無(wú)線局域網(wǎng)的網(wǎng)絡(luò)安全性

王耀萱

[摘要]無(wú)線局域網(wǎng)(Wireless LAN)技術(shù)可以非常便捷地以無(wú)線方式連接網(wǎng)絡(luò)設(shè)備，人們可隨時(shí)、隨地、隨意地訪問網(wǎng)絡(luò)資源。在推動(dòng)網(wǎng)絡(luò)技術(shù)發(fā)展的同時(shí)，無(wú)線局域網(wǎng)也在改變著人們的生活方式。

[關(guān)鍵詞]以太網(wǎng) 無(wú)線局域網(wǎng) 安全性

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0220060－01

一、LAN安全性問題無(wú)線網(wǎng)與有線網(wǎng)的比較

人們往往在使用有線網(wǎng)時(shí)對(duì)安全性表示滿意，而一旦使用無(wú)線方式傳輸就開始變得擔(dān)心起來。他們擔(dān)心的原因是有線網(wǎng)是在公司的樓內(nèi)，就好像有線網(wǎng)具有內(nèi)在的安全性一樣。事實(shí)上，任何網(wǎng)絡(luò)，包括有線網(wǎng)絡(luò)，都易受大量安全風(fēng)險(xiǎn)和安全問題的困擾，其中包括：（1）來自網(wǎng)絡(luò)用戶的進(jìn)攻；（2）未認(rèn)證的用戶獲得存取權(quán)；（3）來自公司或工作組外部的竊聽等。

好的消息是有幾種方法可以用未對(duì)付有線和無(wú)線局域網(wǎng)上的安全問題，事實(shí)上，無(wú)線網(wǎng)段上的一些內(nèi)置的安全特性通常不為人所知，這意味著目前無(wú)線網(wǎng)比有線網(wǎng)具有更好的安全性。

站點(diǎn)控制。顯然，公司網(wǎng)絡(luò)的最大的威脅來自公司自己。沒有正確合適的安全措施，網(wǎng)絡(luò)上任何一個(gè)已注冊(cè)的用戶都可以存取數(shù)據(jù)，現(xiàn)在或以前供職的帶有不滿情緒的職員已經(jīng)知道讀取，甚至修改有價(jià)值的公司數(shù)據(jù)文件。網(wǎng)絡(luò)管理員，不管在他們的有線網(wǎng)上是否有無(wú)線網(wǎng)段，都需要有適當(dāng)?shù)陌踩Ｃ墚a(chǎn)品，對(duì)用戶安全級(jí)的正確設(shè)置，和隨時(shí)審查安全程序的效力。

小心來自合法授權(quán)用戶的入侵。另外一個(gè)讓網(wǎng)絡(luò)管理員擔(dān)心的是不斷增長(zhǎng)的Internet使用。如果內(nèi)部網(wǎng)的用戶可以訪問到外面的Internet，而且你事先沒有防備，外面的用戶也可以進(jìn)入到你的網(wǎng)絡(luò)。這種威脅不僅僅存在于Internet網(wǎng)，只要在你允許外界用戶進(jìn)入你網(wǎng)絡(luò)的情況下，就可能產(chǎn)生不安全因素。比如，遠(yuǎn)程訪問服務(wù)器允許在外出差的銷售和市場(chǎng)人員通過撥號(hào)線來收取電子郵件；遠(yuǎn)程辦公室通過撥號(hào)線連接公司內(nèi)部網(wǎng)；通過在線站點(diǎn)將你的供貨商和你的客戶連接到你的網(wǎng)絡(luò)，所有這些都將由于黑客，病毒和其他侵入者而使你的網(wǎng)絡(luò)變得脆弱。

來自間諜與偷聽者的威脅。也許有些人以為有線網(wǎng)絡(luò)數(shù)據(jù)包是很難檢測(cè)到的。事實(shí)上，有線網(wǎng)對(duì)于偷聽者來說是非常脆弱的?，F(xiàn)在市場(chǎng)上大多數(shù)的以太網(wǎng)卡都提供一種“混淆模式”，它帶有蛻殼軟件可以捕捉網(wǎng)絡(luò)上的每一個(gè)包。如果網(wǎng)絡(luò)管理員沒有“Sniffer”或數(shù)據(jù)觀察儀來檢測(cè)網(wǎng)絡(luò)的錯(cuò)誤怎么辦？那么只要花費(fèi)1000美元，任何人都可以買到FTP軟件公司的LANWaich或AG集團(tuán)的EtherPeek，并且在一臺(tái)計(jì)算機(jī)上運(yùn)行這些程序。它允許你讀取，捕獲和顯示網(wǎng)絡(luò)上包的類型。如果你認(rèn)為有線網(wǎng)是在建筑物內(nèi)，因此對(duì)于外界的偷聽者來說是安全的請(qǐng)?jiān)傧胍幌耄蕴W(wǎng)10BaseT電纜相當(dāng)于一個(gè)引人注意的天線任何一個(gè)具有強(qiáng)烈動(dòng)機(jī)和熟悉天線原理的人都可以在你的辦公室附近來獲得你有線以太網(wǎng)上的數(shù)據(jù)！數(shù)據(jù)加密是防止這類入侵的唯一防線。

二、WaveLAN的無(wú)線網(wǎng)絡(luò)

