基于WLAN分析的網(wǎng)絡(luò)安全技術(shù)

劉 杰，梁馨月

（安徽省響洪甸蓄能發(fā)電有限責(zé)任公司，安徽 六安 237335）

0 引 言

在網(wǎng)絡(luò)信息化加速發(fā)展的大背景下，無線網(wǎng)絡(luò)更具節(jié)能、智能、高效、適時以及快速等優(yōu)勢，已然發(fā)展成為多個行業(yè)領(lǐng)域應(yīng)用的主要網(wǎng)絡(luò)結(jié)構(gòu)。而在實際使用無線網(wǎng)絡(luò)期間，必須要先完成對其安全性的充分考量，實施安全防護(hù)。

1 WLAN安全防護(hù)的必要性分析

網(wǎng)絡(luò)信息化加速發(fā)展的大背景下，網(wǎng)絡(luò)數(shù)據(jù)傳輸在多個行業(yè)領(lǐng)域均得到廣泛、深度利用。有線網(wǎng)絡(luò)因受自身物理架構(gòu)局限性的影響，在實際的使用期間很容易成為黑客、非法用戶的攻擊目標(biāo)。因此，無線網(wǎng)絡(luò)局部領(lǐng)域代替有線網(wǎng)絡(luò)成為必然選擇[1]。同時，為保證無線網(wǎng)絡(luò)能夠長時間安全運行，要引入網(wǎng)絡(luò)安全技術(shù)。針對無線局域網(wǎng)（Wireless Local Area Network，WLAN）落實安全防護(hù)極為必要，是保證計算機(jī)網(wǎng)絡(luò)和WLAN系統(tǒng)運行安全、平穩(wěn)性的重要舉措，在維護(hù)用戶信息安全方面也發(fā)揮著重要作用，避免產(chǎn)生不必要的損失，營造更為健康、安全的網(wǎng)絡(luò)環(huán)境。

2 影響計算機(jī)無線網(wǎng)絡(luò)安全的因素分析

2.1 惡意攻擊

現(xiàn)階段，非法用戶常使用假冒攻擊的方式完成對無線網(wǎng)絡(luò)的偽裝，并借助一定方法吸引更多的用戶點擊偽裝的無線網(wǎng)絡(luò)。與此同時，非法用戶會對用戶展開網(wǎng)絡(luò)攻擊，實現(xiàn)對用戶信息的惡意盜取。在此過程中，用戶很容易出現(xiàn)重要文件丟失、個人財產(chǎn)損失等問題[2]。由于無線網(wǎng)絡(luò)具備較為明顯的開放性特征，難以徹底根除惡意攻擊問題，只能應(yīng)用多種預(yù)防技術(shù)并提高用戶安全使用網(wǎng)絡(luò)的意識，降低網(wǎng)絡(luò)安全威脅。目前，較為常見的幾項網(wǎng)絡(luò)安全威脅如表1所示。

表1 網(wǎng)絡(luò)安全威脅

2.2 非法用戶入侵

網(wǎng)絡(luò)非法用戶侵入的主要表現(xiàn)為以下幾方面內(nèi)容。第一，網(wǎng)絡(luò)感染病毒的概率有所提高。當(dāng)非法用戶入侵網(wǎng)絡(luò)后，可能會在用戶的計算機(jī)內(nèi)放置病毒軟件，從而使用戶計算機(jī)網(wǎng)絡(luò)中毒的概率大幅提高，用戶個人隱私信息被泄露，最終引發(fā)不同程度的損失。第二，個人信息盜取。在非法用戶入侵網(wǎng)絡(luò)時，部分非法用戶會為獲取更大的經(jīng)濟(jì)收益，更改用戶無線設(shè)備的設(shè)置，以盜取用戶隱私信息并進(jìn)行非法販賣[3]。第三，降低網(wǎng)速。當(dāng)網(wǎng)絡(luò)遭受非法用戶入侵后，用戶的寬帶會隨之減小，促使路由器無法繼續(xù)正常工作，導(dǎo)致用戶實際能夠獲取到的網(wǎng)速明顯下降。

2.3 重傳攻擊

重傳攻擊的技術(shù)難度并不高，但是可能引發(fā)的后果與損失較為嚴(yán)重。在重傳攻擊技術(shù)的支持下，非法用戶可以任意實施非法手段，竊聽、竊取用戶隱私信息，也可能對已經(jīng)盜取的信息實施再次處理，轉(zhuǎn)變?yōu)閾郊俚男畔⒎答佒劣脩艚K端，以完成網(wǎng)絡(luò)詐騙，最終讓用戶產(chǎn)生不同程度的損失。

