基于無線局域網的安全防護的研究

萬寧坤 王媛 穆文聯

（邯鄲供電公司，河北 邯鄲 056000）

1 概述

1.1 課題背景

網絡是信息化的基礎，網絡設施的完善和網絡技術的進步，對信息網絡化起到積極的推動作用。進入20世紀90年代以來，隨著個人數據通信的發展，功能強大的便攜式數據終端以及多媒體終端的廣泛應用，使得人們對網絡通信的需求也隨之不斷提高，希望打破不同的地域或客觀條件的制約，使任何人在任何時間、任何地點均能夠實現數據通信的目標。

無線局域網（Wireless Local Area Networks；WLAN）是20世紀90年代計算機網絡與無線通信技術相結合的產物。以無線媒體或介質，利用射頻的技術，取代舊式的雙絞銅線所構成的局域網絡，使得無線局域網絡能利用簡單的存取架構讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。WLAN已在教育、醫院、金融行業、旅游酒店行業等各方面有了廣泛應用，具有安裝便捷、使用靈活、經濟節約、擴展容易等顯著特點。

1.2 無線局域網的發展趨勢

從2001年開始，無線局域網完成了從室外到室內的大飛躍。大企業無線應用的普及與無線網進入家庭，同時熱點地區寬帶無線接入成為電信運營商看好的市場。2001年至今，用戶已經對無線局域網有了一個很好的認知，供貨商也在不斷增加，技術的普及使得各網絡廠商均有生產無線局域網產品的實力。

無線局域網的國家標準是從符合我國國情的角度出發，全面考慮了市場現狀和產業未來發展的前景。我國出臺了自己的無線局域網安全標準，勢必將對無線局域網技術在我國的應用起到推動作用，一旦成為國際標準更將具有劃時代的意義。

2 無線局域網安全分析與防范對策

2.1 安全隱患分析

導致網絡設計和建設時埋下的安全隱患主要有以下幾個方面：

①弱密碼問題：弱密碼，即非常容易猜測到的密碼。黑客可以通過猜測、使用弱密碼字典進行暴力破解等方式破解出密碼。

②非法AP問題：無線局域網易于訪問和配置簡單的特性，使得任何人不經過授權而連入網絡。一是企事業單位的工作人員為了工作上的便利，私自搭建無線局域網。二是黑客獲取用戶的信息，采用各種手段癱瘓、摧毀用戶接入的無線局域網，偽造一個類似的無線局域網，以引入詐騙用戶接入，間接截獲傳輸的信息。

③容易入侵問題：無線局域網非常容易被發現，為了能夠使用戶發現無線網絡的存在，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。

④MAC地址訪問問題：MAC地址很容易的就會被非法用戶探查到，一旦激活了WEP，MAC地址也必須暴露在外；而且大多數的無線網卡可以用軟件來改變MAC地址。因此，非法用戶可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網卡中，從而偽裝一個有效地址，越過訪問控制。

⑤數據傳輸問題：一是靜態WEP密鑰的安全缺陷，二是訪問控制機制的安全缺陷。

2.2 全防護措施

對WLAN存在的安全性隱患，研究相應的改進措施，對 WLAN技術的使用、研究和發展都有著深遠的影響。

①升級Wi-Fi加密

Aruba Network公司戰略營銷主管Michael Tennefoss說：“Wi-Fi將會使用基于身份的安全，在Wi-Fi網絡中，安全策略與用戶關聯，而不是與端口關聯的，這樣的好處是用戶可以在家，辦公場所，酒店，分支機構和公共場所移動，安全性不會受到影響”。我們應選擇更加先進的WPA2加密技術。

②修改SSID

通常每個無線網絡都有一個服務區標識符（SSID），無線客戶端加入該網絡的時候需要有一個相同的SSID，否則將被“拒之門外”。通常路由器/中繼器設備制造商都在他們的產品中設了一個默認的相同的SSID。如果一個網絡，不為其指定一個SSID或者只使用默認SSID的話，任何無線客戶端都可以進入該網絡，這就方便了黑客入侵網絡。通過對多個無線接入點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區別限制。

