企業無線網絡安全問題探究

單 良，趙艷麗

(1.黑龍江工業學院，黑龍江 雞西 158100； 2.下車中學，江蘇 連云港 222231)

企業無線網絡安全問題探究

單 良1，趙艷麗2

(1.黑龍江工業學院，黑龍江 雞西 158100； 2.下車中學，江蘇 連云港 222231)

當3G、4G網絡技術在個人終端市場大放異彩的時候，Wi-Fi等無線互聯技術的出現也給企業用戶帶來了前所未有的便利。但與此同時，企業網絡中不遵從總體安全策略而使用無線網絡的現象給企業網絡帶來了潛在的安全風險。擬對企業無線網絡安全隱患問題進行探究，并提出相應的解決措施，以期使企業無線網絡更加安全。

Wi-Fi；安全策略；網絡安全

人們習慣性地認為看得見摸得著的東西比較容易掌控，在對無線網絡安全問題方面尤其如此。大多數中小企業用戶通常不會在其部署的Wi-Fi網絡中設置WPA(Wi-Fi Protected Access)或WEP(Wire Equivalence protection)安全認證與防護，許多用戶僅僅將無線網絡理解為一種可以方便實現網絡連接的途徑，根本不會過多地考慮安全問題。實際上，即使大型企業用戶也不同程度地存在過于注重無線網絡的便利性而忽視其安全性的現象，尤其是大型企業的個別分支機構或部門，在自行部署無線網絡的過程中，可能會不知不覺地留下危及整個企業網絡的安全隱患。

一 Wi-Fi網絡為企業的發展帶來的便捷

隨著企業的日益發展壯大，企業在全球各地的員工對移動辦公的要求日益高漲，而采用Wi-Fi網絡技術，是解決移動辦公問題的最好手段。因為目前幾乎所有的移動終端全部支持Wi-Fi網絡接口，而WLAN無線局域網在企業的建立使得人們將筆記本，PDA，無線的網絡電話方便快速地連接到企業網絡中，這無疑是對Wi-Fi的爆發產生了一個巨大的驅動力。另一方面相對于3G、4G的無線網絡解決方案，Wi-Fi網絡的價格則會便宜許多。因此對于一般布線困難的企業用戶而言，若能使用無線網絡，利用其靈活性、移動性好，安裝便捷，易于網絡規劃和調整，故障定位容易，易于擴展等特點，則是再好不過的選擇。

二 Wi-Fi網絡的安全隱患及應對措施

當前越來越多的企業部署Wi-Fi網絡，并利用其登錄企業網絡處理一些關鍵業務，這就對企業網絡的安全和可靠性提出了更高的要求。而企業對移動辦公需求的日益增長，加速了移動網絡市場的發展。在這一發展過程中，安全問題成為企業審查網絡發展策略的核心要素。多數企業認為，無線移動網絡的安全性“非常”重要。在當今的企業Wi-Fi網絡中，存在以下幾種安全隱患值得大家注意。

1.非授權的接入方式。

企業中私自部署無線接入的現象是一個應當引起足夠重視的問題，由這類問題引發的盜用企業的帶寬資源或其他資源消耗威脅尚在其次，筆者認為真正的威脅來自于不安全的私設無線接入點，這些私設的無線接入點不但使得企業網絡的有限帶寬被非法接入者白白盜用，而且會造成企業網絡的擁塞現象。更加嚴重的是使得原本脆弱的企業網絡向各種病毒、木馬程序和惡意攻擊敞開了大門。

目前解決非授權接入方式有代表性的方案是利用傳感器監控非法接入的無線網絡設備的射頻信號。如果企業網絡內添加了無線接入點，該接入點接入網絡并開始運行SSID(Service Set Identifier)信號廣播時，傳感器就可以及時察覺并立即通知網絡維護人員，這樣就可以有效防止非授權的網絡接入方式。

2.無線電頻率干擾。

幾乎所有發射電磁信號的設備都會產生無線電頻率干擾，影響一個無線網絡的性能。這些設備包括無繩電話、藍牙設備等。然而大多數企業并沒有意識到Wi-Fi干擾的一個最大干擾源正是他們自己的Wi-Fi網絡。要最大限度地減少無線電頻率干擾的風險，在安裝接入點之前要進行無線站點調查以檢測是否存在干擾和對抗干擾的措施。

