無線網絡安全隱患與應對策略

東莞市機電工程學校 林健輝

無線網絡安全隱患與應對策略

東莞市機電工程學校 林健輝

在計算機的網絡中，有一塊技術正迅猛地發展著，逐步成為計算機網絡世界中的重要成員——那就是無線網絡技術。它使用和安裝都非常方便，網速之快和移動性能無人能敵。本文以無線網絡的安全隱患為開頭，講述了無線網絡的安全技術，然后詳細闡述無線網絡的安全策略，從而使本論文的重心更加突出。

網絡安全隱患；應對策略；WEP；WPA

1 無線網絡的安全隱患

1.1 內部非法接入

內部非法接入是指外網用戶通過未經內部網絡管理者許可的方式連接到內網的行為。非法接入者一般情況下是難以接近交換機的，他們瞄準的是交換機面向用戶輸出的各端口接點（俗稱信息點），這些信息點在用與備用的配比是1：1.2。備用信息點能用但尚未指定合法用戶，非法接入者就乘虛而入。更有甚者將非法AP接入在用信息點，以合法用戶的身份欺騙。由于校園網信息點多且分布廣，網絡管理員鞭長莫及。

1.2 外部非法侵入

外部非法侵入，是說與國家的相關法律規定相違背，利用計算機技術等非法手段入侵國家機密資料部門，國家軍事防護部門等涉及國家安全敏感資料的不法行為。非法侵入與非法接入的區別在于入侵者無須通過物理方式的接觸，只要在校園無線網的外圍（如公路邊、樓宇下），采取高靈敏度天線搜索及定位目標所在區域，并確定目標發射源（嗅探無線路由器或無線AP的使用頻道和SSID），再利用Airsnort、WEPcrack等軟件工具，破解無線設備的WEP（有線等價保密算法）、WPA(Wi-Fi Protected Access，Wi-Fi保護訪問)、MAC（網卡物理地址）過濾、SSID（無線網的名稱）隱藏等加密方式，從而一舉進入校園網系統。

如果說非法接入者目的大多只是“偷用”網絡，不懷好意者甚少；那么非法侵入者目的則是惡意破壞：①偵測攻擊。②截取和修改傳輸數據。③拒絕服務(DoS)攻擊。④免費下載欺騙。⑤修改網絡配置。⑥惡意傳播病毒。

1.3 WEP秘鑰安全的不足

WEP的秘鑰技術是存在固有缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。

目前主流的有WEP、WPA、WPA2這三種無線加密方式（技術），而校園無線網實際上大多只采用WEP加密方式。究其原因，是網絡終端的無線網卡普遍只支持WEP加密方式，為什么要使用這種低成本網卡呢，一是學校要考慮投資問題，畢竟網絡終端用戶群體很大；二是學生宿舍用戶自購或自帶的無線網卡普遍是低端的。盡管校園無線網的AP與無線路由器均支持WEP、WPA、WPA2三種加密方式，但校園網用戶只有選擇WEP加密方式才能實現無線連接，在客觀上WEP加密方式便可能成為校園無線網的唯一選擇。

1.4 802.11協議的隱患

目前802.11協議隱患主要體現在如下幾個方面：

①MAC地址欺騙——在這種網絡中運行的協議，對物理地址傳送的數據是不進行任何認證屬性方面的操作，讓入侵者有機可乘，通過欺騙MAC幀去重定向數據流和使ARP表變得混亂，能夠很容易地捕抓到網絡環境中的物理MAC地址，黑客可以使用這些捕抓到的信息進行不斷的非法攻擊。入侵者除了實施欺騙幀進行攻擊外，還能在截獲會話幀的過程中發現無線AP認證缺陷，并查探出在哪里存在無線AP。因為該協議沒有規定要求無線AP報告自己合法還是非法，致使入侵者很容易裝扮成合法無線AP的身份進入網絡。由于這種協議存在先天的缺陷，是不可能完全杜絕網絡中的非法入侵攻擊的。

