無線網絡的安全策略

仲麗君 管杰 健 楊陽 帕力扎提·買買提

【關鍵詞】無線網絡 信息安全 電腦技術 安全策略

1 引言

隨著無線網絡技術的出現，為用戶提供了一種嶄新的接入互聯網的方式，使我們擺脫了網線的束縛，更使我們距離隨時隨地與任何人進行任何內容通信的人類通信終極夢想又進了一步。但是由于無線網絡是采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層和墻等物體，因此在一個無線網絡接入點所在的服務區域中，任何一個無線客戶端都可以接收到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到該無線網絡信號，因此數據安全成為了無線網絡技術當下迫切要解決的問題。

2 無線網絡的安全隱患

當前在規劃和建設無線網絡中現面臨兩大問題：

2.1 網絡劫持

網絡劫持指的是網絡黑客將自己的主機偽裝成默認網關或者特定主機，使得所有試圖進入網絡或者連接到被網絡黑客頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網絡劫持就是使用欺騙性AP。他們會通過構建一個信號強度好的AP，使得無線用戶忽視通常的AP而連接到欺騙性AP上，這樣網絡黑客就會接收到來自其他合法用戶的驗證請求和信息后，就可以將自己偽裝成為合法用戶并進入目標網絡。

2.2 嗅探

這是一種針對計算機網絡通信的電子竊聽。通過使用這種工具，網絡黑客能夠察看到無線網絡的所有通信。要想使無線網絡不被該工具發現，必須關閉用于網絡識別的廣播以及任何未經授權用戶訪問資格。然而關閉廣播意味著無線網絡不能被正常用戶端發現，因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。

3 無線網絡主要信息安全技術

3.1 擴頻技術

該技術是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中，是一直被干擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率范圍中發送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網絡產品在ISM波段的2.4～2.4835GHz范圍內傳輸信號，在這個范圍內可以得到79個隔離的不同通道，無線信號是被發送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的，現將無線信號按順序發送到每一個通道上，并且在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統外的劫持站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾，也不用擔心網絡上的數據被其他人截獲。

3.2 用戶驗證

即采用密碼控制，在無線網絡的適配器端使用網絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其它移動設備的漫游用戶，所以精確的密碼策略可以增加一個安全級別，這樣就可以確保該無線網絡只被授權人使用。

3.3 數據加密

對數據的安全要求極高的系統，例如金融或軍隊的網絡，需要一些特別的安全措施，這就要用到數據加密的技術。借助于硬件或軟件，在數據包被發送之前給予加密，那么只有擁有正確密鑰的工作站才能解密并讀出數據。

如果要求整體的安全性，數據加密將是最好的解決辦法。這種方法通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由制造商提供，另外我們還可以選擇低價格的第三方產品。

3.4 WEP加密配置

WEP加密配置是確保經過授權的無線網絡用戶不被竊聽的驗證算法，是IEEE協會為了解決無線網絡的安全性而在802.11中提出的解決辦法。

3.5 防止入侵者訪問網絡資源

這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

4 改進方法及措施

4.1 正確放置網絡的接入點設備

在網絡配置中，要確保無線接入點放置在防火墻范圍之外。

4.2 利用MAC阻止黑客攻擊

利用基于MAC地址的訪問控制表，確保只有經過注冊的用戶端才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖，設置的障礙越多，越會使黑客知難而退，不得不轉而尋求其它低安全性的網絡。

4.3 WEP協議的重要性

WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時，WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后，應該立即更改WEP密鑰的缺省值。

最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態改變。這樣，黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化?；跁捄陀脩舻腤EP密鑰管理技術能夠實現最優保護，為網絡增加另外一層防范。

4.4 簡化網絡安全管理：集成無線和有線網絡安全策略

無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議。制定結合有線和無線網絡安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進入網絡時，都需要采用集成化的單一用戶ID和密碼。

4.5 不能讓非專業人員構建無線網絡

盡管現在無線網絡的構建已經非常方便，即使是非專業人員也可以自己在辦公室內安裝無線路由器和接入點設備。但是，他們在安裝過程中很少考慮到網絡的安全性，這樣就會通過網絡探測工具掃描就能夠給黑客留下攻擊的后門。因而，在沒有專業系統管理員同意和參與的情況下，要限制無線網絡的構建，這樣才能保證無線網絡的安全。

參考文獻

[1]王樂.中國標準撼動Wi-Fi[J].電腦報，2003.

[2]李小平.多媒體網絡通信[M].北京：北京理工大學出版社，2008.

[3]王文仲.應用密碼學協議、算法與C源程序[M].北京：機械工業出版社，2006.