無線局域網(wǎng)安全技術(shù)與安全策略

摘 要

知識經(jīng)濟時代，人們對信息數(shù)據(jù)傳輸?shù)谋憬菪浴嵭砸笤絹碓礁摺ｋS著計算機網(wǎng)絡(luò)的發(fā)展，無線局域網(wǎng)以其方便快捷、靈活廉價等特性，被廣泛應(yīng)用于各個領(lǐng)域，加速了社會信息化發(fā)展。但是，無線局域網(wǎng)由于傳輸介質(zhì)高度的開放性，較之有線網(wǎng)絡(luò)應(yīng)用環(huán)境更加復(fù)雜，面臨著嚴重的安全威脅。現(xiàn)階段，關(guān)于無線局域網(wǎng)安全方面的研究備受關(guān)注。本文在對無線局域網(wǎng)安全技術(shù)相關(guān)作出簡介的基礎(chǔ)上，探析了無線局域網(wǎng)面臨的安全威脅因素，并就提高無線局域網(wǎng)安全性能的策略進行了研究。

【關(guān)鍵詞】無線局域網(wǎng) 安全威脅 安全技術(shù) 安全策略

無線局域網(wǎng)作為一種無線接入技術(shù)，通過無線信號進行近距離通信，實現(xiàn)了人們的移動通信夢想，是現(xiàn)代信息化社會的重要標(biāo)識。在這個信息主流的時代，無線寬帶猶如異軍突起，一經(jīng)投入市場立即引起了廣大用戶的強烈反響，并逐漸成為現(xiàn)代生活中不可或缺的一部分。但是，隨之而來的無線局域網(wǎng)安全問題時刻困擾著廣大用戶，嚴重影響了他們的網(wǎng)絡(luò)服務(wù)體驗，已然發(fā)展成時代性課題。

1 無線局域網(wǎng)安全技術(shù)相關(guān)簡介

無線局域網(wǎng)作為信息化技術(shù)發(fā)展的產(chǎn)物，滿足了人們愈加復(fù)雜化和多樣化的通信需求，與有線網(wǎng)絡(luò)相搭配，為用戶提供了更加便捷的信息服務(wù)體驗。在這樣的環(huán)境下，無線局域網(wǎng)技術(shù)逐步邁入了快速發(fā)展軌道。

1.1 技術(shù)發(fā)展背景

信息化時代背景下，隨著電子政務(wù)及電子商務(wù)的快速發(fā)展，越來越多的人選擇網(wǎng)絡(luò)傳輸和處理數(shù)據(jù)信息。在此過程中，無線局域網(wǎng)安全問題不斷暴露出來，安全技術(shù)成為了無線局域網(wǎng)發(fā)展的關(guān)鍵因素。與有線網(wǎng)絡(luò)傳輸相同的是，安全性能亦是廣大用戶對無線局域網(wǎng)效果的最高追求，而且緣于其本身特性，它還面臨著更大、更多的安全風(fēng)險。例如，有線網(wǎng)絡(luò)的線纜作為一種物理防御屏障，當(dāng)攻擊者無法連接網(wǎng)絡(luò)線路時，則切斷了其竊取網(wǎng)絡(luò)信息的路徑。然而，無線局域網(wǎng)則有所不同，它是通過無線電波實現(xiàn)信息傳播的，任何人都可能成為攻擊者。除此之外，一般連接無線局域網(wǎng)的設(shè)備計算能力、存儲能力以及蓄電能力等都較弱，容易造成數(shù)據(jù)傳輸中斷或丟失，因而無線局域網(wǎng)的安全問題具有很強的特殊性和復(fù)雜性。在現(xiàn)實生活中，人們?yōu)榱俗非笮畔?shù)據(jù)傳輸便利，對無線局域網(wǎng)的依賴性越來越高，同時也面臨著嚴重的安全威脅。因此，無線局域網(wǎng)安全技術(shù)發(fā)展備受社會各界關(guān)注，同時面臨著機遇和挑戰(zhàn)。

1.2 接入認證技術(shù)

在無線局域網(wǎng)的應(yīng)用過程中，合法用戶可以通過無線連接的方式共享計算機資源信息。因此，如何確認合法用戶身份，是保證無線局域網(wǎng)安全的重要基礎(chǔ)。以IEEE 802.11標(biāo)準(zhǔn)支撐的無線局域網(wǎng)系統(tǒng)，可支持對用戶開放式以及共享密鑰的認證服務(wù)。其中，開放式認證技術(shù)只要求用戶提供正確的SSID，但是根據(jù)系統(tǒng)默認值設(shè)置，該SSID會在AP信標(biāo)力廣播，即使面臨關(guān)閉的情況，黑客或入侵者依然可以探測到SSID的相關(guān)信息，從而危險無線局網(wǎng)安全。相比于前者，共享密鑰認證技術(shù)的應(yīng)用較為安全，用戶需要正確使用AP發(fā)送的challenge包，并返回給AP，進而進入無線局域網(wǎng)絡(luò)，但這種雖然操作較為復(fù)雜，但依然存在黑客攻擊的危險。在此基礎(chǔ)上，EAP認證技術(shù)在一定程度上彌補了上述認證技術(shù)的不足，并由此衍生出的SIM、AKA等認證協(xié)議滿足了3G、4G互通的需求，在無線局域網(wǎng)領(lǐng)域的應(yīng)用更為廣泛。

