芻議如何提高無(wú)線網(wǎng)絡(luò)安全性能

馮長(zhǎng)偉

摘 要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，當(dāng)前可用網(wǎng)絡(luò)逐步得到發(fā)展。文章針對(duì)當(dāng)前局域網(wǎng)以及無(wú)線網(wǎng)的建設(shè)狀態(tài)進(jìn)行了分析，主要討論了無(wú)線網(wǎng)絡(luò)安全性能相關(guān)問(wèn)題，并相應(yīng)的提出了一些提高無(wú)線網(wǎng)絡(luò)安全性能的措施，以此應(yīng)對(duì)實(shí)際應(yīng)用中的無(wú)線網(wǎng)絡(luò)安全隱患。

關(guān)鍵詞：安全；無(wú)線網(wǎng)絡(luò)；措施

信息化社會(huì)是當(dāng)前人類(lèi)社會(huì)發(fā)展的新階段，而隨著信息技術(shù)的進(jìn)步，很多網(wǎng)絡(luò)覆蓋方式都向著無(wú)線網(wǎng)絡(luò)方向發(fā)展，通過(guò)無(wú)線網(wǎng)絡(luò)能夠更好的進(jìn)行資源共享以及信息的交流。信息的交流隨著無(wú)線網(wǎng)絡(luò)以及局域網(wǎng)的出現(xiàn)被大大提升，相比較有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)在使用過(guò)程中更加的便捷、自由，但由于無(wú)線網(wǎng)絡(luò)自身的特性，其安全隱患也相對(duì)較大。由于無(wú)線網(wǎng)絡(luò)的信號(hào)具有開(kāi)放性，因而對(duì)傳輸介質(zhì)無(wú)線網(wǎng)絡(luò)很難有效的予以保護(hù)，在傳播過(guò)程中也極易為他人截獲，達(dá)到攻擊網(wǎng)絡(luò)的目的。所以，如何提高無(wú)線網(wǎng)絡(luò)設(shè)計(jì)的安全性成為了目前無(wú)線網(wǎng)絡(luò)發(fā)展的重要課題，通過(guò)在網(wǎng)絡(luò)以及組網(wǎng)設(shè)計(jì)的過(guò)程中提升網(wǎng)絡(luò)安全性，從而保證局域網(wǎng)以及無(wú)線網(wǎng)絡(luò)信號(hào)傳播質(zhì)量以及安全性。

1 常見(jiàn)安全隱患分析

在組織內(nèi)部以及企業(yè)中，將單個(gè)計(jì)算機(jī)終端通過(guò)無(wú)限通信技術(shù)予以連接的技術(shù)便是無(wú)線局域網(wǎng)技術(shù)，通過(guò)這種方式可以實(shí)現(xiàn)信息資源的共享，以此在組織內(nèi)部以及企業(yè)中進(jìn)行通訊。不同于傳統(tǒng)的有線電纜作為信息傳播的網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)限局域網(wǎng)則使用空間電磁波進(jìn)行信息的傳輸。相比較之下，無(wú)線網(wǎng)絡(luò)中電腦終端可以具有更高的移動(dòng)能力。另外無(wú)線網(wǎng)絡(luò)的安裝相對(duì)較為簡(jiǎn)單，受到空間限制以及地理位置限制相對(duì)較小，這正是由于無(wú)線網(wǎng)絡(luò)信息傳播介質(zhì)的特性決定的，相應(yīng)的正是由于這一特性導(dǎo)致無(wú)線網(wǎng)絡(luò)安全性能相對(duì)較難控制，其無(wú)法同有線網(wǎng)絡(luò)一樣采用有線網(wǎng)絡(luò)安全機(jī)制予以保護(hù)，這也是當(dāng)前無(wú)線網(wǎng)絡(luò)安全技術(shù)的研發(fā)重點(diǎn)。

