無線局域網通信安全淺析

安利峰

摘 要： 無線局域網通過無線多址信道進行計算機與外界、計算機與計算機的通信，也在自身發展的同時，促使了移動化通信、個性化通信以及多媒體化通信的發展。但是無線局域網還存在一定的安全問題，必須建立安全機制對其進行規制。

關鍵詞： 無線局域網；通信安全；WLAN

序言

無線局域網是在有線網絡上發展起來的，是無線傳輸技術在局域網技術上的運用，而其大部分應用也是有線局域網的體現。由于無線局域網在諸多領域體現出的巨大優勢，因此對無線局域網絡技術的研究成為了廣大學者研究的熱點。無線局域網具有組網靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進行傳播，因此傳播方式的開放性特性給無線局域網的安全設計和實現帶來了很大的問題。目前無線局域網的主流標準為IEEE802.11，但其存在設計缺陷，缺少密鑰管理，存在很多安全漏洞。

一、無線局域網的概念

在有線局域網中，網絡的鏈接方式是傳輸線纜，那么對于無線局域網而言，“無線”的含義表示網絡的連接是通過紅外線、微波等無線技術實現；“局域網”定義了網絡應用的范圍，它是相當于“廣域網”和“個人網”而言，既可以是一個房間內，一棟建筑內，也可以是一個校園，因此無線局域網（WLAN）就是傳輸媒介實現的計算機局域網。隨著WLAN的廣泛應用，從狹義上講，我們一般所講的無線局域網就是指遵循IEEE802.11協議的無線局域網，我們討論的無線局域網安全也是針對IEEE802.11協議標準的安全。

二、無線局域網的結構

根據不同局域網的應用環境與需求的不同，無線局域網可采取不同的網絡結構來實現互聯。常用的具體有幾種。

1.網橋連接型

不同的局域網之間互聯時，由于物理上的原因，若采取有線方式不方便，則可利用無線網橋的方式實現二者的點對點連接，無線網橋不僅提供二者之間的物理與數據鏈路層的連接，還為兩個網的用戶提供較高層的路由與協議轉換。

2.基站接入型

當采用移動蜂窩通信網接入方式組建無線局域網時，各站點之間的通信是通過基站接入、數據交換方式來實現互聯的。各移動站不僅可以通過交換中心自行組網，還可以通過廣域網與遠地站點組建自己的工作網絡。

3.Hub接入型

利用無線Hub可以組建星型結構的無線局域網，具有與有線Hub組網方式相類似的優點。在該結構基礎上的WLAN，可采用類似于交換型以太網的工作方式，要求Hub具有簡單的網內交換功能。

4.無中心結構

要求網中任意兩個站點均可直接通信，此結構的無線局域網一般使用公用廣播信道，MAC層采用CSMA類型的多址接入協議。無線局域網可以在普通局域網基礎上通過無線Hub、無線接入站（AP）、無線網橋、無線Modem及無線網卡等來實現，其中以無線網卡最為普遍，使用最多。

三、無線局域網的安全機制

1.數據加密技術

在無線局域網中，數據加密主要是對數據的完整性和機密性進行保護，以防數據在無線局域網中傳播時被非法的篡改或者竊聽。數據加密技術主要有WEP協議、IPSec協議和VPN技術三種。

2.數據的訪問技術

訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。

3.數據認證技術

認證技術主要是對用戶身份的一種認證或者是驗證，以保證訪問主體是授權的、合法的。認證是無線局域網最重要的安全機制之一，其包括開放式認證和密鑰共享式認證兩種。

四、無線局域網存在的安全隱患

盡管無線局域網是隨著計算機網絡技術和現代通信技術的發展而產生的新興技術，但是其在應用中還是存在著一定的安全隱患，主要表現在以下幾個方面：

1.無線局域網傳輸介質比較脆弱。在過去的有線局域網中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上往往受到一定的安全設備或者安全人員的保護，很難遭受到攻擊者的攻擊，在數據傳輸上具有較強的安全性，而無線局域網所使用的傳輸媒介是空氣，受大氣等物理條件的干擾較大，同時也比較容易受到攻擊者的攻擊，如電磁干擾等等，使其數據傳輸安全性得不到保障。

