淺談無線網(wǎng)絡安全問題及防范策略

◆高 萌

（國家圖書館 北京 100081）

0 引言

信息技術的不斷發(fā)展為無線網(wǎng)絡的進一步發(fā)展提供了有利的條件，在新技術、新應用的帶動下，無線網(wǎng)絡已深入到社會、生活的方方面面。在圖書館的網(wǎng)絡體系中，無線網(wǎng)絡也越來越受到讀者的喜愛，它使上網(wǎng)和資源訪問更加便捷高效，大幅地提升了讀者的使用體驗和便利性，但在這個過程中，無線網(wǎng)絡的安全性也不容忽視，由于無線網(wǎng)絡安全機制的不健全，使得無線網(wǎng)絡存在著多方面不穩(wěn)定因素，也極大地降低了無線網(wǎng)絡的使用效率和質量，因此，基于無線網(wǎng)絡的特性來進行網(wǎng)絡安全構建，就顯得非常有必要，這對于進一步完善無線網(wǎng)絡體系、改善讀者的上網(wǎng)體驗和提升讀者的滿意度有著積極的意義。

1 無線網(wǎng)絡概述

無線網(wǎng)絡是在有線網(wǎng)絡的基礎上逐步發(fā)展起來的，最初人們是通過物理連接的方式，使不同的線纜相互連通，以某種共同接受的協(xié)議相互之間實現(xiàn)自由的通信，隨著對網(wǎng)絡應用要求的提升，人們又通過改進物理連接的介質來提高網(wǎng)絡使用速度和穩(wěn)定性，如光纖網(wǎng)絡等。在物理組網(wǎng)的過程中，人們逐漸發(fā)現(xiàn)，這種方式極大地受到時間、空間以及材質的限制，并且需要花費的成本也相當高，而通過組建無線網(wǎng)絡則能夠有效地規(guī)避這些不利因素。

無線網(wǎng)絡本質也屬于一種局域網(wǎng)的范疇，它以無線電磁波的形式，由發(fā)射單元發(fā)出，接收單元接收信號，并對信號進行解析，從而實現(xiàn)網(wǎng)絡的連接， 因此無線網(wǎng)絡的建設不需要過多的硬件設備，當前國際無線網(wǎng)絡大多是根據(jù) IEEE802.11的協(xié)議標準，其射頻的電磁波波段是ISM頻段中的2.4GHz和5GHz。在上述協(xié)議標準之上，無線局域網(wǎng)的連接協(xié)議種類豐富，其中應用最為廣泛的則是WiFi，即無線保真技術，這種協(xié)議能夠滿足不同設備間的連接需求，從而消除了不同設備間差異因素的影響。

2 無線網(wǎng)絡常見安全問題

2.1 非法連接

非法連接是一種網(wǎng)絡攻擊行為，是未經(jīng)許可通過物理連接的方式，來接入到如路由器、交線機或無線AP端口等網(wǎng)絡設備上，并通過接入的設備來訪問網(wǎng)絡。這種物理性的非法連接，由于是將接入設備直接與網(wǎng)絡設備進行連接，因此，不需要輸入網(wǎng)絡本身已設定的密碼，就可以直接進行網(wǎng)絡的訪問。

2.2 非法入侵

非法入侵通過無線網(wǎng)絡的方式來連接到網(wǎng)絡中，即不再通過物理線纜的方式來接入到網(wǎng)絡設備的端口上，入侵者只需要在無線網(wǎng)絡的覆蓋范圍內(nèi)，通過相應的探測和接收設備來接入到無線網(wǎng)絡對應的信道，再通過信息技術對無線網(wǎng)絡的密碼進行破解，從而獲得該無線網(wǎng)絡訪問的密碼。

2.3 用戶非法訪問

因為在無線網(wǎng)絡的輻射范圍內(nèi)，使用者只需要擁有WiFi的接收設備，就可以探測到該無線網(wǎng)絡，進而可以實現(xiàn)對網(wǎng)絡的訪問，這與有線網(wǎng)絡的連接有著本質上的不同。有線網(wǎng)絡是需要設備通過與網(wǎng)絡端口相連接的方式，才能夠實現(xiàn)對網(wǎng)絡的訪問，也就是說，有線網(wǎng)絡的端口決定了接入和訪問網(wǎng)絡的權限。

2.4 WEP加密協(xié)議被破解

WEP是無線網(wǎng)絡安全中級別最低的安全保密協(xié)議，隨著網(wǎng)絡信息化技術的發(fā)展，WEP的加密協(xié)議無法滿足網(wǎng)絡安全的需要，攻擊者通過網(wǎng)絡攻擊軟件可以在很短的時間內(nèi)就獲得網(wǎng)絡的密碼。

