取上級教育行政主管部門支持，定期派送教師到企業或高等職業院校培訓機構接受前沿知識的學習和技術的培訓，完成計算機專業“雙師型”教師的轉型，確保教師的專業知識和技能是最新的，這樣的教師培養出來的學生才具有更強的市場競爭力。

高職院校計算機專業人才培養模式應有差異性、多樣性，面對“職教三年攻堅”的新形勢，如何加強專業建設，改革教學方法，更新教育理念，是高職院校計算機專業教師值得思考的問題，在構建適合人才市場需求的人才培養模式探索實踐中，“一套教材、兩個階段、三個強化、四個更新”的人才培養模式也要因校而異，有個性才有發展。

參考文獻

[1]朱利明，王明裴. 關于高校計算機課程改革的探討[J]. 甘肅科技，2010，26（8）：129，168-169

[2]李毅成. 非計算機專業的計算機課程教學思考[J]. 教育科普，2010，（5）：63-64

作者簡介：常秀巖，出生年月：1983年10月 ，男，籍貫：唐山市 ，所在單位：唐山科技職業技術學院，職務：教師，職稱：助教，學歷：本科，研究方向：計算機。