②監聽流量——由于802.11協議支持的WVLAN傳輸信號是發散的，是不能阻擋網絡中的入侵者對網絡進行流量的監聽，很多的網絡分析軟件都可以很容易地獲取到網絡流量的信息。我們大家都清楚，WEP很容易被黑客入侵，它只能對原始的網絡數據進行保護，同時它不能對網絡數據幀進行管理和調控，正因為如此，可以給網絡的黑客入侵網絡世界打開了一扇門。入侵網絡的人員可以通過特定的軟件對網絡的流量進行監視，這種軟件既可以尋找到周邊區域的無線信號，還能夠顯示出該網絡相關的信息資料，為入侵者帶來暢通無阻的便利。通過這些信息，入侵者可以很容易地進行非法接入并試圖進行攻擊。一旦入侵者成功進入校園網的某臺主機，他就在該主機上安裝及使用嗅探器（Network sniffer）軟件，搜索及攻擊其他主機甚至路由器，從而進一步獲取大量的數據信息。

③SSID缺陷漏洞——通常來說，對于每個無線網絡都會有一個標識自己身份的Service Set Identifier，客戶端要登錄進去，不想拒絕在外的話，必須要一樣的SSID。一般來說，每個無線網絡設備在出廠前都設置為相同型號的SSID。如果對于無線網絡設備不設置的話，那么外界的用戶就不可能進入到網絡世界中。Wireless Access Point會發出時間戳、SSID和信號標識間隔等相關網絡信息資料在一定的時間區域中。大多數破解無線網的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進行抓包、破解，入侵者利用SSID漏洞就能自動搜尋頻道找到合法的SSID而順利侵入校園網絡。

2 無線網絡的主要安全技術

2.1 WEP技術

這種網絡協議技術是為了預防一些不法分子擅自偷竊闖入無線網絡世界，基于兩臺設備之前的無線數據的傳輸而對相關數據進行特定的機制加密。

2.2 802.1x技術

802.1x是為了解決網絡數據的進出網絡關口的問題，并且對其進行內外部監控的技術協議。控制網絡訪問的端口，利用物理層特性對連接到LAN端口的設備進行身份認證。下圖2.1列出802.1x認證前后的邏輯關系。

圖2 .1 802.1x認證前后的邏輯關系

2.3 WPA技術

WPA是一種比較常用的無線網絡協議標準，在很多的網絡設備中都支持該種協議標準。WPA已有多年的歷史，它的安全性比較低，很同意被網絡的黑客軟件攻破。WPA是IEEE802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。

3 無線網絡面對攻擊的應對策略

3.1 控制使用者瀏覽應對策略

控制使用者瀏覽應對策略是在這么多的應對策略中最重要的一個，它的主要職責是防止非法入侵者占用珍貴的網絡資源。

3．1．1 控制使用者進入網絡應對策略

網絡中第一道的安全門檻就是針對使用者瀏覽網絡的權限。這種的應對策略可以調控獲得權限的使用者進入網絡，并且使用指定的網絡資源，同時可以對使用者的進網時間和地理位置進行定位。使用者要進入網絡必須要經過三個安全門檻，這三個安全門檻分部對使用者進行身份的識別驗證，密碼的識別驗證，權限的識別驗證。必須要全部通過，使用者才能順利進入網絡使用資源。

3．1．2 控制使用者實操網絡應對策略

這個應對策略是為了防止非法的使用者胡亂使用網絡資源而設定的。每個合法的使用者都被系統賦予一定的可操作范圍，網絡系統的管理者可以通過設置，把網絡的資源分配給指定的使用者。那么使用者就可以根據所分配的網絡權限，進行相對應的操作，瀏覽需要的網絡資源。

3．1．3 目錄安全控制策略

訪問控制策略應該允許網絡管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。

3．1．4 屬性安全控制策略

訪問控制策略還應該允許網絡管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網絡服務器的文件、目錄和網絡設備聯系起來。

3.2 防火墻控制應對策略

防火墻控制策略實施的總體思路是：我們學校的校園網的工作專用區是布置在硬件防火墻的內部區域的，整個學校的重要辦公部門都覆蓋有無線網絡的信號。教室是學生讀書學習的地方，按照學校的規定，在這個區域中是沒有無線網絡信號覆蓋的。在有無線網絡信號覆蓋的區域中，為了安全起見，所有的無線網絡設備都要經由校方統一進行管理，其中智能手機是不允許進入網絡中的。學校的無線網絡公用區域是布置在硬件防火墻的外部區域的，在這個區域中，無線網絡信號是全方位覆蓋的，通過統一的匯聚交換機連接到路由器的內網端口，再經由網絡地址轉換，實現網上沖浪。

