簡析WLAN無線局域網安全性

郝國良

摘要：無線局域網在應用過程中，自身及外部攻擊都存在多種程度安全問題，解決他們就要分析無線局域網自身所存在的安全弱點及各種非法入侵手段，而我們在建造一個無線網絡的同時除了避開各種問題以外還需要構造安全的策略體系。

關鍵詞：WLAN；入侵；AP；網絡安全WLAN,又稱無線局域網。是通過射頻技術來實現網絡傳輸，它比傳統局域網更加方便，靈活，并可實現在其覆蓋范圍內的漫游服務，有著傳統局域網無法比擬的優勢。但隨著WLAN的普及，其安全性也需要關注。

無線網絡在網絡安全上存在很大程度的威脅，像非法訪問、網絡病毒、惡意攻擊等，又因為無線網絡的傳輸方式與有線網絡有很大區別，所以無線網絡存在更多安全風險。無線網絡自身就存在安全弱點，首先，無線網絡中存在多個無線訪問接入設備AP，它們覆蓋的范圍形成了通向網絡的一個新入口，無線網絡的這個入口管理起來比較麻煩，所以一般對此入口的安全不采取任何措施，這樣入侵者經常會利用AP進行無線網絡的非法攻入，進行病毒的傳播或是盜取網絡中的重要信息，或與企業員工勾結竊取企業機密，甚至把當前網絡作為跳板等。其次，WLAN是利用微波原理在空氣中進行輻射傳播，我們無法控制其網絡覆蓋的范圍，在它所覆蓋的區域內，任何人都可以對其移動終端進行攻擊、竊取數據。第三，WLAN的帶寬容量較低，也經常遭到帶寬消耗性拒絕服務攻擊。第四，雖然WLAN采用了WEP加密協議，并在數據鏈路進行RC4對稱加密，但其是對客戶機進行單向認證，利用開放式系統認證與共享式密鑰認證算法，安全度低，認證簡單，很容易被入侵者破解，并截獲數據，達到竊取手段。第五，一般WLAN都是通過SSID服務集標識符作為憑證接入AP，經常用WLAN子系統中設備的網絡名做簡單的口令來分割子網，所以該口令安全級別很低，而且SSID采用廣播形式由AP向外進行發送，很容易盜取。

除了WLAN存在的自身安全缺陷以外，多種入侵也經常對其進行攻擊。其中，拒絕服務攻擊通過結合其他入侵方式對WLAN具有強大的破壞性，它利用無線局域網的帶寬及認證方式的缺點對WLAN進行頻率干擾，使帶寬消耗和安全服務設備的資源耗盡，通過其非法連入AP，向網內發送中止命令，導致網內多數計算機斷網。而中間人攻擊，也對WLAN構成威脅，采用對客戶端及AP進行欺騙，從而盜取網內信息。在WLAN中，通過檢查包中未加密的IP地址和網絡信息流，可以分析出通信雙方的發送接收內容，并且檢查SSL加密的網站的URL請求的信息，可以獲取網絡中服務器信息及服務器返回的網頁數據長度，從而達到獲取信息的目的。另一種攻擊方法是可以通過截取客戶端及AP的驗證信息，從而對驗證信息的重放達到非法入侵AP的目的，即使在傳送信息過程中使用VPN技術也無法防止。最后身份假冒技術也可以攻擊無線局域網，它采用假冒客戶端及AP的身份，進行入侵從而獲取信息，黑客也可以通過竊取合法用戶的MAC地址，之后將本身的MAC地址設置成與合法用戶相同的MAC地址，從而取得信任冒充合法用戶連接到AP。通過以上種種入侵方式，說明WLAN的安全正面臨種種威脅，當然無線局域網也可以變得很安全。

當我們為企業設計WLAN的時候，應該把安全問題放在首位，根據網絡使用的具體情況、主要用途及涉及的傳輸數據和設備，規劃好授權用戶的權限及AP的物理位置等，應該盡量做到控制無線局域網信號輻射的合理范圍，在AP與企業內部網之間用防火墻隔開，降低內部網絡受WLAN安全問題的風險。我們可以從多方面對無線局域網進行相關的設置。首先，可以通過TKIP協議來更換WLAN自身的WEP加密協議，WEP協議認證簡單，易于偽造，所以通過安裝TKIP協議可以大大提高其安全性能，并且花費相對低廉，同時在WLAN中建立虛擬專用網技術，支持端到端的SSH安全遂道連接。另外，我們還應該使用訪問控制列表來對MAC地址進行管理，確保在無線局域網中使用的設備都是經過注冊。AP設備出廠時的口令極其簡單，也需要重新設置，而作為接入AP的SSID憑證，也需要及時更改，盡量做到AP對SSID不廣播，及時安裝入侵檢測系統對網絡實時監控，嚴控非法入侵的假冒用戶進入WLAN，降低入侵風險。在組建無線局域網的同時，硬件設備的安全也至關重要，盡量選擇密鑰長、安全級別高的連接設備，提高網絡的安全性能。

組建一個安全可靠的無線局域網絡，應多方面全方位的考慮，對其所應用的網絡協議WEP，SSID及MAC地址應該放在重點位置，并且將安全策略，軟硬件資源有機的結合起來形成其有效的安全體系。在WLAN中劃分VLAN，可以有效的防止局域網內部的廣播風暴，而這種對點對式的通信方法可以防止網絡偵聽等行為，在WLAN中采用動態鏈接技術，可以動態分配密鑰，對每次的會話都會自動產生一個密鑰，而這種加密技術采用128位加密，運用動態安全鏈路技術，需要在AP中建立一個用戶訪問列表，并在客戶端需要使用ID及密碼的認證才可以連接網絡進行訪問。安裝入侵檢測系統可以大大提高安全性能，入侵檢測系統對中間人攻擊、非法接入AP等情況進行分析判斷，并及時告知網絡管理員阻止入侵傷害。而在無線局域網中，端口訪問控制技術也是一種增強網絡安全的解決方法，對遠程用戶撥號認證服務及集中式用戶簽名技術的支持，可以實現驗證和記賬的網絡認證登陸服務。如果用戶與AP取得關聯，要通過802.1X的認證來換取AP服務，當驗證通過，AP則允許用戶打開端口聯入網絡，這種方式可能將IP地址與MAC地址同網絡端口進行綁定，防止非法入侵。

無線網絡給我們帶來方便的同時，安全問題也不容小覷，安全的無線網絡應該從各方面著手，盡量將入侵風險降到最低。

[參考文獻]

[1]鄧春紅.《網絡安全原理與實務》.北京理工大學，2011.