無線網絡安全問題及其防范措施

朱俊

（湖南常德職業技術學院現代教育技術中心 湖南常德415000）

1 引言

因特網是計算機技術與網絡技術發展的產物，現在已經給人們的工作和生活帶來了深刻的變化；而無線網絡是計算機技術、網絡技術與無線通信技術相結合的產物。無線網絡是使用無線電波代替雙絞線、同軸電纜等設備來傳輸數據，省去了布線的麻煩，組網靈活，實現了網絡互聯的可移動性，提高了用戶訪問信息的及時性、有效性和克服了受線纜限制而引起的不便性。因此，無線網絡從誕生至今，在我國發展非常迅速，正在深刻的改變著人們的各種觀念，改變著人們的傳統工作、學習和生活方式，越來越多的人們正在生活在無線網絡之中。但由于無線網絡應用具有很大的開放性，數據傳播范圍很難控制，因此無線網絡將存在著嚴峻的安全問題。

2 無線網絡面臨的安全問題

無線網絡的信息，是在開放的空間通過電磁波全方位發射的，數據傳輸范圍很難控制，對于越權存取或竊聽的行為不太容易設防，只要在無線信號覆蓋范圍之內，就有可能接收到無線網絡傳輸的信息。因此，無線網絡的安全問題歸納起來主要有如下幾方面：

2.1 攻擊者非法接入而導致的網絡安全問題

無線網絡的信息通過電磁波全方位傳輸，而電磁波能夠穿越各類建筑物。因此，在一個接入點AP所覆蓋的范圍內，授權或非授權的客戶端都可以接收到無線網絡傳輸的信息，如果信息在傳輸過程中沒有強有力的安全措施，傳輸的數據很容易被攻擊者破壞、竊取、篡改。另外，無線網絡所使用的網絡設備技術不完善，安全漏洞不能及時修補，給非法入侵者帶來了可乘之機，也是導致無線網絡安全問題的一個原因。

2.2 無線網絡的開放性而導致的網絡安全問題[4]

無線網絡的信息是在開放的空間通過電磁波全方位傳輸的，故無線網絡沒有明確的防御邊界，黑客可能從四面八方對每個接入點進行直接或間接的攻擊。這種開放性給無線網絡帶來了非法信息截取、未授權信息服務等一系列的信息安全問題。

2.3 無線網絡終端移動性而導致的網絡安全問題

無線網絡終端不僅可以在較大范圍內移動，而且還可以跨越區域漫游，這意味著移動接點AP沒有足夠的物理防范，從而信息易被攻擊者竊聽、破壞、劫持，同時攻擊者還可能在任何位置通過設備實施攻擊。

2.4 無線網絡中主機存在的安全問題

無線網絡是用無線電技術把多臺主機聯系在一起構成的一類網絡。對于主機的攻擊可能會以病毒的形式出現，除了目前有線網絡上流行的病毒之外，還可能會出現專門針對無線網絡設備的無線病毒，當無線網絡與互聯網連接之后，無線病毒的攻擊也會隨之加劇；如果系統軟件與網絡軟件的漏洞不能及時修補，給黑客帶來了可乘之機，也會導致主機的安全問題。

2.5 自然環境千變萬化而導致的網絡安全問題

由于無線網絡的信息是在空氣中按照通信協議傳送的，傳輸介質、傳輸路徑，會隨時間而改變，同時電磁輻射、強磁場、強電場、氣候、高溫、濕度、風災、火災、反射等都有損壞無線網絡中信息的可能。

3 無線網絡安全性防范措施

無線網絡誕生之日起，安全問題與其靈活方便的優勢就一并共存，網絡安全問題的解決方法制約和影響著無線網絡的應用和推廣。為了實現無線網絡中傳輸信息的安全性，必須做到如下幾點：

3.1 禁用SSID（服務集標識符）廣播

SSID是無線網絡用于定位服務的，無線路由器一般都會提供"允許SSID廣播"功能，如果使用了這項功能，就暴露了無線路由器的位置，這會帶來潛在的安全問題。最好是通過手動修改SSID，"禁用SSID廣播。"修改方法是：打開"我的電腦"，在地址欄中輸入自己所設IP地址 (一般為162.168.1.1或192.168.0.1），再輸入用戶名和密碼，打開"TP-LINK"窗口，單擊窗口左邊欄中"無線設置"，打開"無線網絡基本設置"窗口，如圖-1，單擊"?開啟SSID廣播"前面的復選框，取消復選框中的"√"，再單擊"保存"按鈕，最后重新啟動，即達到"禁用SSID廣播"的目的。

圖1 無線網絡基本設置

3.2 無線MAC地址過濾

由于無線MAC地址的過濾功能，可以通過MAC地址允許或拒絕無線客戶端訪問本無線網絡，有效的控制非法客戶訪問權限，讓無線網絡獲得較高的安全性。例如只允許MAC地址為"01-22-26-B8-7E-17"的主機訪問本無線網絡，其他主機均不可訪問本無線網絡，其設置方法是：用3.1中的方法打開"TP-LINK"窗口，單擊左邊欄中"無線設置-無線MAC地址過濾"，打開"無線網絡MAC地址過濾設置"窗口，如圖-2，單擊過濾規則中"允許列表中生效的MAC地址訪問本無線網絡"前面的單選鈕，再單擊"添加新條目"，打開圖-3，在"MAC地址："欄中輸入允許訪問本無線網絡的主機MAC地址"01-22-26-B8-7E-17"，在"描述："欄中輸入"上述地址為王五的電腦"，單擊"保存"，即達到了MAC地址過濾的目的。

