提高無線局域網安全性的有效措施

白學清

（中央財經大學教學技術服務中心北京100081）

1 引言

當今世界已經進入網絡時代，繼筆記本電腦普及之后，平板電腦和智能手機等移動終端已經成為人們工作生活中必不可少的部分。移動的終端設備需要靈活方便的網絡，很多辦公室、會議室和家庭都通過增加一臺小型無線路由器，架設了自己的無線局域網。最近出現的迷你無線路由器，更是小巧到可以隨身攜帶，將3G轉換為WiFi信號，隨時隨地為多臺移動終端提供一個小型無線網絡。無線網比有線網更方便易用，而無線網面臨的安全威脅也比有線網更嚴重。

2 無線局域網的特殊性與安全威脅

與有線網使用線纜作為傳輸介質不同,無線網用射頻進行數據傳輸。傳輸介質的特殊性，使得無線網面臨著特殊的安全威脅[1]：①射頻沒有邊界，不需要通過線纜接入固定的信息面板，在射頻信號覆蓋范圍內的任何人都可以訪問通過射頻介質傳輸的數據。這使得無線網容易受到非法接入的威脅；②任何基于電波的技術都有其天然的局限性，就是容易受到干擾，射頻信號也不例外。無線網受到的信號干擾威脅也比有線網要嚴重得多[2]。防范無線局域網的安全威脅，主要從防范非法接入與防止信號干擾2個方面入手。

3 防范非法接入無線網

成功架設和配置一個便利又安全的無線局域網，除了要讓合法設備接入網絡之外，還必須能攔住非法設備接入。下面介紹幾種防范非法接入的有效措施。

3.1 修改并隱藏SSID

服務集標識符(SSID)是區分不同的無線網絡的唯一標識符[3]，也就是俗稱的"網絡名稱"。用戶終端設備進行無線網搜索時會得到無線網覆蓋區域的網絡名稱列表，他們就是SSID。SSID的命名可包含數字和字母的字符串，區分大小寫，長度一般為2～32個字符。無線路由器出廠時有一個缺省SSID名稱,一般以設備型號或者品牌名稱命名。

基于下面3個理由用戶需要修改其SSID。①在同一個無線網覆蓋區域內，SSID不能重復，如果不修改設備缺省SSID,可能會出現SSID重名沖突,影響使用；②修改成個性化命名的SSID方便記憶和查找網絡；③出于安全考慮，防止網絡名稱被非法入侵者猜出，應該放棄設備缺省SSID，使用自主命名。修改缺省SSID并將其隱藏是提高無線網安全性的有效措施。無線路由器缺省狀態的SSID設置為允許廣播，設備工作時會不斷發出SSID廣播信息，使無線網覆蓋環境下的用戶終端設備都可以搜索到該網絡名稱。該特性雖然有利于合法用戶找到網絡，也為非法入侵提供了方便。將SSID設置為禁止廣播，無線路由器停止發送廣播信息，終端設備的網絡搜索列表中不再出現該網絡名稱。這樣該網絡就像隱身了一樣，不知其名稱的人不能發現它的存在，是防止非法入侵的非常簡便有效的辦法。對合法用戶而言，仍然可以通過手動輸入正確的網絡名稱，找到并接入該網絡。而且大多數終端設備都有記住網絡名稱的功能，只需輸入一次，再次使用時能自動查找到可用的網絡。在大大提高安全性的同時，對無線網接入的便捷性影響很小。

3.2 使用正確的安全驗證方式

無線網協議引入了多種身份驗證機制，用戶在設置無線路由器，或者在使用終端設備接入無線網時也被要求選擇安全性類型。常見的安全類型有：開放式（不加密）、WEP、WPA個人級、WPA2個人級、WEP企業級、WPA企業級和WPA2企業級[4]，開放式一般不會使用。WEP（有線等效保密協議）、WPA（采用TKIP臨時密鑰完整性協議）和WPA2（采用AES高級加密標準）三者的安全性是逐步上升的，目前最安全的加密模式是WPA2。WEP的加密算法容易被破解，一般不要使用。但是需要注意的是，有些早期的無線網卡不支持WPA和WPA2，只能使用WEP。僅在硬件不支持的情況下使用WEP，只要設備支持，都應該使用WPA2。另外個人級和企業級的區別在于是否擁有專門的身份驗證服務器，個人級的驗證是直接在無線路由器上完成的，企業級的驗證工作由專門的身份驗證服務器完成。沒有設置專門的身份驗證服務器的無線網絡應該使用WPA2個人級，具有專門的身份驗證服務器的無線網絡應該使用WPA2企業級。

