淺析無線局域網的安全威脅及防范對策

章國政　張亞威　李鵬龍

【摘要】隨著無線局域網技術的不斷成熟和普及，無線局域網作為有線網絡的補充和延伸，出現后得到了迅猛的發展。因此無線局域網的安全與防護就成了我們當前的首要問題。無線局域網中主要的安全性考慮包括訪問控制和加密。本文著重分析了無線局域網的概念，無線局域網面臨的若干安全問題以及防范對策。

【關鍵詞】無線局域網安全性安全威脅防范對策

一、什么是無線局域網

無線局域網（Wireless Local Area Network，縮寫為“WLAN”）是計算機網絡與無線通信技術的結合的產物。無線局域網是實現移動計算機網絡中移動站的物理層與鏈路層功能，為移動計算機網絡提供必要的物理接口的網絡。通俗的說，無線局域網就是在不采用傳統纜線的同時，提供以太網或者令牌網絡的功能。從專業角度講，無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信，并為通信的移動化、個性化和多媒體應用提供了可能。

二、無線局域網的安全性

無線局域網的最大優點，也正是它的最大缺點：已部署的這些網絡都是開放式和易于接入的。信息的機密性、完整性、可用性以及資源的合法使用是網絡安全的四個基本目標。但是WLAN與有線網路相比，卻更難達到這個目標，一方面，數據通過無線電波傳輸，在數據發射機覆蓋區域內的任何一個無線網絡用戶都能接觸到數據，另一方面，無線設備存在存儲能力、計算能力等方面的局限性。因此無線局域網存在以下七大安全性威脅：

1、信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

2、WEP破解

現在互聯網上已經很普遍的存在著一些非法程序。能夠捕捉位于AP信號覆蓋區域內的數據包，收集到足夠的WEP弱密鑰加密的包，并進行分析加以恢復WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，最快可以在倆個小時內攻破WEP密鑰。

3、網絡竊聽

一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀?。┩ㄐ?。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，所以，這種無線網絡安全威脅已經成為無線局域網面臨的最大問題之一。

4、假冒攻擊

某個實體假裝成另外一個實體訪問無線網絡，即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中，移動站與網絡控制中心及其它移動站之間不存在任何固定的物理鏈接，移動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網絡，這就是所謂的身份假冒攻擊。

5、MAC地址欺騙：

通過網絡竊聽工具獲取數據，從而進一步獲得AP允許通信的靜態地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。

6、拒絕服務：

攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果最為嚴重的攻擊方式。此外，對移動模式內的某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能繼續工作，通常也稱為能源消耗攻擊。

7、服務后抵賴：

服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種無線網絡安全威脅在電子商務中常見。

三、無線局域網的安全防范與對策

1 、建立MAC地址表。減少非法用戶的接入

如果所在接入小區接入用戶不多，可通過其提供的惟一合法MAC地址在其接入的核心交換機上建立MAC地址表，對接入的用戶進行驗證，以減少非法用戶的接入。同時，可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。這個方案要求AP中的MA C地址列表必需隨時更新，可擴展性差，無法實現機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。

2 、采用有線等效保密改進方案（WEP2）

IEEE802.11標準規定了一種被稱為有線等效保密（WEP）的可選加密方案，其目標是為WLAN提供與有線網絡相同級別的安全保護。WEP在鏈路層采用RC4對稱加密算法，從而防止非授權用戶的監聽以及非法用戶的訪問。有線等效保密（WEP）方案主要用于實現3個安全目標：接入控制、數據保密性和數據完整性。然而wEP存在極差的安全性，所以IEEE802.11i提出有線等效保密改進方案（WEP2），它與傳統的WEP算法相比較，將WEP加密密鑰的長度加長到104位，初始化向量的長度右24位加長到128位，所以建議使用的WLAN設備具有WEP2功能。

3、在AP點之間構建VPN

VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認汪以及計費?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網的安全性得到極大的提高，能夠有效地保護數據的完整性，可信性和可確認性。

4、對SSID進行控制

通過對AP點和網卡設置復雜的SSID（服務集標識符），并根據需求確定是否需要漫游來確定是否需要MAC地址綁定，同時禁止AP向外廣播SSID。

5、指定接入.維護管理規范

指定嚴格、規范、合琿的無線局域網接入及管理規范，在WLAN的色及構建和維護過程中，應考慮方便集中管理、雙向認證、數據加密方式等重要因素。要求接入用戶嚴格遵守管理規定。

【參考文獻】

[1]張斌，湯紅波，張汝云，劉民。下一代無線局域網安全性研究[j]。電視技術，2007年01期。

[2]賈光炯。淺談無線局域網的安全性[j].廣東通信技術，2015年02期

[3]湛成偉。網絡安全技術發展趨勢分析[j].重慶工學院學報，2006，20（8）：119-121