3 基于WLAN的網(wǎng)絡(luò)安全防護(hù)技術(shù)的具體應(yīng)用探究

3.1 無線與有線一體化關(guān)聯(lián)分析技術(shù)的應(yīng)用

為有效保障網(wǎng)絡(luò)整體安全性，應(yīng)當(dāng)聯(lián)合無線、有線安全，促使一體化防御成為現(xiàn)實。此時，需要綜合應(yīng)用傳統(tǒng)有線安全防護(hù)技術(shù)和無線安全防護(hù)技術(shù)，包括防火墻、審計產(chǎn)品、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）以及入侵檢測系統(tǒng)（Intrusion Detection System，IDS）等。在分析無線網(wǎng)絡(luò)安全威脅期間，要充分考量無線網(wǎng)絡(luò)部分、WLAN最后落地的有線網(wǎng)絡(luò)落實，結(jié)合無線與有線一體化關(guān)聯(lián)分析的實施，精準(zhǔn)定位無線網(wǎng)絡(luò)實際面對的安全威脅。在實際的無線與有線一體化關(guān)聯(lián)分析實踐中，要求認(rèn)真掃描、探測有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，持續(xù)性監(jiān)聽網(wǎng)絡(luò)中的攻擊特征，在此基礎(chǔ)上匯總分析有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的攻擊特性和設(shè)備屬性。

在此過程中，可以著力搭建信息化集中的運營監(jiān)控平臺，實現(xiàn)可控、可管、可視的綜合智能運維監(jiān)控平臺支撐系統(tǒng)，全時、全域、全方位地監(jiān)測計算機(jī)設(shè)備硬件和環(huán)境運行狀態(tài)、網(wǎng)絡(luò)運行環(huán)境，監(jiān)測網(wǎng)絡(luò)安全隱患與漏洞，并判斷安全隱患與漏洞的類型和位置。先進(jìn)的運維平臺可以實現(xiàn)網(wǎng)絡(luò)安全隱患與漏洞的自動預(yù)警，完成有線與無線的一體化關(guān)聯(lián)分析和安全監(jiān)控，提升計算機(jī)網(wǎng)絡(luò)安全水平與防護(hù)成效[4]。

3.2 無線網(wǎng)絡(luò)安全保障機(jī)制的應(yīng)用

3.2.1 MAC地址認(rèn)證

網(wǎng)絡(luò)內(nèi)的所有用戶需要綁定媒體訪問控制（Media Access Control，MAC）地址，以此為基礎(chǔ)限制網(wǎng)絡(luò)中用戶的多種訪問行為。此時，用戶要想順利訪問網(wǎng)絡(luò)，其MAC地址必須要包含在MAC列表內(nèi)；如果相應(yīng)列表內(nèi)并不包含用戶的MAC地址，則該用戶無法進(jìn)行網(wǎng)絡(luò)訪問操作。

3.2.2 密鑰認(rèn)證

針對無線網(wǎng)絡(luò)設(shè)備和接入點設(shè)備均設(shè)置相同的密碼，在用戶訪問無線網(wǎng)絡(luò)期間，必須要對用戶的身份進(jìn)行驗證[5]。此時，如果用戶在身份驗證（登錄）期間所提交的密碼信息與無線網(wǎng)絡(luò)設(shè)備的密碼保持一致，則可以判定該用戶為合法用戶，允許其繼續(xù)進(jìn)行網(wǎng)絡(luò)訪問操作。如果用戶在身份驗證期間所提交的密碼信息與無線網(wǎng)絡(luò)設(shè)備的密碼不一致，則可以判定該用戶為非法用戶，不允許其繼續(xù)進(jìn)行網(wǎng)絡(luò)訪問操作。

3.3 WLAN安全技術(shù)的應(yīng)用

3.3.1 端口訪問控制技術(shù)