1.3 密鑰管理技術(shù)

認證技術(shù)確認安全后就會產(chǎn)生密鑰并對密鑰進行管理，無線數(shù)據(jù)傳輸保密工作因為密鑰管理的參與將會更加安全。密鑰管理最初是建立在靜態(tài)WEP密鑰基礎(chǔ)之上的，靜態(tài)WEP密鑰是所有的設(shè)備擁有一樣的WEP密鑰，這不僅需要管理員耗時耗力地將WEP密鑰輸入到每一個設(shè)備中，而且如果帶有WEP密鑰的設(shè)備丟失或者被盜時，黑客可能會通過這個設(shè)備侵入無線局域網(wǎng)，這時管理員是很難發(fā)現(xiàn)的。即使管理員發(fā)現(xiàn)了并想要阻止，就需要具有一樣的WEP密鑰設(shè)備并對WEP密鑰進行更新。在面對龐大數(shù)量的用戶時，這項工作將是對管理員工作的嚴重考驗。而且如果黑客解密出一個新的靜態(tài)WEP密鑰，管理員也毫不知情。在現(xiàn)行更安全的方案中采取的是動態(tài)密鑰，動態(tài)密鑰是在EAP認證時，RADIUS服務(wù)器將與客戶生成會話密鑰并將密鑰發(fā)送給AP，客戶和AP同時激活密鑰開始會話直到超時，超時后將會重新發(fā)送認證生成新的會話密鑰。

2 無線局域網(wǎng)面臨的安全威脅因素

由于傳輸介質(zhì)的開放性，無線局域網(wǎng)本身就具有更大的脆弱性，同時還侵受著外部的惡意威脅。從某種意義上而言，無線局域網(wǎng)面臨的安全威脅取決于其承載的信息資產(chǎn)價值，大致可以分為以下幾種因素，具體表述如下：

2.1 非法介入

對于廣大用戶而言，內(nèi)部無線局域網(wǎng)上流轉(zhuǎn)的數(shù)據(jù)包含著十分寶貴的信息資產(chǎn)，關(guān)系到自己的切身利益，一旦泄露或被竊勢必會造成物質(zhì)或精神上的損傷。對于電信通訊來說，無線局域網(wǎng)非法介入可能會導(dǎo)致客戶信息泄露，有損自身品牌信譽，同時還給客戶帶來了不可挽回的經(jīng)濟損失。近年來，關(guān)于電信詐騙的案件報道比比皆是，為社會大眾所恐慌。以現(xiàn)有的技術(shù)條件和水平，無線局域網(wǎng)的電磁輻射還很難精準(zhǔn)地控制在某一范圍之內(nèi)，攻擊者只需架設(shè)一座天線即可截獲部分數(shù)據(jù)信息，而且用戶很難發(fā)現(xiàn)。在現(xiàn)實生活中，某些惡作劇者常常熱衷于尋找“免費”無線網(wǎng)絡(luò)資源，并通過帶有無線網(wǎng)卡的筆記本將這些信息在網(wǎng)上公開。在帶寬有限的無線局域網(wǎng)上，所有AP用戶共享，攻擊者可產(chǎn)生大量數(shù)據(jù)包，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)中斷或癱瘓，影響了合法用戶的正常網(wǎng)絡(luò)體驗。此外，與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)還容易受到IP重定向及TCP響應(yīng)等攻擊。

2.2 偽造網(wǎng)絡(luò)

