淺析安全使用無線局域網的重要性

張迎春（江蘇聯合職業技術學院財經分院, 江蘇 徐州 221008）

淺析安全使用無線局域網的重要性

張迎春
（江蘇聯合職業技術學院財經分院, 江蘇 徐州 221008）

摘 要：無線局域網的應用越來越廣泛，幾乎覆蓋了各個領域。無線局域網(WLAN)具有安裝便捷、使用靈活、經濟節約、易于擴展等有線網絡無法比擬的優點，因此無線局域網得到越來越廣泛的使用。但是由于無線局域網信道開放的特點，使得攻擊者能夠很容易的進行竊聽，惡意修改并轉發，因此安全性成為阻礙無線局域網發展的最重要因素。

關鍵詞：無線局域網；WPA；MAC；VPN；安全措施

隨著無線網絡的普及和路由器的大量應用，方便了大家的日常生活但是也給了不懷好意的黑客和蹭網者生存和發展的空間。

1威脅無線局域網安全的因素

（1）未經授權的用戶沒有遵守運營商提出的服務條款，非法用戶可以未經授權而擅自使用網絡資源，由于無線局域網的開放式訪問方式，不僅會占用寶貴的無線信道資源，增加帶寬費用，降低合法用戶的服務質量，而且，甚至可能導致法律糾紛。

（2）非法用戶通過偵聽等手段在無線環境中獲得網絡中合法站點的MAC地址，比有線環境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。

另外，由于IEEE802.11沒有對AP身份進行認證，非法用戶很容易裝扮成AP進入網絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現網絡入侵。

（3）多數企業部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統的漏洞，一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。只要攻破無線網絡，就會使整個網絡暴露在非法用戶面前。

2無線局域網的安全使用

2.1 采用WPA加密協議

為了彌補WPE協議的重大安全隱患，WiFi聯盟在“COMDEX FALL 2002”展會上推出了WPA標準，WPA是目前最好的無線安全加密系統，它是繼承了WEP的基本原理而又解決了WEP缺點的一種新技術，由于加強了生成加密密鑰的算法。無論搜集到多少這樣的數據，要想破解出原始的通用密鑰幾乎是不可能的，而且現在針對WPA破解軟件大多的工作原理是從空中抓取數據包到本地然后通過密碼字典來暴力破解，效率比較低下。

2.2 使用相同的SSID名稱

SSID是一個無線局域網絡（WLAN）的名稱。SSID是區分大小寫的文本字符串，是一個最大長度不超過32個字符的字母數字字符（字母或數字）的順序（當然，這個名字你可以自己隨便取）。所以無線局域網上的所有無線設備必須使用相同的SSID才能進行互相溝通。在無線局域網中SSID作用非常重要，它能阻隔其他無線設備訪問您的無線局域網（無論是有意或無意地）。要進行通信，無線設備必須使用相同的SSID名稱。

2.3 綁定MAC和IP地址

如果家里有比較老舊的無線設備而只有采用WEP加密的話，那么建議在路由器端設置MAC地址過濾，同時關閉SSID廣播和DHCP服務，并且使用不太常用的私有網段而不是默認的192.168.0.x，來獲得比單一的WEP加密更好的網絡安全性。這種做法不足之處在于家有的接入設備都需要手動設置方可連入，而如果碰到有心人的話，經過足夠長的時間，使用Aircrack-ng之類的軟件抓取到足夠多的無線通信數據包后，依然可以發現并破解貴府的無線局域網。

2.4 VPN技術

VPN，虛擬專用網絡，等于在你的電腦和你公司（或單位）的VPN服務器之間建立了一條你專用的“隧道”，“隧道”不需要物理（就是實物）鏈路，所以“虛擬”。你用賬號密碼登陸后就和你公司的內網建立了安全的連接（別人看不到傳輸的內容，所以很安全），然后就可以在你的電腦上使用公司內網，像在公司一樣辦公了。VPN不是硬件（雖然建立VPN需要服務器），也不是軟件（雖然需要客戶端軟件的支持），更不是路由器的一個功能（雖然好的路由器刷DDWRT固件后可以實現VPN服務器的功能），它是一種網絡技術。由于VPN在國內的大量使用，所以有人認為是代理服務器，其實它只是連接著一個代理服務器，而本身是一條安全的網絡隧道，建立你的電腦與代理服務器之間的安全連接。當然，如果用于正常用途，連接的就是一個局域網（比如公司內網）。

這樣，所有的商業應用程序，文件共享或是網絡訪問都由公司的網絡來完成。市面上的選擇很多，推薦Open個人虛擬網絡。

2.5 無線入侵檢測系統

就是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

2.6 加強身份驗證和授權

（1）開啟 WEP 加密。有勝于無，如果沒有它，您就根本不會獲得任何驗證。

（2）如果您的 AP 支持它，請關閉 SSID 廣播并且使您的網絡成為一個閉合網絡。誠然，這種安排會給客戶端造成一些麻煩；Windows XP 在自動查找無線網絡方面做得很好，但是卻無法自動找到閉合網絡——您的用戶將必須手動輸入 SSID 名稱。

（3）請注意您的 WLAN 創建的無線電波覆蓋范圍。如果您能夠拒竊聽者和入侵者于您的信號覆蓋范圍之外，將有助于把驗證問題減少到最低限度。（但不要忘記聰明的人還是能夠使用各種天線從相當遠的距離竊聽信號）。

（4）可以通過一些其他方法來彌補您的 WLAN 驗證。如果您允許通過 WLAN 直接訪問您的內部系統，可能需要考慮該計劃，可能需要將 WLAN 移出防火墻，并且需要用戶通過 VPN 訪問網絡，就像他們從家里進行訪問一樣。另一種可選方法是對您的 WLAN 客戶端分配一個單獨的 IP 地址范圍，然后在您的內聯網站點上應用基于 IP的訪問控制。

文中分析并給出了一些應對的方法，不一定全部正確，但基本思路是沒有問題的。泄密事件頻發，提醒我們應該更加注重自己的隱私安全。亡羊補牢不如未雨綢繆，做好防護工作，適當采取些隱私防護工具，才能讓自己更放心。

作者簡介：張迎春（1985-），女，江蘇鹽城人，助講，任教于江蘇聯合職業學院徐州財經分院，長期致力于計算機基礎、軟件技術、計算機網絡等方面的理論及實踐教學研究。