使用802.1x協(xié)議和MAC地址聯(lián)合認(rèn)證，即端口訪問控制，避免非授權(quán)用戶、非法用戶接入與訪問網(wǎng)絡(luò)，保證所有訪問網(wǎng)絡(luò)的用戶與客戶端設(shè)備均具有合法性。在802.1x中，落實了對3種身份的定義，即申請者、認(rèn)證者和認(rèn)證服務(wù)器[6-7]。在實際的端口訪問控制過程中，由申請者向認(rèn)證服務(wù)器表明自己的身份，在身份服務(wù)器的支持下實現(xiàn)對申請者身份的精準(zhǔn)認(rèn)證；在身份認(rèn)證通過后，身份認(rèn)證服務(wù)器將通信所需要的密鑰加密發(fā)送至申請者處；利用該密鑰，申請者可以與接入點（Access Point，AP）順利完成通信。結(jié)合對端口訪問控制技術(shù)的應(yīng)用，確保WLAN內(nèi)的所有合法用戶均可以隨時接入無線網(wǎng)絡(luò)，并更好地維護(hù)訪問數(shù)據(jù)信息的安全性。

3.3.2 臨時用戶訪問認(rèn)證技術(shù)

WLAN的臨時用戶對于網(wǎng)絡(luò)安全性的要求普遍較低，更關(guān)注網(wǎng)絡(luò)訪問和上網(wǎng)操作的便捷性[8]。基于此，針對WLAN的臨時用戶，可以應(yīng)用動態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）+強(qiáng)制Portal認(rèn)證的方式，完成對臨時用戶的訪問認(rèn)證，確保其安全、順利接入WLAN。

3.3.3 WEP加密技術(shù)

在無線網(wǎng)絡(luò)中，用戶可以在不進(jìn)行物理連接的基礎(chǔ)上順利接入網(wǎng)絡(luò)，因此IEEE 802.11標(biāo)準(zhǔn)中的有線等效保密（Wired Equivalent Privacy，WEP）更容易被攻破，且攻破時間相對較短[9]。出于對更好維護(hù)網(wǎng)絡(luò)安全的考量，應(yīng)當(dāng)在WLAN內(nèi)加入支持128位的WEP，以此替代IEEE 802.11標(biāo)準(zhǔn)中的WEP，且不使用生產(chǎn)商自帶的WEP密鑰，以切實、有效地避免未經(jīng)授權(quán)的用戶非法侵入無線網(wǎng)絡(luò)。

3.3.4 變更服務(wù)集標(biāo)識符并禁用服務(wù)集標(biāo)識符廣播

從網(wǎng)絡(luò)安全防護(hù)的角度來看，服務(wù)集標(biāo)識符實際能夠提供的安全認(rèn)證級別相對較低。服務(wù)集標(biāo)識符可以理解為無線接入的標(biāo)識符，即某一WLAN的簡單標(biāo)志、口令。在服務(wù)集標(biāo)識符的支持下，用戶能建立個人與接入點之間的連接。服務(wù)集標(biāo)識符普遍由通信制造商完成設(shè)置，且各個廠商均具備自己的缺省值[10]。實踐中，為更好避免無線網(wǎng)絡(luò)被非法用戶發(fā)現(xiàn)，應(yīng)當(dāng)在實際使用階段對設(shè)置的缺省服務(wù)集標(biāo)識符落實重新定義與變更，同時對服務(wù)集標(biāo)識符廣播實施禁用處理。

3.3.5 無線入侵檢測技術(shù)

無線入侵檢測技術(shù)的應(yīng)用是保護(hù)計算機(jī)網(wǎng)絡(luò)安全的重要舉措。通過在無線網(wǎng)絡(luò)內(nèi)搭建、應(yīng)用安全隱患警示系統(tǒng)，結(jié)合安全級別的合理劃分，能夠讓用戶充分了解個人計算機(jī)系統(tǒng)與網(wǎng)絡(luò)是否遭受非法入侵或是否存在安全隱患[11]。實踐中，應(yīng)在無線入侵檢測系統(tǒng)內(nèi)引入防火墻，如應(yīng)用級防火墻，如圖1所示，以更好地維護(hù)計算機(jī)無線網(wǎng)絡(luò)安全水平。

圖1 應(yīng)用級防火墻結(jié)構(gòu)

4 結(jié) 論

針對WLAN落實安全防護(hù)措施，是保證計算機(jī)網(wǎng)絡(luò)和WLAN系統(tǒng)運行安全、平穩(wěn)的重要舉措，在維護(hù)用戶信息安全方面也發(fā)揮著重要作用，避免產(chǎn)生不必要的損失。實踐中，通過無線與有線一體化關(guān)聯(lián)分析技術(shù)、無線網(wǎng)絡(luò)安全保障機(jī)制、WLAN安全技術(shù)等網(wǎng)絡(luò)安全技術(shù)與防護(hù)措施的綜合應(yīng)用，可以營造更為健康、安全網(wǎng)絡(luò)環(huán)境。