2.5 網(wǎng)絡偵聽

無線局域網(wǎng)進行信號的傳輸是基于一定的協(xié)議進行的，因此，無論是發(fā)射設備還是接收設備都必須按照這個協(xié)議才能實現(xiàn)相互之間的信息連通，對于攻擊者來說，只需要在無線網(wǎng)絡的覆蓋范圍內(nèi)，通過相應的高增益天線的接收設備就可以實現(xiàn)對網(wǎng)絡傳輸中的數(shù)據(jù)包進行獲取，在進行解析后，就可以獲知數(shù)據(jù)包的全部信息。

2.6 網(wǎng)絡欺騙攻擊

當前進行網(wǎng)絡欺騙攻擊，主要是通過地址協(xié)議ARP或者MAC地址欺騙來實現(xiàn)的。前者是通過相應的軟件來生成IP地址和MAC地址，從而形成數(shù)量龐大的ARP數(shù)據(jù)包，來實現(xiàn)接入網(wǎng)絡或使目標網(wǎng)絡因數(shù)據(jù)包流量過大而產(chǎn)生堵車的現(xiàn)象；后者是攻擊者通過非法入侵無線網(wǎng)絡后，探測出無線網(wǎng)絡合法的MAC地址，并通過這個合法的MAC地址使自己成為無線網(wǎng)絡的合法用戶，進而達到接入無網(wǎng)絡，實現(xiàn)正常訪問的目的。

3 無線網(wǎng)絡防范策略

3.1 用戶訪問權限控制

用戶訪問權限控制是通過設定一定的網(wǎng)絡訪問規(guī)則來提高網(wǎng)絡整體的安全性，即對訪問的用戶進行相應的設定，來防范無線網(wǎng)絡遭到攻擊。具體的方式是根據(jù)無線局域網(wǎng)的訪問特性，實現(xiàn)MAC地址與IP地址的捆綁，對每一個用戶的網(wǎng)絡接入設備的獨有的MAC地址來設定與之對應的IP地址，綁定后的地址即使攻擊者能夠通過入侵實現(xiàn)進入無線網(wǎng)絡，也無法獲取網(wǎng)絡中相關的信息或資源。

3.2 無線加密技術

通過無線加密技術對網(wǎng)絡數(shù)據(jù)的傳輸進行加密，從而實現(xiàn)無線網(wǎng)絡安全的提升，這是由于攻擊者能夠通過中間人或網(wǎng)絡嗅探等方式來獲取傳輸中的數(shù)據(jù)。隨著網(wǎng)絡信息技術的成熟發(fā)展，目前無線加密技術也得到了快速的發(fā)展，當前通行的無線加密技術主要有WPA2-PSK、TKIP、CCMP等，此外，還可以借助3DES算法、VPN等進一步提高無線網(wǎng)絡的安全性。

3.3 安全路由技術及硬件防火墻

一方面，在硬件上可以通過更高級別的芯片來對路由器的安全進行防護，通過加密技術來增加安全等級；另一方面，則可以在軟件上進行全方位的保護，如進行防火墻保護，從硬件和軟件兩方面來著手，可以更好地維護無線網(wǎng)絡的安全。可以通過內(nèi)外網(wǎng)的設置，來防止非法用戶的連接和訪問，也可以設置訪問權限等，提前設定網(wǎng)絡使用規(guī)則，對數(shù)據(jù)進行必要的過濾。

3.4 身份認證技術

通過身份驗證，可以很好地保護無線網(wǎng)絡安全，防止非法用戶連接訪問。當前，對于無線網(wǎng)絡的身份驗證主要有IEEE802.1x和Portal兩種。前者的成本比較低，對設備的要求不高，很容易實現(xiàn)，但其要求連接到該網(wǎng)絡的設備安裝客戶端認證軟件，這對于網(wǎng)絡使用者來說則相對麻煩；而后者不需要安裝客戶端認證軟件，對于讀者而言在使用上會更加方便，但是對服務器設備的要求會很高，相對的成本也比較大。使用者可以根據(jù)實際情況和需求來進行選擇。

3.5 隱藏SSID

SSID廣播可以讓無線客戶端快速搜索到無線信號，但是也存在一定的安全隱患。為了更好地給予無線網(wǎng)絡以保護，對于較為固定的無線網(wǎng)絡使用群體，可以根據(jù)實際情況隱藏部分SSID，這樣一來，固有的設備可以自動的搜索和連接，但是新增的無線客戶端則需要手動的輸入SSID，這種方式可以在一定程度上減少非法入侵，讓無線網(wǎng)絡使用更加安全。

4 結語

無線網(wǎng)絡技術的不斷發(fā)展進步改善了人們生活的方方面面，圖書館無線網(wǎng)絡信號的覆蓋，使讀者們更加便利快捷地查詢相關數(shù)字資源，受到了讀者們的好評。然而，也有不少圖書館只是覆蓋了無線網(wǎng)信號，卻忽視了網(wǎng)絡安全建設問題，導致無線網(wǎng)絡安全受到了威脅，讀者的個人信息存在泄露風險。所以，在建設無線網(wǎng)絡的同時，應該要通過科技手段來提高網(wǎng)絡安全等級，讓讀者和員工在使用無線網(wǎng)絡的同時得到必要的網(wǎng)絡安全保障。