淺談基于WIFI的無(wú)線(xiàn)網(wǎng)絡(luò)安全

趙九思 劉 劍

（天津市公安局，中國(guó) 天津 300020）

隨著無(wú)線(xiàn)技術(shù)的迅速發(fā)展，無(wú)線(xiàn)保真技術(shù)WIFI應(yīng)勢(shì)而生。WIFI以其突出的優(yōu)勢(shì)：覆蓋范圍廣；傳輸速度快；信號(hào)密集，定位精確；組建簡(jiǎn)單；免布線(xiàn)等，迅速風(fēng)靡于全世界。讓世界城市的每個(gè)角落都能上寬帶的“無(wú)線(xiàn)城市”夢(mèng)想已經(jīng)變成了現(xiàn)實(shí)，基本實(shí)現(xiàn)了從“無(wú)線(xiàn)城市”到“無(wú)線(xiàn)國(guó)家”甚至“無(wú)線(xiàn)地球”之間的跨越。在無(wú)線(xiàn)網(wǎng)絡(luò)日趨普及的同時(shí)，人們必須首先考慮加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全措施，以便更有效、更放心地使用。

1 WIFI技術(shù)簡(jiǎn)介

WIFI（Wireless Fidelity）俗稱(chēng)無(wú)線(xiàn)寬帶，又叫802.11b標(biāo)準(zhǔn)，是IEEE定義的一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)。IEEE802.11b標(biāo)準(zhǔn)是在IEE E802.11的基礎(chǔ)上發(fā)展起來(lái)的，工作在2.4Hz頻段，最高傳輸率能夠達(dá)到11Mbps。該技術(shù)是一種可以將個(gè)人電腦，手持設(shè)備等終端以無(wú)線(xiàn)方式互相連接的一種技術(shù)。

2 WIFI安全隱患分析

隨著無(wú)線(xiàn)網(wǎng)絡(luò)的逐漸普及，網(wǎng)絡(luò)安全問(wèn)題也正變得日益嚴(yán)峻。無(wú)線(xiàn)通訊的本性使然，由于傳送的數(shù)據(jù)是利用無(wú)線(xiàn)電波在空中輻射傳播，無(wú)線(xiàn)電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的、安裝在不同樓層、甚至是發(fā)射機(jī)所在的大樓之外的接收設(shè)備，因此，數(shù)據(jù)安全也就成為最重要的問(wèn)題。沒(méi)有良好保護(hù)的無(wú)線(xiàn)網(wǎng)絡(luò)可造成客戶(hù)的無(wú)線(xiàn)通訊被黑客攔截，從而造成重大損失。黑客能夠利用竊取的信用卡號(hào)碼、銀行賬戶(hù)口令、機(jī)密的商務(wù)信息以及其它敏感的數(shù)據(jù)為自己及其同伙牟利。

《孫子兵法》有云：知己知彼，百戰(zhàn)不殆。為了使無(wú)線(xiàn)網(wǎng)絡(luò)安全、有效地運(yùn)行，為了抵御黑客的入侵和破壞，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全隱患進(jìn)行分析研究、找出無(wú)線(xiàn)網(wǎng)絡(luò)的隱患所在是至關(guān)重要的。通過(guò)對(duì)目前無(wú)線(xiàn)網(wǎng)絡(luò)的犯罪事例分析研究，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在以下幾個(gè)方面：

2.1 容易侵入

WIFI無(wú)線(xiàn)網(wǎng)絡(luò)非常容易被找到，信號(hào)提供者為了使用戶(hù)能夠發(fā)現(xiàn)WIFI的存在，在發(fā)送信號(hào)時(shí)，會(huì)發(fā)送有特定參數(shù)的信標(biāo)幀，這就給入侵者提供了一定的入侵條件；還有一些個(gè)別用戶(hù)在組建網(wǎng)絡(luò)時(shí)沒(méi)有改變WIFI路由器的默認(rèn)設(shè)置，這種默認(rèn)設(shè)置對(duì)于外界的連接要求以及對(duì)數(shù)據(jù)的加密都是疏于防范的，因此這樣處于信號(hào)覆蓋范圍內(nèi)的WIFI設(shè)備都可以很容易的連接到網(wǎng)絡(luò)，從而造成入侵。

2.2 惡意訪(fǎng)問(wèn)點(diǎn)