目前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人員對(duì)無(wú)線網(wǎng)絡(luò)的規(guī)劃建設(shè)主要需要解決兩方面問(wèn)題，由于目前可以提高無(wú)線網(wǎng)絡(luò)安全性能的技術(shù)方案、技術(shù)標(biāo)準(zhǔn)較為繁雜，因而無(wú)法確定哪種方案更加有效。有線網(wǎng)絡(luò)的安全防范措施往往通過(guò)建立防火墻以及硬件設(shè)備等方式，但是將這種方式應(yīng)用在無(wú)線網(wǎng)絡(luò)中，網(wǎng)絡(luò)會(huì)輕而易舉的受到外部攻擊，這種入侵和攻擊是由于防線從內(nèi)部被攻破。因?yàn)橥ㄟ^(guò)無(wú)線網(wǎng)絡(luò)，攻擊、入侵者可以輕易的繞過(guò)硬件安全設(shè)備，從而從內(nèi)部攻破網(wǎng)絡(luò)防火墻。

主要的無(wú)線網(wǎng)絡(luò)威脅包括以下幾方面：首先，為數(shù)據(jù)的篡改以及截取。若攻擊者能夠通過(guò)無(wú)線網(wǎng)絡(luò)入侵到內(nèi)部網(wǎng)絡(luò)，那么對(duì)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息便可以任意的截獲、偽造，通過(guò)偽造將兩個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)進(jìn)行截獲、修改。其次，則可以竊聽(tīng)網(wǎng)絡(luò)傳輸數(shù)據(jù)，導(dǎo)致一些機(jī)密數(shù)據(jù)的泄漏。另外還可以通過(guò)這種方式盜用一些身份。另外通過(guò)無(wú)線網(wǎng)絡(luò)還可以入侵到用戶(hù)手機(jī)竊取用戶(hù)信息，利用這些信息攻擊其他數(shù)據(jù)、系統(tǒng)。

2 提高網(wǎng)絡(luò)安全性能措施

通過(guò)上術(shù)分析可以看出，企業(yè)以及組織內(nèi)部所使用無(wú)線網(wǎng)的安全核心便是“接入”。只有把好這一關(guān)才能有效提高無(wú)線網(wǎng)絡(luò)安全性能，常見(jiàn)的措施主要有兩種，即過(guò)濾MAC地址以及將SSID隱藏，下面便針對(duì)這兩種方式進(jìn)行有效分析。

2.1 過(guò)濾MAC地址

在有線網(wǎng)絡(luò)安全防范措施中，最為常見(jiàn)的便是過(guò)濾MAC地址。作為操作交換機(jī)的有效方式，該種方式也被應(yīng)用在無(wú)線網(wǎng)絡(luò)中。通過(guò)對(duì)無(wú)線網(wǎng)卡物理地址的制定，將MAC地質(zhì)通過(guò)控制器下發(fā)至AP，或者直接將MAC地質(zhì)存于無(wú)線控制器中。除此之外還可以直接在AP交換機(jī)中進(jìn)行有效設(shè)置。

2.2 將SSID隱藏

SSID（Service Set Identifier，服務(wù)標(biāo)識(shí)符）是用來(lái)區(qū)分不同的網(wǎng)絡(luò)，其作用類(lèi)似于有線網(wǎng)絡(luò)中的VLAN，計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了，SSID經(jīng)常被用來(lái)作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成，無(wú)線終端接入無(wú)線網(wǎng)路時(shí)必須提供有效的SIID，只有匹配的SSID才可接入。一般來(lái)說(shuō)，無(wú)線AP會(huì)廣播SSID，這樣，接入終端可以通過(guò)掃描獲知附近存在哪些可用的無(wú)線網(wǎng)絡(luò)，例如WINDOWSXP自帶掃描功能，可以將能聯(lián)系到的所有無(wú)線網(wǎng)絡(luò)的SSID羅列出來(lái)。因此，出于安全考慮，可以設(shè)置AP不廣播SSID，并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣，由于SSID被隱藏起來(lái)了，接入端就不能通過(guò)系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無(wú)線網(wǎng)絡(luò)，即便他知道有一個(gè)無(wú)線網(wǎng)絡(luò)存在，但猜不出SSID全名也是無(wú)法接入到這個(gè)網(wǎng)絡(luò)中去的。