在無線局域網(wǎng)中偽造的AP和網(wǎng)絡(luò)帶來的威脅非常嚴重，攻擊者可能會通過在計算機上安裝Sniffer、ethereal等軟件捕獲顯示網(wǎng)絡(luò)上的數(shù)據(jù)包對合法用戶的數(shù)據(jù)進行竊聽。其主要是竊聽合法用戶的業(yè)務(wù)數(shù)據(jù)。無線局域網(wǎng)其傳輸介質(zhì)是共享的這一原因造成無線局域網(wǎng)上面收發(fā)的數(shù)據(jù)很容易被竊聽。另外，攻擊者往往利用這些假冒的網(wǎng)絡(luò)誘使合法的用戶進入訪問，進而騙取合法用戶的賬號口令對其平時工作用到的業(yè)務(wù)數(shù)據(jù)進行篡改造成合法用戶的困擾或者將一些合法網(wǎng)絡(luò)的數(shù)據(jù)加以篡改以達到欺騙合法用戶的目的。甚至利用偽造或者篡改的數(shù)據(jù)造成系統(tǒng)或者設(shè)備無法正常運轉(zhuǎn)或者癱瘓。偽造的AP和網(wǎng)絡(luò)還可能讓攻擊者偽造一些網(wǎng)絡(luò)設(shè)備如（DNS或DHCP服務(wù)器）引導(dǎo)用戶進入到其不想進入的網(wǎng)絡(luò)，比如一些收費網(wǎng)站或者色情網(wǎng)站等從而對合法用戶造成一定的損失或者影響。

2.3 拒絕服務(wù)

拒絕服務(wù)攻擊又被成為Dos攻擊，與其他形式的攻擊差異體現(xiàn)為，它的目的在于破壞計算機或無線局域網(wǎng)絡(luò)正常服務(wù)。目前，802.11b已經(jīng)成為了無線局域網(wǎng)市場的主流標(biāo)準(zhǔn)，在各類用戶中的應(yīng)用十分廣泛，適用于家庭、車站、辦公等多個場所。但是，這種無線局域網(wǎng)絡(luò)安全技術(shù)也存在一定的弊端，即它與微波爐、無線電話和藍牙芯片等都使用2.4GHz的ISM開放頻段，而且沒有限制授權(quán)，因而很容易受其他生活設(shè)備的干擾，其中存在很大的潛在威脅。在合適的設(shè)備和工具支持下，攻擊者完全可以對無線局域網(wǎng)發(fā)起flooding攻擊，實現(xiàn)非法業(yè)務(wù)在無線網(wǎng)絡(luò)有效頻段上的覆蓋，進而阻止用戶正常接收合法業(yè)務(wù)數(shù)據(jù)，最終導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓。在實際的運行系統(tǒng)中，拒絕服務(wù)攻擊是最難做好預(yù)控和處理的，既要求全面考慮設(shè)計構(gòu)成要素，又要有針對性地采取科學(xué)的本地策略。

3 提高無線局域網(wǎng)安全性能的策略

時至今日，無線局域網(wǎng)安全關(guān)乎國計民生，是和諧社會主義構(gòu)建的重要歷程。作者結(jié)合上文的分析，有針對性地提出了以下幾種提高無線局域網(wǎng)安全性能的策略，以供參考和借鑒。

3.1 資源保護

在無線局域網(wǎng)應(yīng)用中，兩個及以上的設(shè)備可以實現(xiàn)多種方式的數(shù)據(jù)通信，可以通過對鏈路層加密的方法提高無線局域網(wǎng)安全性能。雖然無線信號還存在被竊聽的危險，但是如果把無線信號承載的數(shù)據(jù)信息轉(zhuǎn)化成密文，并且保證其強度夠高的情況下，這種安全威脅發(fā)生的幾率則會大大降低。除卻這些，無線局域網(wǎng)還時刻面臨著傳輸信號被偽造或篡改的安全隱患。對此，用戶可以在無線局域網(wǎng)承載的數(shù)據(jù)中，融入部分只有內(nèi)部人員才得以掌握的冗余數(shù)據(jù)，從而精準(zhǔn)地檢測這些數(shù)據(jù)是否被更改，在這種情況下基本可以確定無線信號的安全性。同時，值得肯定的是獨有秘密勢必會降低偽造數(shù)據(jù)被認為合法的可能性，為無線局域網(wǎng)提供了類似于有線網(wǎng)絡(luò)物理安全的保護屏障。

3.2 密鑰管理

密碼是接入無線局域網(wǎng)的重要屏障，通常可由數(shù)字、字母及特殊符號共同組成。在無線局域網(wǎng)的應(yīng)用中，密碼設(shè)置強度一般分為三個等級，并且保證在八個字符以上。根據(jù)無線局域網(wǎng)密碼破解測試結(jié)果顯示，用戶應(yīng)適當(dāng)提高密碼破解難度，如增加字符長度或增加特殊字符等，并按照需求定時進行更換。關(guān)于無線局域網(wǎng)密鑰管理，現(xiàn)行的還有一種WEP標(biāo)準(zhǔn)方法，通過動態(tài)變化來避免密鑰重用。但是，WEP本身對無線局域網(wǎng)的加密保護作用是非常脆弱的，很容易被黑客攻擊和破解，基于此Wi-Fi聯(lián)盟開發(fā)了WPA新加密標(biāo)準(zhǔn)。根據(jù)用戶需求的不同，WAP又分為個人版、企業(yè)版，它采用TKIP協(xié)議，使用預(yù)共享密鑰，解決了小型無線局域網(wǎng)環(huán)境安全威脅。與之相對應(yīng)的，WAP/WAP2-Enterprise則更加適用于大型無線局域網(wǎng)環(huán)境。