2.WLAN隱蔽性差。無線網絡是采用射頻技術進行網絡連接及數據傳輸的開放式物理系統，通過無線電波的形式傳播數據，其有效覆蓋范圍一般為50-100米，在有障礙物的情況下距離有所縮短。為了有效接收信號，許多人都會通過增加天線來提高功放，以增大覆蓋范圍。這樣，即使不進入無線用戶的家庭或企業內，也可以接受到無線信號，網絡攻擊者就可以肆意偵聽竊取傳輸數據，毫無隱蔽性可言。

3.用戶安全防范意識薄弱。與WLAN最緊密相關就是無線設備了，許多無線設備出廠時就被預先設定初始值。由于用戶安全防范意識較弱，購買后一般不會對無線設備進行有效的安全配置，在設置無線登陸密碼時又過于簡單省事，比如生日、手機號等等，使得網絡侵入者可以利用這些潛在的安全漏洞進行攻擊。

五、解決無線局域網通信安全問題的有效途徑

1.通過VPN實現無線網絡通信安全

自從對網絡安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式，在這種保護方式中，將無線網絡當作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面，每一個用戶都對應一個VPN用戶，使用VPN連接無線網絡。這種安全方式阻止了外來設備進入無線網絡，但這種方式也并不是萬無一失。合法進入網絡時需要用戶啟動并獲得一個IP地址，一旦每個用戶都有了一個IP地址，用戶就可以開始網絡通信了。非法進入用戶的過程是差不多的，只是不能通過認證進入網絡中。由于攻擊者也有一個給定的IP地址，所以就沒有什么辦法來阻止它和同一個防火墻內的用戶進行通信了。通過這種通信，攻擊者也可以侵入一個合法用戶，并借此進入網絡中。

2.綁定靜態IP和MAC地址，采取“一對一”使用的方案

通常情況下，AP或者無線路由器在為局域網分配IP地址時，都是默認使用動態的IP地址進行系統的分配與管理，因為其分配的地址并非隨機而容易產生信息泄露或者被不法侵害的隱患。因為在此種前提下，只需要通過技術手段或其他方法知道用戶的IP地址后就能進行動態IP地址的修改，繼而會被無限局域網分配得到一個“合法”的新的可以使用的IP地址。要想解決這個問題，務必要建立一個“一對一”使用的方案，即在終端設備上關閉DHCP服務，為每個用戶端分配一個固定的靜態IP地址，并且限制IP地址的自動分配功能，再把這個靜態的IP地址和用戶電腦上MAC地址進行系統的綁定，換句話說，這么做其實是為無線網的使用設定雙重關卡，不法侵入者及使得到用戶的IP地址也會因為MAC地址的不符合而導致無法連接上網。

3.加強無線局域網的入侵監測系統

雖然無線局域網的被入侵在通常情況下是不易被察覺的，但對其的監測也并非是毫無辦法，無線入侵監測系統可以為無線局域網的使用提供較為準確的監測信息。普通用戶在使用無線局域網時，可以利用監測系統來判斷入侵事件的形式及其類型，對出現的非法通信行為乃至異常的通信流量給予足夠的重視，從而通過修改秘鑰等手段防止不法入侵帶來的通信安全隱患。

4.加強網絡防范意識

對于無線設備，除設置復雜密碼并時常更新之外，還可以對其進行安全設置。比如啟用WPA加密，增強網絡數據的安全性，關閉SSID廣播，使無線網絡不易被發現，設置IP過濾以及MAC地址列表避免被蹭網或外來者入侵。

六、結語

總之，安全機制存在缺陷是限制WLAN實現進一步發展的重要因素，在應用WLAN技術時要注重了解網絡中存在的安全風險，并在明確安全保護機制的基礎上采取必要措施維護WLAN的通信安全。隨著無線技術迅猛發展，無線通信安全尚待進一步發展和完善，將用戶的認證和傳輸數據的加密等多種措施結合起來，才能構筑安全的無線局域網。