惡意訪(fǎng)問(wèn)點(diǎn)指的是那些沒(méi)有經(jīng)過(guò)網(wǎng)絡(luò)規(guī)劃或者許可接入網(wǎng)絡(luò)的訪(fǎng)問(wèn)點(diǎn)，惡意訪(fǎng)問(wèn)點(diǎn)逐漸成為安全行業(yè)令人頭痛的一個(gè)問(wèn)題。入侵者會(huì)掃瞄所有開(kāi)放的無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP(Access Point)，其中，部分網(wǎng)絡(luò)的確是為大眾提供的，但多數(shù)則是因?yàn)橛脩?hù)沒(méi)有做好安全設(shè)置造成的。無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)便捷和容易配置的特點(diǎn)，使得任何使用者的無(wú)線(xiàn)設(shè)備都可以通過(guò)購(gòu)買(mǎi)的無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP，而輕松的接入網(wǎng)絡(luò)。當(dāng)今無(wú)線(xiàn)局域網(wǎng)的構(gòu)建已經(jīng)相當(dāng)?shù)姆奖悖谝恍﹩挝粌?nèi)部，很多部門(mén)在沒(méi)有經(jīng)過(guò)網(wǎng)絡(luò)部門(mén)授權(quán)的情況下就自行組建無(wú)線(xiàn)局域網(wǎng)，這種非專(zhuān)業(yè)人員安裝的無(wú)線(xiàn)路由器和訪(fǎng)問(wèn)點(diǎn)設(shè)備，在安裝時(shí)很少考慮網(wǎng)絡(luò)的安全策略。這樣就給網(wǎng)絡(luò)留下了安全隱患。

2.3 破解 WEP

當(dāng)今，WEP有漏洞可以被入侵者利用，入侵者通過(guò)掃描WEP安全協(xié)議的漏洞，破解無(wú)線(xiàn)通信設(shè)備與用戶(hù)之間的聯(lián)系。如果入侵者只是采用簡(jiǎn)單的監(jiān)視方式的攻擊，則需要花費(fèi)很長(zhǎng)的時(shí)間才能破解，而利用一些軟件工具進(jìn)行解密，所需的時(shí)間就很短了。盡管后來(lái)許多廠商針對(duì)WEP研發(fā)了安全策略，但也不能將安全保障都寄希望于加密WEP協(xié)議。因?yàn)樗鄬泳W(wǎng)絡(luò)安全措施有很多層，雖然加密WEP協(xié)議具有很重要的作用，但整個(gè)的網(wǎng)絡(luò)安全不能只依賴(lài)其中一層的安全性能。

2.4 欺騙

欺騙（Spoofing）是指黑客將偽造的信息發(fā)送給計(jì)算機(jī)的行為。由于802.11無(wú)線(xiàn)局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，入侵者可以使用欺騙幀的方式，重新定向數(shù)據(jù)流、使ARP表變得混亂，經(jīng)過(guò)簡(jiǎn)單的操作，入侵者就可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些MAC地址可以用于惡意入侵時(shí)使用。

3 排除WIFI安全隱患的措施

“工欲善其事，必先利其器”，在我國(guó)全面建成“無(wú)線(xiàn)城市”之前，必須先加強(qiáng)WIFI安全保護(hù)措施，使無(wú)線(xiàn)網(wǎng)絡(luò)在安全、健康的情況下，在為我國(guó)的城市建設(shè)和發(fā)展中發(fā)揮出最大的優(yōu)勢(shì)。

3.1 設(shè)置新的SSID

無(wú)線(xiàn)局域網(wǎng)都有一個(gè)缺省的SSID，在組建網(wǎng)絡(luò)時(shí)應(yīng)更改這個(gè)設(shè)置，需要取消SSID的自動(dòng)播放功能，同時(shí)通過(guò)對(duì)多個(gè)訪(fǎng)問(wèn)點(diǎn)AP設(shè)置不同的SSID，要求相關(guān)的無(wú)線(xiàn)接入設(shè)備必須驗(yàn)證SSID后才能訪(fǎng)問(wèn)AP，這樣在一定程度上可以提高網(wǎng)絡(luò)的安全性，但這種SSID是用字母和數(shù)字符號(hào)來(lái)表示的，只是一種簡(jiǎn)單的口令，使用該網(wǎng)絡(luò)的用戶(hù)都知道，因此容易泄露，所以只用于對(duì)安全等級(jí)要求不高的網(wǎng)絡(luò)。

