淺析無線局域網的安全威脅及安全機制

韋毓淵

身份證號：450122198205281576

淺析無線局域網的安全威脅及安全機制

韋毓淵

身份證號：450122198205281576

本文分析了無線局域網面臨的安全威脅和基本的安全機機制以提高網絡安全性。

WLAN無線局域網；安全威脅；安全機制

一、引言

在當前時代，網絡不知不覺成為每個人生活當中不可或缺的一部分，網絡已經與我們的生活產生了越來越緊密的聯系。.隨著信息技術的發展，人們對網絡通信的需求也隨之提高，也希望打破不同地域或者其他條件的制約，可與各地的人都能進行網絡通信。以往網絡的通信方式還是以有線的方式來實現通信，而有線的方式已經無法滿足人們的需求了。WLAN也就成為了有線網絡的延伸。隨之無線網絡技術發展起來并飛速發展及快速商業化普及，WLAN采用無線電波傳輸，具有移動性好，架設和維護容易等特點，還能支持移動計算，WLAN越來越成為企業網絡的重要組成部分。WLAN傳遞信息不依賴于物理布線，這樣無疑給企業用戶帶來極大的方便，但同時WLAN采用的是無線電波傳輸信號，無線電波在空氣中容易受自然天氣、建筑物、其他電波的等周圍環境的影響都可以導致無線網絡信號中斷衰減而影響到無線網絡的穩定性和安全性，這就使得無線網絡比有線網絡面臨更多的安全隱患和威脅。因此，如何建立一個穩定，安全的無線網絡是企業信息部門都要面臨的問題。

二、無線網絡所面臨的安全威脅

由于WLAN采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也就不容易防備，無線網絡有以下幾種安全威脅。

1、無線信號的竊聽

由于WLAN使用2.4G或5.8G范圍的無線電波進行網絡的通信。無線電信號可能傳播到辦公室外面，任何人都可以用一臺帶無線無線網卡的PC或者無線掃描器進行竊聽，可以監聽整個網絡的通訊，可以通過一些網絡工具如是Airopeek 和TCPDump來監聽和分析通信量，從而可能識別出可以破解的信息。

2、信息篡改

信息篡改是指攻擊者將竊聽到的信息進行修改之后再將信息傳給原本的接收者。其目的有兩種：惡意破壞合法用戶的通信信息，阻止合法用戶建立通信鏈接：將修改的信息傳給接收者，企圖欺騙接收者相信修改后的信息。

3、電磁波的互相干擾和抑制

由于無線網絡采用公共的電磁波作為載體，有兩個電磁波形有交集的時候，才會形成干擾。這兩個電磁波形之間一般是頻率較為接近，或者是倍頻關系。攻擊者采用這些原理有意的去制造電磁輻射，用足夠功率的無線電收發器，就能容易的產生無線干擾信號，干擾無線網絡其會使網絡癱瘓或者性能下降，使得無線網絡無法正常使用。另外一些設備產品的電磁輻射也會對無線信號有干擾，如辦公室的微波爐。還有一些噪聲或者其他形式的干擾也可阻礙節點之間的信號接收，就會導致整個無線網絡不能正常使用甚至會使整個網絡傳輸癱瘓。干擾導致無線傳輸信號的誤碼率升高，導致網絡傳輸速率降低。所傳輸的信息重新發送在地方無線AP節點之間的通信可能全部終止

三、無線局域網的安全機制

從無線局域網的協議、規格特點入手，從不同角度分析和考慮，構建具有較高安全保障的WLAN框架結構，提高無線局域網的安全性，是無線局域網應用中至關重要的工作。目前成熟并得到廣泛應用的采用無線擴頻技術的WLAN，其技術規范由IEEE802.11協議描述，以保障WLAN的數據傳輸安全。

1、無線網絡網卡的物理地址過濾(MAC)

每個無線用戶終端都是通過其無線網卡與AP通信的，而這無線網卡上的MAC唯一的物理地址標識。在無線AP內部都有一張MAC地址表，只有在表里面的MAC才是合法的可以連接的無線網卡，不在表里面的會被拒絕連接，這樣我們就可以在無線網卡所連的無線AP上通過設定MAC地址表來控制無線用戶的接入，MAC地址控制可以有效地防止未經過授權的用戶接入無線網絡。MAC地址控制是目前WLAN最基本的安全訪問控制方式。

2、服務區標識符的匹配(SSID)

服務集標識符SSID，也稱業務組標識符，這是人們最早使用的一種WLAN安全認證方式，它是一個WLAN的標識碼，無線工作站只有具有相應服務區域的認證ID接入WLAN進行訪問。在WLAN中需對一個或者多個無線AP設置一個SSID，這樣對網絡的訪問控制就可以通過SSID來實現。嚴格來說，SSID不屬于安全機制，只不過可以用它作為一種實現訪問控制的手段。但是有個缺點就是無線訪問點的SSID是通過廣播出來，只要在其覆蓋范圍內的無線客戶端都能獲得SSID，任何一個無線客戶都可以通過搜索SSID搜索到。

3、有線等同保密(WEP)

由于無線傳輸比有線傳輸更容易被截獲，于是IEEE802.11標準便制定了一套安全協議WEP以完成客戶端和無線訪問點的加密傳輸。WEB使用對稱加密算法RC4，在加密和解密端均采用40比特的加密密鑰以及還可以使用104比特的加密密鑰，而且兩把密鑰必須相同。這把密鑰被輸入到每一個客戶端以及存取點中，所有的數據傳輸都使用這把密鑰來進行加密和解密。WLAN中的無線終端使用相同的密鑰訪問WLAN，WEP也提供認證功能。

4、端口訪問控制技術

這技術是用于WLAN的一種增強型網絡安全解決方案，它由三個部分組成：客戶端，認證系統和認證服務器。當無線客戶端與無線AP連接時，客戶端會發起802.1X的認證。客戶端是否能連接上AP取決于認證的結果。當用戶認證了，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，AP為無線客戶端打開邏輯接口，允許用戶接入無線。如果用戶未認證，認證系統收到不認證信息，無線AP也就不會為無線客戶端打開邏輯接口，用戶也就無法接入無線。這就達到了端口訪問控制的目的。

5、通過VPN虛擬專用網絡技術

VPN是現有網絡上組建的虛擬的加密的網絡，它主要采用了4項安全保障技術來保證網絡安全，這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份誰技術。VPN中的IPSEC 協議是目前通信網中最完整的一種網絡安全技術，利用它建立起來的隧道具有更好的安全性和可靠性，在WLAN中，無線客戶端需要啟用IPSEC，并在客戶端和一個VLAN集中器之間建立IPSEC傳輸模式的隧道。

四、結束語

隨著技術的發展，WLAN的安全機制已經日漸成熟，安全技術的不斷完善，合理的組合和應用安全機制，人們也可以享受到無線網絡帶來的方便和便捷。

[1]唐雄燕，李建宇等編著 寬帶無線接入技術及應用 北京：電子工業出版社，2006

[2]曹秀英，耿嘉.沈平等編著，無線局域網安全系統 北京：電子工業出版社。2004