圖2 無線網絡MAC地址過濾設置

圖3 無線網絡MAC地址過濾設置

3.3 設置高級別用戶登錄密碼

無線網絡用戶的登錄密碼，是無線網絡安全系統的最外層防線，在登錄過程中，系統會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入網絡系統。這種登錄密碼的級別要設置高一些，這種密碼不能和其他人共用，而且密碼最好經常更改。

3.4 設好網絡資源訪問權限

網絡資源訪問主要包括文件、打印機、網絡通信設備等這些網絡用戶都有可以使用的資源。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源屬性和訪問權限可以有效地控制網絡系統的安全性。

3.5 無線網絡安全監視[1]

無線網絡安全監視的作用，主要是對整個網絡的運行狀態進行動態地監視并及時處理各種事件。如定位網絡故障點、捕捉IP盜用者、控制網絡訪問范圍等。通過網絡監視系統可以找出并解決網絡上的安全問題，

3.6 對傳輸的數據報文加密

由認證服務器動態生成密鑰來替代單個靜態密鑰，并把密鑰首部的長度由原來的24位增加到128位，這樣增強無線網絡的安全性，使用主密鑰為用戶產生一個唯一的數據密鑰，加密每一個無線通信數據報文。這樣，即使是非法用戶從無線網絡中竊取了數據報文也無法使用。

3.7 端口訪問認證技術

端口訪問認證技術，是用于無線局域網中的一種網絡安全防范措施。當無線網絡客戶端與無線網絡接入點關聯后，是否可以利用接入點（AP）上網，這要取決于802.1x認證結果。如果用戶輸入的密碼與接入點（AP）預先存入的密鑰吻合，證明是合法的用戶，認證通過，接入點（AP）為用戶打開這個邏輯端口，用戶才擁有對網絡資源的訪問權，否則不允許用戶上網。

3.8 身份認證技術[2]

身份認證技術，是計算機用戶，在進入系統或訪問不同級別的資源時，系統確認用戶身份是否真實、合法的這一過程。通過身份認證技術可以防止非法人員進入系統，防止非法人員通過違法操作獲取不正當利益；通過身份認證技術可以防止訪問受控制信息、惡意破壞系統數據的完整性。目前身份認真證主要有口令、磁卡、IC卡、智能令牌、指紋、密碼表等。

3.9 確保啟用了防火墻

防火墻是位于外部網絡與內部網絡之間的通道，是網絡安全的第一道防線。它是由軟件或軟硬件設備結合的一種安全設備的總稱。內部網絡與外部網絡交換的所有信息都要經過防火墻這個通道，在通道內過濾掉外部網絡的非法用戶、黑客的入侵攻擊行為，同時也可以阻止內部網絡用戶非法向外部網絡傳遞信息。

3.10 正確使用無線入侵檢測系統

無線入侵檢測系統是一種動態網絡安全防范措施，是網絡安全的第二道防線。設置在內部網絡的邊界上，用來監視、分析用戶的上網活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警，還能加強策略，檢測MAC地址欺騙，找出偽裝WAP的無線上網用戶。

3.11 安全掃描技術[2]

安全掃描技術分主機安全掃描技術和網絡安全掃描技術。安全掃描技術是一類重要的網絡安全解決方案。安全掃描技術與防火墻技術、入侵檢測技術互相配合，能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和網絡運行的安全情況，發現安全漏洞，客觀評估網絡風險。及時解決網絡中存在的安全問題。

3.12 VPN（虛擬專用網）技術的應用[3]

VPN（virtual private networks）技術是最近幾年發展起來的網絡新技術。VPN技術是指綜合運用隧道技術、身份認證技術、數據認證技術、加密技術等構建在公共網絡上的臨時、安全的專用網絡。使用VPN技術可以對無線網的安全性得到極大的提高，能夠有效地保護數據的完整性、有效性、可信性。目前許多企業以及運營商已經采用虛擬專用網（VPN）技術。

以上防范措施各有優勢和不足之處，將多種防范措施綜合應用，發揮各自的優勢，才能為無線網絡提供充實、可靠的安全保障。

4 結束語

雖然無線網絡存在比有線網絡更多的安全問題，但最近幾年來，無線網絡在我國發展很快，正在深刻改變人們的各種觀念，改變著人們傳統的工作、學習和生活方式，越來越多的人生活在無線網絡之中。在未來的幾年里，我國可望建成世界上最大的無線網絡，如何在這個巨大的無線網絡中構造豐富多彩的安全應用，這是當今網絡技術人員和網絡使用人員的一個重要研究課題。它不僅僅是一個技術問題，也是一個安全管理問題，同時也是一個社會道德與法律法規問題。因此，要解決無線網絡的安全問題，我們必須采取技術與立法等多種手段進行綜合治理。

[1]松柏,計算機網絡入門與提高[M],航空工業出版社,2005

[2]匡松,張思成,計算機網絡技術學習寶典[M],中國鐵道出版社,2009

[3]馮博琴,陳文革主編,呂軍,程向前,李波編.計算機網絡簡明教程[M]高等教育出版2009.

[4]仇芒仙.無線網絡的安全技術的探討.電腦開發與應用[J].2008