3.3 檢測非法用戶侵入應對策略

入侵檢測（Intrusion Detection）策略是對入侵行為的檢測。入侵檢測系統的功能主要有以下的方面：

①對非法使用者侵入進行識別---網絡中黑客各種攻擊的手段，經過該系統檢測，可以快速地識別出來，辨別出具體有哪些的攻擊在進行中，從而采取相應的策略，防范同樣的攻擊再次發生。

②監管控制網絡中的通信異常---在網絡的世界中，會出現一些異常的通信連接，一旦出現這種情況，Intrusion Detection Systems會以最快的速度作出反應，防止有更加嚴重的后果發生。

③預防針對系統漏洞的攻擊---分析網絡中數據包流轉的情況，網絡端口的使用情況，根據得出的這些數據進行研究分析，系統就可以快速有效地定位出針對系統漏洞進行的攻擊行為。

④對管理網絡安全進一步完善---根據系統檢測出來的數據，再結合各種表單報表，統計分析圖表，實時監控檢測圖表等一系列的功能可以幫助我們管理好網絡安全。

入侵檢測系統可分為基于主機的入侵檢修系統（HIDS）和基于網絡的入侵檢測系統（NIDS），NIDS系統適合無線網實時偵測，它具有很高的運行效率，在檢測工作期間，不會影響到網絡的整體性能，在不知不覺之中，對網絡的原始數據源進行分析，在第一時間發現非法使用者的侵入攻擊。借助NIDS系統進行實時偵測，可以達到以下目的：

◇能夠自動監測非法無線設備(路由器或AP)并自動報警，同時對非法侵入攻擊進行自我防衛和保護；可以對使用者的操作進行監管和分析，根據得出的數據分辨出是屬于哪種的非法侵入行為，情況嚴重惡化的話，馬上報警處理。

◇支持靜態配置白名單功能并確認合法用戶，對非法用戶報文全部丟棄；支持靜態或動態的黑名單配置功能，系統經過內在的檢測機制分析出來的數據中，一旦無線網絡設備被拉進到黑名單里的話，該設備發送的數據報文將會全部遺棄。

◇能夠檢測出多種的攻擊類型，尤其對以下的攻擊行為比較敏銳，分別是：Denial of Service攻擊和UDP Flood攻擊等。同時能夠對連接的報文進行認證和防止冒充的檢測。一旦系統檢測出攻擊危機的存在，馬上報警告訴網絡管理員進行相應的補救措施，并在系統日志中記錄下來。

3.4 數據加密策略

數據加密策略是通過特定的算法對傳送的數據文件進行加工處理，為了提高數據傳送的安全性，有的加密機制對數據進行多層的算法加密。當數據傳送到目的地后，再通過特定的解密算法對數據文件進行解密處理。

4 總結

本論文首先簡要地介紹了無線網絡的安全隱患，接著分析了現在世界上主流的無線網絡安全技術，最后基于無線網絡的安全技術，探討了無線網絡的安全策略。無線網絡技術雖然存在安全威脅，但它仍然是一個極有前途的技術，無線網絡的安全問題是無線網絡發展的關鍵，這也給我們的研究帶來了機遇和挑戰。

[1]吳湛擊．無線網絡編碼——原理與應用[D]．清華大學出版社,2014(7)．

[2]楊哲,ZerOne無線安全團隊．無線網絡黑客攻防[M]．中國鐵道出版社,2014(2)．

[3][美]拉克利．無線網絡技術原理與應用[M]．電子工業出版社,2012(3)．

[4][美]卡什(Cache, J．),[美]賴特(Wright, J．),[美]劉(Liu, V．)．黑客大曝光:無線網絡安全[M]．機械工業出版社,2012(3)．

[5][美]普賴斯(Price，R．)．無線網絡原理與應用[M]．清華大學出版社,2008(6)．

林健輝，男，重慶大學軟件工程碩士，計算機專業講師，網絡管理高級技師。