③隱藏SSID

SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡。無線路由器一般都會提供“允許SSID廣播”功能，如果不想讓自己的無線網絡被別人通過SSID名稱搜索到，出于安全考慮最好“禁止SSID廣播”，你的無線網絡仍可使用，只是不會出現在其他人所搜索到的可用網絡列表中。

④MAC地址過濾

無線MAC地址過濾功能是通過MAC地址允許或拒絕無線網絡中的計算機訪問廣域網，有效控制無線網絡內用戶的上網權限。基本上每一個網絡接點設備都有一個獨一無二的標識稱之為物理地址或MAC地址，無線網絡設備也不例外。所有路由器/中繼器等路由設備都會跟蹤所有經過他們的數據包源MAC地址，因此可以通過手工的方式在AP中設置一組允許訪問的MAC地址列表，實現物理地址過濾。

⑤VPN技術

VPN（Virtual Private Network，虛擬專用網絡）是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，是在現有的網絡上組建的虛擬的、加密的網絡。VPN技術通過三級安全保障：用戶認證、加密和數據認證來實現無線網絡的安全性保證[9]。用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力也不能將這些信息解密。數據認證確保在無線網絡上傳輸的數據的完整性，保證所有業務流都是來自已經得到認證的設備。

⑥防止非法AP接入

無線局域網易于訪問和配置簡單的特性，增加了無線局域網管理的難度，任何人都可以通過自己購買的AP,不經過授權而連入網絡，因此給無線局域網帶來很大的安全隱患。（1）通過入侵檢測系統防止非法AP接入，可以分為查找非法AP和消除非法AP。（2）通過檢測設備防止非法AP的接入。

⑦布置防火墻

防火墻的布置在局域網和外網的交界處，用來阻止來自外部網絡的入侵，用于保障內部網絡安全。僅僅依靠單一層次安全措施并不足以抗拒所有的安全風險，增加安全策略將有效的防止間諜軟件和惡意軟件的侵襲。兩個重要的安全層次就是路由器防火墻和PC防火墻。保證激活內置防火墻，與內置的禁止匿名訪問網絡機制使用效果很好。這一步將會幫助你在網絡上隱身，這樣就會保護你的網絡。

結語

現如今，無線網絡技術的快速發展，使得無線網絡必定會成為將來網絡發展的一大趨勢，正因如此，無線網絡面臨著更大的安全威脅。在無線局域網的未來發展中，安全問題仍將是一個最重要、迫切需要解決的問題，但這并不能限制無線局域網的迅猛發展，未來的無線網絡安全將面臨著更大的挑戰和機遇。盡管現在用于網絡安全的產品有很多，但是仍然有很多黑客的非法入侵。我們要根據不同的安全需要，對無線網絡的特性和結構進行透徹的分析，在不同的層面采取恰當的措施，將黑客入侵的可能降至最小，從而保護無線網絡信息安全。隨著技術的成熟和無線網絡應用商業化進程的加快，研究者需對無線局域網安全投入更多的關注，并加強管理，為用戶提供速率更快、安全性更高的無線局域網技術標準。在不久的將來，我們相信無線設備將更加安全，加密技術會更加強大，我們會建立更加完善的網絡環境。

[1]Alexander,Bruce E.802.11 wireless network site surveying and installation,Bruce E. Alexander.[M]Indianapolis,Ind.Cisco Press,c2005.

[2]Mauler，Thomas.A field guide to wireless LANs：for administrators and powerUs ers/Thomas Mauler.[M]，Upper Saddle Rive r，NJ：Prentice Hall.2004.

[3][美]JimGeier著，王群等譯.無線局域網[M].人民郵電出版社，2008：48-186.

[4]王茂才.無線局域網的安全性研究[J].計算機應用研究，2007（01）：31-32.

[5]馬曉艷，韓忠東，馬華，孫靜.無線局域網安全檢測系統研究[J].中國科技信息，2008（01）.