目前有三個解決無線電干擾的常用辦法，其中包括降低物理數據傳輸率，減少受干擾AP的傳輸功率和調整AP的信道分配。在特定情況下，上述三種方法每一種都很有效，但是這三種方法沒有一種能夠從根本上解決無線電干擾這一問題。

3.地址欺騙和會話攔截。

眾所周知802.11無線局域網是不對傳輸鏈路層的數據幀進行認證操作的，這使得攻擊者可以通過ARP欺騙幀去重定向數據流，從而輕易獲得網絡中其它用戶的MAC地址，這些地址可以被用來惡意攻擊時使用。此外攻擊者很容易裝扮成AP進入網絡，通過截獲會話幀發現AP中存在的認證缺陷，這對無線網絡使用者來說是致命的安全威脅。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。

目前的解決方法是必須將無線網絡同易受攻擊的核心網絡脫離開。即進行有效的網絡隔離設置。

4.流量分析與流量偵聽。

由于無線信號是以AP為中心在空氣中發散傳播，所以，使用各種無線網絡分析儀可以不受限制地截獲未加密的網絡數據，而對于企業用戶而言這種被動方式的網絡監聽是危險的。目前，管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。所以，WEP有漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，并且早期，WEP非常容易被解密，硬件廠商為了避免攻擊。作為防護功能的擴展，最新的無線局域網產品的防護功能比較之前更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。這樣使得攻擊者在短時間內無法破獲密鑰。

目前的解決方案是采用可靠的協議進行加密。如果用戶的無線網絡用于傳輸比較敏感的數據，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。

5.服務和性能的限制。

由于物理層的開銷，無線局域網的傳輸帶寬是有限的，實際最高有效吞吐量僅為標準的一半，并且是AP所有用戶共享帶寬。無線帶寬可能被幾種方式吞噬：比如來自有線網絡遠遠超過無線網絡帶寬的網絡流量，如果攻擊者使用Ping命令進行有針對性的攻擊，就能輕易地吞噬AP有限的帶寬;如果以廣播報文進行發送，就會同時阻塞多個AP；攻擊者可以在同無線網絡相同的無線信道內發送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應，同樣影響無線網絡的傳輸；另外，傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。

目前的解決方案是進行網絡檢測，定位性能故障應當從監測和發現問題入手，很多AP可以通過SNMP報告統計信息，但是信息十分有限，不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。

三 總結

Wi-Fi網絡的出現提高了企業的辦公效率，也帶來了巨大的安全隱患。Wi-Fi技術為黑客侵入企業網絡提供了便利。對于企業網絡安全的管理者而言，是以建設高帶寬、高質量、高安全、可管理的無線網絡作為目標，使得無線局域網具備以太網的功能和穩定性，更加適合規模化應用，滿足不同級別的用戶對無線網絡建設和應用的要求。所以當無線網絡給我們的企業帶來方便的同時，請大家一定不要忽視安全的重要性。我們相信無線網絡市場將會有翻天覆地的變化，并且將迅速推動無線網絡應用走上新的高度。

[1]孫友偉，張曉燕，暢志賢.現代移動通訊網絡技術[M].人民郵電出版社，2012(4).

[2]高峰.無線城市電信級WI-FI網絡建設與運營[M].人民郵電出版社，2011(1).

[3]張煥炯.通信系統安全[M].國防工業出版社，2012(9).

ClassNo.:TP393.08DocumentMark：A

(責任編輯：鄭英玲)

HowtoGuaranteetheSecurityoftheWi-FiWirelessNetworkforEnterprises

Shan Liang，Zhao Yanli

( Heilongjiang University of Technology, Jixi, Heilongjiang 158100 ,China; Xiache Middle Scholl , Lianyungang, Jiangsu 222231 , China)

While the 3G and 4G network technology has been widely used in personal terminal ,Wi-Fi wireless Internet technology has brought much more benefits to the company user. But there are some problems for the enterprise networks in the safety strategies which has resulted in some potential risks in the business network .

Wi-Fi; security policy; network security

單良，碩士，講師，黑龍江工業學院。

趙艷麗，中級，連云港市下車中學。

1672-6758(2013)09-0052-2

TP393.08

A