3 安全措施的選擇

在網(wǎng)絡(luò)的應(yīng)用中，安全同方便之間的矛盾是恒久的話題。網(wǎng)絡(luò)安全性越高則其方便性越差，反之網(wǎng)絡(luò)的方便必然會(huì)犧牲網(wǎng)絡(luò)的安全性能。而無(wú)線網(wǎng)絡(luò)的應(yīng)用初衷便是方便，因而其應(yīng)用必然要考慮方便性。所以在應(yīng)用過(guò)程中，人們必須權(quán)衡利弊，選擇有效的安全措施保證無(wú)線網(wǎng)絡(luò)信息傳遞的安全性。

在接入無(wú)線AP時(shí)采用WAP加密模式，又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過(guò)專(zhuān)用軟件探測(cè)到SSID，因此不隱藏SSID，以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼，以后就可以不用輸入接入密碼了。

使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無(wú)線網(wǎng)絡(luò)的安全，這方面其意義重大。由于便捷是來(lái)訪用戶(hù)的關(guān)注焦點(diǎn)，因而在網(wǎng)絡(luò)安全性上的要求相對(duì)較低。由于Portal認(rèn)證方式無(wú)需進(jìn)行客戶(hù)端的安裝，這種強(qiáng)制認(rèn)證方式使得用戶(hù)在使用終端進(jìn)行訪問(wèn)時(shí)可以直接進(jìn)入網(wǎng)絡(luò)。通過(guò)這種方式用戶(hù)能夠更加便捷、快速的使用網(wǎng)絡(luò)，但是安全性相對(duì)較弱。另外若資金允許，可以在無(wú)線網(wǎng)絡(luò)中設(shè)置入侵監(jiān)測(cè)裝置，以此對(duì)外來(lái)非法入侵進(jìn)行防雨，保證無(wú)線網(wǎng)絡(luò)的安全性能，通過(guò)這種方式能夠有效保證外來(lái)入侵在第一時(shí)間被發(fā)現(xiàn)。

最后無(wú)論何種安全技術(shù)，想要發(fā)揮作用首先必須被使用，所以最后的安全措施便是提高使用者的安全意識(shí)，只有使得每個(gè)使用者都具有安全意識(shí)才能從基礎(chǔ)上提高無(wú)線網(wǎng)絡(luò)安全性能。否則，非法入侵以及攻擊者可以在短時(shí)間內(nèi)攻破安全管理人員設(shè)置的各類(lèi)措施，導(dǎo)致無(wú)線網(wǎng)絡(luò)保護(hù)措施形同虛設(shè)。

目前很多組織內(nèi)部以及企業(yè)都已經(jīng)開(kāi)始使用無(wú)線網(wǎng)絡(luò)，雖然無(wú)線網(wǎng)絡(luò)的覆蓋使得組織內(nèi)部以及企業(yè)獲得了更多的辯解。但是由于對(duì)網(wǎng)絡(luò)建設(shè)安全性的忽視，很多局域無(wú)線網(wǎng)甚至都沒(méi)有考慮安全措施，這就導(dǎo)致整個(gè)網(wǎng)絡(luò)安全性較差，很容易受到外部的入侵以及攻擊。因而在使用中應(yīng)當(dāng)注意提高安全管理質(zhì)量，通過(guò)身份驗(yàn)證等方式，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)同有線網(wǎng)絡(luò)直接對(duì)接，從而提高網(wǎng)絡(luò)安全性。

參考文獻(xiàn)

[1]譚潤(rùn)芳.無(wú)線網(wǎng)絡(luò)安全性探討[J].信息科技，2008，37（6）：24-26.

[2]沈芳陽(yáng).基于IEEE 802.11系列標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)安全性研究[D].廣東工業(yè)大學(xué)，2004.

[3]馬建峰，吳振強(qiáng).無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2008.