3.2 啟用加密措施WPA

WEP提供了40位和128位長(zhǎng)度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)應(yīng)用范圍內(nèi)的所有用戶(hù)共同使用一個(gè)密鑰，只要一個(gè)用戶(hù)丟失或者泄漏密鑰將使整個(gè)網(wǎng)絡(luò)不安全。改善靜態(tài)WEP安全的一種方法是設(shè)置接入點(diǎn)使用MAC過(guò)濾，僅允許事先確定的用戶(hù)群訪(fǎng)問(wèn)這個(gè)網(wǎng)絡(luò)，但MAC地址在理論上可以偽造。盡量使用WPA或者WPA2形式的加密措施。擁有用戶(hù)和計(jì)算機(jī)認(rèn)證的EAP-TLS（擴(kuò)展認(rèn)證協(xié)議-傳輸層安全）的WPA或者WPA2是最強(qiáng)大的身份識(shí)別方式。EAP-TLS使用數(shù)字證書(shū)提供互相身份識(shí)別。

3.3 虛擬專(zhuān)用網(wǎng)絡(luò)VPN

VPN是一種虛擬的、加密的網(wǎng)絡(luò)，它是在現(xiàn)有網(wǎng)絡(luò)上組建的。VPN主要使用“隧道傳輸”（tunneling）技術(shù)，因?yàn)榧用軘?shù)據(jù)流是通過(guò)一個(gè)普通的、未加密的連接來(lái)設(shè)置和維護(hù)的。VPN將安全的內(nèi)部網(wǎng)延展到遠(yuǎn)程用戶(hù)。因此，遠(yuǎn)程無(wú)線(xiàn)用戶(hù)能同時(shí)出現(xiàn)在兩個(gè)網(wǎng)絡(luò)中。在使用無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí)，還創(chuàng)建了一個(gè)VPN隧道，從而將遠(yuǎn)程客戶(hù)端連接到公司的內(nèi)部網(wǎng)絡(luò)。這樣一來(lái)，用戶(hù)在遠(yuǎn)程位置也能使用內(nèi)部網(wǎng)的資源。在WEP加密基礎(chǔ)上再使用VPN加密，攻擊者就難以同時(shí)對(duì)數(shù)據(jù)進(jìn)行兩道解密。尤其是，攻擊者無(wú)法輕松獲得VPN口令、證書(shū)或者智能卡密鑰，破解VPN數(shù)據(jù)的幾率是非常低的。

3.4 無(wú)線(xiàn)網(wǎng)絡(luò)由專(zhuān)業(yè)人員構(gòu)建

近年來(lái)無(wú)線(xiàn)網(wǎng)絡(luò)飛速發(fā)展，相應(yīng)組建無(wú)線(xiàn)網(wǎng)絡(luò)的設(shè)備也相當(dāng)普及，這就給構(gòu)建無(wú)線(xiàn)網(wǎng)絡(luò)提供了非常便利的條件，但非專(zhuān)業(yè)人士在安裝無(wú)線(xiàn)路由器等相關(guān)設(shè)備時(shí)，很少考慮網(wǎng)絡(luò)的安全性，入侵者通過(guò)網(wǎng)絡(luò)探測(cè)工具就可以對(duì)找到無(wú)線(xiàn)網(wǎng)絡(luò)的“后門(mén)”。因此，在構(gòu)建無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)需要由專(zhuān)業(yè)人員設(shè)計(jì)、制作，這樣才能最大限度的提高無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

4 結(jié)束語(yǔ)

在我國(guó)“無(wú)線(xiàn)城市”的建設(shè)和完善過(guò)程中，我們必須深入考慮網(wǎng)絡(luò)的信息安全問(wèn)題，在認(rèn)真借鑒和分析其他國(guó)家經(jīng)驗(yàn)和教訓(xùn)的同時(shí)，結(jié)合我國(guó)的網(wǎng)絡(luò)現(xiàn)狀，以科學(xué)發(fā)展觀為指導(dǎo)，建設(shè)適應(yīng)我國(guó)經(jīng)濟(jì)社會(huì)需求的無(wú)線(xiàn)網(wǎng)絡(luò)，為中國(guó)特色社會(huì)主義經(jīng)濟(jì)建設(shè)提供有力的網(wǎng)絡(luò)支持。