無線網絡安全防范措施探討

【文章摘要】

筆者結合當前無線網絡和無線局域網建設的現狀，分析了其安全隱患，探討了當前各種無線網絡安全機制解決方案的優劣，提出解決無線網絡安全隱患的對策措施。

【關鍵詞】

無線網絡；安全；防范措施

隨著信息化技術的飛速發展，很多網絡都開始實現無線網絡的覆蓋以此來實現信息電子化交換和資源共享。無線網絡和無線局域網的出現大大提升了信息交換的速度和質量，為很多的用戶提供了便捷和子偶的網絡服務，但同時也由于無線網絡本身的特點造成了安全上的隱患。具體的說來，就是無線介質信號由于其傳播的開放性設計，使得其在傳輸的過程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲，被不法之徒利用其漏洞來攻擊網絡。因此，如何在組網和網絡設計的時候為無線網絡信號和無線局域網實施有效的安全保護機制就成為了當前無線網絡面臨的重大課題。

1 無線網絡的安全隱患分析

無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端，以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網，無線網絡的構建增強了電腦終端的移動能力，同時它安裝簡單，不受地理位置和空間的限制大大提高了信息傳輸的效率，但同時，也正是由于無線局域網的特性，使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全，換句話無線網絡的安全保護措施難度原因大于有線網絡。

IT技術人員在規劃和建設無線網絡中面臨兩大問題：首先，市面上的標準與安全解決方案太多，到底選什么好，無所適從；第二，如何避免網絡遭到入侵或攻擊？在有線網絡階段，技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線，但是，“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點，使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過，成為形同虛設的“馬奇諾防線”。

針對無線網絡的主要安全威脅有如下一些：

（1）數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光，引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息，然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

（2）截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡，則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。

2 常見的無線網絡安全措施

綜合上述針對無線網絡的各種安全威脅，我們不難發現，把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防，常見的安全措施有以下各種。

2.1 MAC地址過濾

MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段，因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址（MAC地址）下發到各個AP中，或者直接存儲在無線控制器中，或者在AP交換機端進行設置。

2.2 隱藏SSID

SSID（Service Set Identifier，服務標識符）是用來區分不同的網絡，其作用類似于有線網絡中的VLAN，計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了，SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成，無線終端接入無線網路時必須提供有效的SIID，只有匹配的SSID才可接入。一般來說，無線AP會廣播SSID，這樣，接入終端可以通過掃描獲知附近存在哪些可用的無線網絡，例如WINDOWSXP自帶掃描功能，可以將能聯系到的所有無線網絡的SSID羅列出來。因此，出于安全考慮，可以設置AP不廣播SSID，并將SSID的名字構造成一個不容易猜解的長字符串。這樣，由于SSID被隱藏起來了，接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡，即便他知道有一個無線網絡存在，但猜不出SSID全名也是無法接入到這個網絡中去的。

3 無線網絡安全措施的選擇

應用的方便性與安全性之間永遠是一對矛盾。安全性越高，則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中，我們不能不考慮應用的方便性。因此，我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式，又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID，因此不隱藏SSID，以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼，以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全，具有一定的現實意義。來訪用戶所關心的是方便和快捷，對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認證后即可上網。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。

此外，如果在資金可以保證的前提下，在無線網絡中使用無線網絡入侵檢測設備進行主動防御，也是進一步加強無線網絡安全性的有效手段。

最后，任何的網絡安全技術都是在人的使用下發揮作用的，因此，最后一道防線就是使用者，只有每一個使用者加強無線網絡安全意識，才能真正實現無線網絡的安全。否則，黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。

現在，不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時，因為對無線網絡的安全不夠重視，對局域網無線網絡的安全考慮不及時，也造成了一定的影響和破壞。做好無線網絡的安全管理工作，并完成全校無線網絡的統一身份驗證，是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接，確保無線網絡的高安全性，提高企業的信息化的水平。

【參考文獻】

[1]譚潤芳.無線網絡安全性探討[J].信息科技，2008，37（6）：24-26.

[2]沈芳陽.基于IEEE 802.11系列標準的無線局域網安全性研究[D].廣東工業大學，2004.

[3]馬建峰，吳振強.無線局域網安全體系結構[M].北京：高等教育出版社，2008.

【作者簡介】

陳軍（1970年8月—），男，福建福清人，同濟大學軟件學院碩士研究生。