3.3 MAC地址綁定

MAC地址綁定是局域網安全策略的常用手段，同樣可以在提升無線網絡安全性方面發揮作用。MAC地址也叫物理地址，由網絡設備制造商生產時寫在硬件內部，每個可無線上網的終端設備都有一個MAC地址。無線在路由器上啟用MAC地址綁定功能,導入允許接入該網絡的終端設備的MAC地址列表，能從根本上拒絕MAC地址列表以外的設備接入該無線網絡。綁定MAC地址的是可靠性非常高的網絡安全策略，不過其靈活性略有不足。在設置無線路由器時，需要提前獲取所有允許接入的終端設備的MAC列表，將其寫入無線路由器。如果出現新增的終端設備，也必須先在無線路由器上添加該新設備的MAC地址許可，之后該設備才能接入網絡。這種辦法成功阻止了非法設備接入，但也給合新設備接入帶來了障礙，在具體使用時需要在安全性與便利性之間進行平衡。因此，這種方法一般適合終端設備比較固定，對安全性要求比較高的無線網絡使用。

3.4 關閉DHCP服務

DHCP是動態主機配置協議，網絡中的設備可以從DHCP服務器中獲取IP地址、子網掩碼、網關以及其他IP網絡參數。關閉DHCP服務是局域網安全策略的常用手段，同樣可以用在無線網上。關閉DHCP服務后，終端設備不能自動獲得IP地地址等信息，需要手動配置[5]。這種辦法有助于阻止非法設備接入，但合法用戶也不能自動獲取IP地址信息，需要手動輸入，這對網絡接入的便利性有一定影響，因此適用于規模不大，終端設備比較固定的無線局域網環境。

3.5 更改無線路由器管理端的默認設置

在防范無線網安全威脅方面，許多使用者都會修改缺省網絡名稱并設置密碼，阻止非法接入，而無線路由器管理端的安全問題卻容易被忽視。無線路由器往往沒有專門的控制接口和線纜，通常采用web瀏覽器進行管理。不同品牌和型號的無線路由器管理地址、缺省用戶名和密碼非常相似，如多個路由器廠商的出廠管理地址是192.168.1.1或者192.168.0.1，缺省用戶名是admin，默認密碼是admin或者為空等。如果不修改管理端的默認設置，非常容易被猜出。管理端的大門一旦被非法打開，整個無線局域網完全暴露，其危害是最為嚴重的。因此，在第一次啟用無線路由器進行管理設置時，就應該立即更改管理用戶名和密碼，必要時也應該更改管理地址，切不可長期使用缺省設置。

4 防止信號干擾

除非法接入威脅外，信號干擾也是無線網需要防范的安全問題。射頻信號容易受到障礙物和同頻段設備的影響，需要采取正確的措施防止信號干擾。

4.1 合理選址

因射頻信號會受到障礙物的影響，在放置無線接入點或無線路由器時，需正確選址。①充分利用射頻信號圓形覆蓋的規律，盡量放置在使用區域的中心位置；②墻壁對射頻信號影響很大，要盡量減少穿墻次數；③避免較障礙物的干擾，應放置高于障礙物的位置。

4.2 避開同頻段設備

無線局域網使用的是免授權的工業、科學和醫療（ISM）頻段的射頻（RF）作為傳輸介質。常用的IEEE802.11b/g標準使用2.4 GHz頻段，最新的802.11 n兼容2.4 GHz和5 GHz頻段。無線網主要使用的2.4 GHz頻段[6]，與無繩電話、藍牙設備和微波爐頻段相同。當同頻段的設備距離較近時，相互干擾非常嚴重。在部署無線接入點或無線路由器時，要盡量避開這些同頻段設備。在使用無線網時，終端設備也盡可能遠離這些容易造成干擾的設備。

5 結束語

從防范非法接入與防止信號干擾2個方面入手，將隱藏SSID、合理設置安全驗證方式、更改路由器管理端默認設置、合理選址和避開同頻段設備等措施綜合使用，能有效提高無線局域網的安全性。隨著無線網技術的不斷發展，無線城域網和下一代移動互聯網開始進入人們的生活并將得到越來越廣泛的應用。在享受無所不在的便利網絡的同時，無線網安全性問題面臨更加復雜和的嚴峻的挑戰，針對新問題的防范措施也需要進一步研究和探索。

[1]林 磊,肖 鹍.W LAN技術的發展應用及安全問題研究[J].科技信息,2012(3):150.

[2]任 偉.無線網絡安全問題初探[J].信息網絡安全,2012(1):11-13.

[3]BRIAN B,CHRISTIAN B,TONY B.無線網絡安全[M].楊青,譯.北京:科學出版社,2009.

[4]W AYNEL.思科網絡技術學院教程CCNA E x ploration:LAN交換和無線[M].北京:人民郵電出版社,2009.3

[5]王 元,王 東,潘宏友.無線網絡安全威脅與防范措施綜述[J].中國無線電,2011(5):65-66.