WaveLAN產(chǎn)品包括接入點(diǎn)WavePOINT-II，它相當(dāng)于無(wú)線到有線的網(wǎng)橋或Hub（集線器）；工作站和筆記本適配器（WaveLAN/ISA和WaveLAN/PCMCIA等無(wú)線網(wǎng)卡），它們將桌面和移動(dòng)用戶通過WavePOINT-II連接到有線網(wǎng)絡(luò)等。

WaveLAN無(wú)線網(wǎng)技術(shù)的安全性由下面4級(jí)定義：

[1]擴(kuò)頻、跳頻無(wú)線傳輸技術(shù)本身使盜聽者難以捕捉到有用的數(shù)據(jù)；

[2]采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施；

[3]設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施，防止非法用戶入侵；

[4]設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽也難以理解其中的內(nèi)容。

擴(kuò)展頻譜技術(shù)，擴(kuò)展頻譜技術(shù)在50年前第一次被軍方公開介紹，它用來進(jìn)行保密傳輸。從一開始它就設(shè)計(jì)成抗噪音、干擾、阻塞和未授權(quán)檢測(cè)。擴(kuò)展頻儲(chǔ)發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)。擴(kuò)展瀕譜的實(shí)現(xiàn)方式有多種，最常用的兩種是直接序列和跳頻序列。

用戶認(rèn)證---口令控制，我們推薦在無(wú)線網(wǎng)的站點(diǎn)上使用口令控制----當(dāng)然未必要局限于無(wú)線網(wǎng)。諸如Novell NetWare和Microsoft NT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)?？诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常予以變更。由于無(wú)線局域網(wǎng)的用戶要包括移動(dòng)用戶，而移動(dòng)用戶傾向于把他們的筆記本電腦移來移去，因此，嚴(yán)格的口令策略等于增加了一個(gè)安全級(jí)別，它有助于確認(rèn)網(wǎng)站是否正被合法的用戶使用。

數(shù)據(jù)加密，假如您的數(shù)據(jù)要求極高的安全性，譬如說是商用網(wǎng)或軍用網(wǎng)上的數(shù)據(jù)，那么您可能需要采取一些特殊的措施。最后也是最高級(jí)別的安全措施就是在網(wǎng)絡(luò)上整體使用加密產(chǎn)品。數(shù)據(jù)包中的數(shù)據(jù)在發(fā)送到局域網(wǎng)之前要用軟件或硬件的方法進(jìn)行加密。只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù)，讀取這些數(shù)據(jù)。如果需要全面的安全保障，加密是最好的方法。一些網(wǎng)絡(luò)操作系統(tǒng)具有加密能力?；诿總€(gè)用戶或服務(wù)器、價(jià)位較低的第三方加密產(chǎn)品也可以勝任，像McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密產(chǎn)品能夠確保唯有授權(quán)用戶可以進(jìn)入網(wǎng)絡(luò)、讀取數(shù)據(jù)，而每個(gè)用戶只須為此支付大約50美元。鑒于第三方加密軟件開發(fā)商致力于加密事務(wù)，并可為用戶提供最好的性能、質(zhì)量、服務(wù)和技術(shù)支持，WaveLAN贊成使用第三方加密軟件。

無(wú)線局域網(wǎng)還有些其他好的安全特性，首先無(wú)線接入點(diǎn)會(huì)過濾那些對(duì)相關(guān)無(wú)線站點(diǎn)而言毫無(wú)用處的網(wǎng)絡(luò)數(shù)據(jù)，這就意味著大部分有線網(wǎng)絡(luò)數(shù)據(jù)根本不會(huì)以電波的形式發(fā)射出去；其次，無(wú)線網(wǎng)的節(jié)點(diǎn)和接入點(diǎn)有個(gè)與環(huán)境有關(guān)的轉(zhuǎn)發(fā)范圍限制，這個(gè)范圍一般是幾英尺。這使得竊聽者必須處于節(jié)點(diǎn)或接入點(diǎn)的附近。最后，無(wú)線用戶具有流動(dòng)性，他們可能在一次上網(wǎng)時(shí)間內(nèi)由一個(gè)接入點(diǎn)移動(dòng)至另一個(gè)接入點(diǎn)，與之對(duì)應(yīng)，他們進(jìn)行網(wǎng)絡(luò)通信所使用的跳頻序列也會(huì)發(fā)生變化，這使得竊聽?zhēng)缀鹾翢o(wú)可能。

三、總結(jié)

無(wú)論是否有無(wú)線網(wǎng)段，大多數(shù)的局域網(wǎng)都必須要有一定級(jí)別的安全措施。在內(nèi)部好奇心。外部攻擊和電線竊聽面前，甚至有線網(wǎng)都顯得很脆弱。沒有人愿意冒險(xiǎn)將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意攻擊之前。而且，如果您的數(shù)據(jù)相當(dāng)機(jī)密，比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù)，那么，為了確保機(jī)密，您必須采取特殊措施。我們希望您能從上述討論中了解到保障您的整個(gè)網(wǎng)絡(luò)安全的重要性，并且認(rèn)識(shí)到您的局域網(wǎng)無(wú)線網(wǎng)段即或不能提供比有線段更多的保護(hù)，也至少和它相同。

參考文獻(xiàn)：

[1]俞承杭，計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)，機(jī)械工業(yè)出版社，2008-03.

[2]謝希仁，計(jì)算機(jī)網(wǎng)絡(luò)，電子工業(yè)出版社，2008-01.

[3]（美）拉克利(Rackley，S)，無(wú)線網(wǎng)絡(luò)技術(shù)原理與應(yīng)用，電子工業(yè)出版社，2008-07.