淺談無線網絡安全

溫國梁

淺談無線網絡安全

溫國梁

無線網絡是利用無線電波等取代網線，可以作為有線網絡的延伸和有效補充。當今無線網絡技術被廣泛應用，從家庭到公共場所，可以說無線網絡無處不在。然而，無線網絡在給人們帶來方便的同時，也給網絡安全帶來了挑戰，正因為其的便捷性、開放性、移動性等特點，使其經常成為不法分子攻擊的目標。本文主要結合無線網絡的結構及協議的特點闡述無線網絡的安全技術及各種安全措施。

近年來，隨著無線通信技術的發展和廣泛應用，信息通信已經逐漸擺脫了空間及時間的限制，使人們信息交流、溝通的能力得到了極大的提升。然而，由于無線網絡本身具有的便捷性、開放性的特點以及移動接入設備本身的局限性，再加上網絡協議的安全脆弱性，使安全問題成為無線網絡面臨的一個嚴峻挑戰。

無線網絡結構

通常無線網絡由兩種設備組成:接入設備和無線接入點（AP）。整個網絡系統被分成多個基本服務組（BSS）?；痉战M可以分為對等、集中控制、混合三種結構，使用者可以根據應用需求，進行配置。

無線網絡的主要特點

1.可移動性:無線通信技術使得網絡接入擺脫了線纜的束縛，提高了網絡接入的便捷性、靈活性，同時降低了網絡建設成本。

2.組建簡便:由于無線網絡標準的建立和不斷完善，使得無線接入打破了地域限制，用戶可以在全球各地進行網絡接入，同時，也促進了無線網絡設備的廣泛普及，性能不斷提升，價格持續下降，使得無線網絡的組建更加便捷。

3.使用開放頻段:無線局域網使用全球開放的ISM頻段，可以自由使用該頻段上的服務。

4.動態拓撲:無線接入設備可在網絡覆蓋范圍內自由移動、加入或退出，不會給用戶帶來任何影響。

5.與以太網兼容:有線和無線網絡在網絡結構和協議上相互兼容，通過網橋即可實現連接。

雖然無線網絡的特性使其得到越來越廣泛的應用，但也造成了其自身特有的安全威脅。

無線網絡的安全隱患

首先，由于采用無線電波作為傳輸介質， 無線網絡覆蓋范圍內的所有接入設備幾乎都能接收到信號。另外，由于移動終端的局限性，需要提供有別于有線網絡環境下的安全方法和技術。因此，與有線網絡相比，無線網絡環境中安全隱患更加嚴重，安全技術挑戰更多， 難度更大。具體表現在以下幾個方面。

1.更容易受到攻擊:無線網絡與有線網絡相比，沒有相對明確的防御邊界，網絡中的任意節點都可能面臨攻擊威脅，無線網絡的開放性帶來了竊聽、干擾、非法接入等諸多安全問題。

2.安全管理難度更大:與有線網絡相比無線網絡接入設備不僅可以在覆蓋范圍內移動，而且可以進行跨網絡區域的漫游，這種接入設備的移動特性使得無線網絡更容易被竊聽、破壞和劫持，而且所造成的破壞更大， 更難檢測。

3.安全措施實施難度更大:與有線網絡相比，無線網絡的拓撲結構具有動態、變化的特點，這就造成安全技術以及方案的變化，網絡安全管理變得更加復雜。

4.穩定性問題:與有線網絡相比無線網絡傳輸信號更容易受環境因素影響，傳輸信道的不穩定性，造成了無線通信網絡的不穩定性問題。

無線網絡威脅主要來源于其自身開放性、移動性、動態拓撲結構等原因，其體系結構的安全性更加脆弱，無線網絡帶來了新的安全管理問題。

無線攻擊

由于無線通信介質的特殊屬性，使得無線網絡在物理層、數據鏈路層更容易遭受攻擊，而且危害更為嚴重。

1.接入點映射（War Driving）:攻擊者通過黑客軟件探測無線接入點的詳細信息，并采用主動或被動方式截獲無線網絡傳輸信息，或非法進入網絡。

2.拒絕服務攻擊:攻擊者利用TCP/IP協議漏洞，采用建立“半連接”的方式，耗盡應用系統、網絡、操作系統的資源，造成網絡或服務器不能正常提供服務。

3.中間人攻擊:通過包捕獲、包修改、包植入、連接劫持等方法，對網絡傳輸的數據進行破壞的行為。

4.欺騙攻擊:攻擊者通過偽造受信任計算機數據包，來取得目標計算機信任的技術?？梢苑譃閮煞N方式:非隱蔽式欺騙與隱蔽式欺騙，又可分為IP欺騙、DNS欺騙、ARP欺騙等具體攻擊形式。

