淺談如何確保無線網(wǎng)絡(luò)信息的安全

張永剛

伴隨著無線上網(wǎng)設(shè)備的逐步普及, 現(xiàn)在使用無線局域網(wǎng)的單位是越來越多了，為了讓員工更好的使用網(wǎng)絡(luò),單位一般把無線信號范圍都放的較大。沒有采取任何安全防范措施的無線網(wǎng)絡(luò)自然就會成為信息泄密“通道”。究竟該怎樣才能保護無線局域網(wǎng)的安全，拒絕該網(wǎng)絡(luò)成為對外泄密“通道”呢?其實，可以采取多項限制措施，阻止非法攻擊者隨意通過無線局域網(wǎng)偷竊網(wǎng)絡(luò)中的隱私信息，杜絕外部人員無償?shù)檬褂帽締挝挥邢薜木W(wǎng)絡(luò)資源。

一、對無線設(shè)備進行限制

經(jīng)常采用無線“通道”來上網(wǎng)的朋友都知道，這種上網(wǎng)方式與有線上網(wǎng)方式有很大不同，最明顯的就是無線上網(wǎng)需要“無線熱點”的支持。所謂“無線熱點”，簡單地說能夠提供免費或付費進行無線上網(wǎng)的場所或地點。而在單位中提供無線上網(wǎng)的設(shè)備就是無線路由器，也叫無線接入點，簡稱AP。

如何對無線設(shè)備進行限制呢?難道一定要把本地無線局域網(wǎng)中的AP鎖定起來嗎?其實，無線是不需要接觸的，限制只是在軟件設(shè)置上。事實上，對于許多型號的無線節(jié)點設(shè)備來說，它們在剛剛出廠時使用的缺省密碼幾乎是完全相同的，所以要如果不及時將本地無線局域網(wǎng)中AP密碼更改掉的話，那么一些非法攻擊者可能會非常輕松地用缺省的用戶名以及密碼進入到本地AP上，從而擁有本地無線局域網(wǎng)的所有管理權(quán)限，以至于會產(chǎn)生管理員自己也無法登錄本地無線局域網(wǎng)的尷尬局面。要想限制非法用戶使用本地的無線節(jié)點設(shè)備，必須記得在第一時間對本地的AP進行密碼限制，使用比較復(fù)雜的密碼來替代默認的密碼。

二、對無線網(wǎng)卡進行限制

普通工作站往往要通過無線網(wǎng)卡設(shè)備才能訪問到附近的無線局域網(wǎng)網(wǎng)絡(luò)，而無線網(wǎng)卡設(shè)備與有線網(wǎng)卡設(shè)備一樣，都通過MAC地址對自己的“身份”進行標識，可以說MAC地址是網(wǎng)卡設(shè)備的唯一標識。因此，要想拒絕非法用戶通過無線網(wǎng)卡設(shè)備接入到本地無線網(wǎng)絡(luò)中時，完全可以將本地工作站的無線網(wǎng)卡設(shè)備MAC地址手工加入到無線路由器設(shè)備允許訪問范圍中，而那些沒有加入允許訪問范圍中的MAC地址所對應(yīng)的無線網(wǎng)卡設(shè)備自然就不能訪問無線路由器設(shè)備了。

在對無線網(wǎng)卡設(shè)備進行限制之時，需要先統(tǒng)計本單位工作站使用的無線網(wǎng)卡設(shè)備MAC地址，然后將本地允許使用的MAC地址列表加入到AP的防火墻設(shè)置當中,并且只允許列表當中的地址訪問無線網(wǎng)絡(luò)，使其生效。如此一來非法攻擊者的網(wǎng)卡設(shè)備或沒有加入到地址過濾列表中的無線網(wǎng)卡設(shè)備就不能訪問無線網(wǎng)絡(luò)了，那樣的話無線網(wǎng)絡(luò)就不會成為對外泄露信息的“通道”了。

三、對傳輸數(shù)據(jù)進行限制

通過無線局域網(wǎng)傳輸?shù)臄?shù)據(jù)信號在空中來回傳輸，要是不對它們進行加密限制的話，稍微懂得無線網(wǎng)絡(luò)知識的非法攻擊者都能輕松地將正在傳輸?shù)臄?shù)據(jù)信號捕獲和破解掉，如此一來通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信號就可能被非法攻擊者竊取到，為此有必要對傳輸?shù)臄?shù)據(jù)信號進行加密限制，以便阻止非法攻擊者輕易竊取到其中的內(nèi)容。

目前，最常使用的數(shù)據(jù)加密限制方式為WEP加密技術(shù)，這種加密技術(shù)能夠?qū)γ恳粋€連接無線網(wǎng)絡(luò)的用戶進行身份識別，并且對數(shù)據(jù)內(nèi)容直接進行加密限制。不過，在默認狀態(tài)下不少無線節(jié)點設(shè)備都會禁止使用WEP加密技術(shù)，那樣一來非法攻擊者就能輕松掃描到各類無線網(wǎng)絡(luò)信息，同時能將捕獲到的無線數(shù)據(jù)內(nèi)容輕松破解掉，所以必須及時修改無線節(jié)點設(shè)備的數(shù)據(jù)加密參數(shù)，確保對無線上網(wǎng)信號進行安全加密。AP中設(shè)置好后,還需要打開本地工作站的無線網(wǎng)絡(luò)連接屬性設(shè)置界面，并且在該設(shè)置界面中設(shè)置好WEP加密內(nèi)容，才能夠確保本地工作站順利訪問單位的無線局域網(wǎng)網(wǎng)絡(luò)。

四、對SSID標識進行限制

SSID標識其實指的就是本地無線局域網(wǎng)網(wǎng)絡(luò)的名稱，該名稱的作用就是用來區(qū)分不同無線網(wǎng)絡(luò)的。一般情況下，無線節(jié)點設(shè)備在出廠時都有一個默認的SSID標識，如果不及時修改這種SSID標識信息，那么本地的無線局域網(wǎng)網(wǎng)絡(luò)可能就會與其他無線網(wǎng)絡(luò)發(fā)生沖突，引起的直接后果是普通工作站一不小心就能登錄連接到其他無線網(wǎng)絡(luò)中，很顯然不對SSID標識進行限制，也會給無線網(wǎng)絡(luò)的使用帶來安全麻煩。

此外，還要記得對本地無線網(wǎng)絡(luò)的SSID標識傳播方式進行合適設(shè)置，因為無線節(jié)點設(shè)備在缺省狀態(tài)下會將SSID設(shè)置廣播傳送方式，在這種工作狀態(tài)下，本地無線局域網(wǎng)中的所有無線工作站都能利用信號掃描手段搜索到本地網(wǎng)絡(luò)的SSID名稱，所以我們必須及時調(diào)整SSID默認名稱同時禁止SSID標識進行廣播。這樣的話一方面本地無線網(wǎng)絡(luò)不會和其他無線網(wǎng)絡(luò)發(fā)生沖突，另外一方面也能有效防止非法攻擊者輕易搜索到本地無線網(wǎng)絡(luò)的SSID名稱。

利用上面的方法做完后，基本上來說，別有用心或者不合法的用戶是不能使用本地的無線網(wǎng)絡(luò)了，一般可以認為無線網(wǎng)絡(luò)是安全的。

（作者單位：河南省鞏義市第一中等專業(yè)學校）