3.3 地址綁定

用來定義網(wǎng)絡(luò)設(shè)備位置的MAC地址，存在于每一臺主機當(dāng)中，它是一種采用十六進制數(shù)標(biāo)示，由六個48位字節(jié)構(gòu)成的物理地址，例如00-28-4E-DA-FC-6A。在OSI模型中，數(shù)據(jù)鏈路層負責(zé)MAC地址，第三層網(wǎng)絡(luò)層則負責(zé)IP地址。為了進一步提高無線局域網(wǎng)的安全性能，可以在接入設(shè)備中進行MAC地址過濾設(shè)置，只準(zhǔn)許特定合法MAC地址接入無線局域網(wǎng)，從而防護攻擊者的非法侵入。現(xiàn)階段，地址綁定已然成為了無線局域網(wǎng)常用的安全策略之一。此外，在每一個無線局域網(wǎng)創(chuàng)建中，都存在專屬的服務(wù)集標(biāo)識符即SSID，它是幫助區(qū)分不同無線局域網(wǎng)的重要手段。為了防止黑客攻擊，應(yīng)將SSID修改成難以被外人辨識的字符串，同時對其進行隱藏處理，降低被黑客檢測到的幾率，保護無線局域網(wǎng)安全。

3.4 安裝軟件

隨著無線局域網(wǎng)安全技術(shù)的進步與發(fā)展，市場上流通的很多軟件都可以實現(xiàn)對無線局域網(wǎng)一定程度的安全防護。因此，用戶可以在主機系統(tǒng)上加裝合適的查殺軟件或病毒卡，實時檢測系統(tǒng)異常，并對木馬數(shù)據(jù)及非法AP等進行清理，以免給自身造成更大的經(jīng)濟損害。對于拒絕服務(wù)攻擊，用戶可以在無線局域網(wǎng)運行的系統(tǒng)上增加一個網(wǎng)關(guān)，使用數(shù)據(jù)包過濾或其他路由設(shè)置有效攔截惡意數(shù)據(jù)，隱藏?zé)o線局域網(wǎng)接入設(shè)備IP地址，降低安全風(fēng)險。事實表明，無線局域網(wǎng)安全威脅不僅僅存于外界，還可能受到內(nèi)部攻擊，針對此類狀況，應(yīng)加強審計分析，通過有效安全檢測手段確定內(nèi)部攻擊來源，并輔以其他管理機制，防治無線局域網(wǎng)安全。此外，對于硬件丟失威脅，應(yīng)基于用戶身份完成認證，并通過某種生物或秘密特征將硬件設(shè)備與用戶緊密聯(lián)系在一起。

4 結(jié)語

總而言之，無線局域網(wǎng)安全技術(shù)發(fā)展勢在必行。由于個人能力有限，加之無線局域網(wǎng)環(huán)境復(fù)雜多變，本文作出的相關(guān)研究可能存在不足之處。因此，作者希望業(yè)界更多學(xué)者和專家持續(xù)關(guān)注無線局域網(wǎng)技術(shù)發(fā)展，全面解析無線局域網(wǎng)應(yīng)用中存在的安全隱患，并充分利用無線局域網(wǎng)安全技術(shù)，有針對性地提出更多提高無線局域網(wǎng)安全性能的策略，從而凈化無線局域網(wǎng)應(yīng)用環(huán)境，為廣大用戶提供更加方便快捷、安全高效的網(wǎng)絡(luò)服務(wù)體驗。

參考文獻

[1]原錦明.無線局域網(wǎng)常見漏洞及安全策略[J].電腦編程技巧與維護，2014（02）：68-69.

[2]郭建峰.無線局域網(wǎng)安全技術(shù)研究[J].科技風(fēng)，2014（15）：190.

[3]顏軍，田祎.探析無線局域網(wǎng)的安全技術(shù)及應(yīng)用[J].福建電腦，2013（01）：36-37.

[4]劉艷麗.無線局域網(wǎng)安全技術(shù)及標(biāo)準(zhǔn)發(fā)展探究[J].電腦迷，2016（04）：35.

[5]黃祖海.無線局域網(wǎng)安全分析與入侵檢測技術(shù)研究[J].科技經(jīng)濟導(dǎo)刊，2016（12）：27-28.

作者簡介

張烜（1987-），男，湖南省寧鄉(xiāng)縣人。碩士學(xué)位。研究方向為網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全、信息安全技術(shù)。

作者單位

中國南方電網(wǎng)有限責(zé)任公司超高壓輸電公司 廣東省廣州市 510700