5.暴力破解攻擊:使用任意組合及長度的數字和字符，不斷猜測系統用戶名和密碼，重復進行試探性登錄和訪問，對信息系統進行攻擊以獲得賬戶密碼的方式。

常見的無線網絡安全技術

1.服務集標識（SSID）

服務集標識是通過設置不同的標識，區別不同的無線接入點的技術。該技術將一個無線網絡劃分為不同的子網絡，通過相應身份驗證的用戶才可接入相應子網絡，這樣就可以通過權限劃分，進行用戶和資源管理，防止未被授權的用戶進入本網絡。因此，SSID可以被看做一種簡單的口令管理，為無線網絡提供一定安全保障。

2.物理地址過濾（MAC）

我們都知道，網卡具有唯一的物理地址（MAC），因此可以在AP中建立MAC地址列表，允許或不允許相關設備接入，實現物理地址過濾。

3.有線等效保密協議（WEP）

本協議在鏈路層采用RC4對稱加密技術。用戶在接入無線網絡時，必須提供與AP相同的密鑰，防止非授權或非法用戶的訪問和監聽。WEP提供64位和128位兩種長度的密鑰機制。

4.Wi-Fi保護接入（WPA）

WPA是基于標準的可互操作的無線網絡安全性增強解決方案，它繼承了WEP基本原理，同時又解決了其存在的問題。WPA2則是在WPA的基礎上采用了ASE加密算法，進一步提供了安全性。

5.國家標準（WAPI）

WAPI即無線局域網鑒別與保密基礎結構，中國無線局域網國家標準《GB15629.11》中，針對WEP存在的安全問題，提出的安全解決方案。這也是中國目前在無線網絡領域惟一獲得批準的協議。

6.端口訪問控制技術（802.1x）

該技術是基于C/S架構的訪問控制和認證協議；通過認證授權方式，進行用戶和設備接入控制，是適用于無線網絡的增強性安全解決方案。802.1x對設備性能要求不高，同時具有良好的適應性和擴展性，可以非常方便地建立認證及計費系統，尤其適合機場、醫院等公共場所使用。

通過接入端口

無線網絡安全措施

由于無線網絡自身的特性，造成了其特有的安全風險，為了解決安全問題，人們采用了多種技術，降低無線網絡風險，增加安全性。下面介紹幾種無線網絡應用中的安全措施。

1. 正確使用加密協議

由于WPA/WPA2是對WEP協議的改進，所以應盡量采用，WPA/WPA2方式進行密碼加密。如果必須采用WEP協議時，應采用128為方式。

2.采用MAC地址過濾

采用物理地址過濾方式進行接入設備管理，對小型無線網絡是一種非常有效的安全措施。在使用時應盡量采用白名單方式。

3.禁用SSID 廣播

為避免SSID廣播造成暴露AP接入點的安全隱患，可禁用自動廣播SSID 功能。在一定程度上提高網絡安全性。

4.對大型無線網絡，應充分發揮端口訪問技術（802.1x）的安全作用，建立適合的安全訪問策略，防止非授權、非法訪問和接入。

5.及時修改缺省的AP管理密碼。設備廠商為便于用戶管理設置了缺省登錄密碼，使用時應及時修改，以增加安全性。

6.進行無線網絡建設時，應對網絡覆蓋范圍進行勘察，對AP布置點位進行規劃，以防止無線信號超出計劃覆蓋區域

7.進行無線網絡建設時，應統一規劃建立無線網絡管理平臺， 配備安全檢測、監控設備，實現網絡設備、無線接入設備、用戶的統一管理、認證和監控，及時感知黑客攻擊，及時應對安全事件，提高無線網絡的整體安全性。

8.制定、貫徹無線網絡管理規定，禁止員工私自安裝AP、不得泄露賬戶密碼、網絡配置，對網絡使用及管理人員應定期進行培訓，提升安全意識和技能。

總結

由于無線網絡在移動接入設備和傳輸機制方面的特殊性， 使得其體系結構的安全性比較脆弱，在無線網絡的使用和建設工程中，除了考慮信道傳輸、多業務服務等技術外，還應充分考量網絡安全方案的設計、網絡安全制度制定以及安全策略的落實，包括用戶身份認證、接入控制、證書管理、密鑰管理等等，以保證網絡信息系統的安全、平穩運行。

溫國梁

中石化股份天津分公司信息檔案管理中心

10.3969/j.issn.1001-8972.2015.07.001