淺談無(wú)線網(wǎng)絡(luò)安全

摘要：無(wú)線網(wǎng)絡(luò)技術(shù)具有可移動(dòng)性、安裝簡(jiǎn)便、高靈活性和擴(kuò)展能力，為人們帶來(lái)極大的方便的同時(shí)，也導(dǎo)致了在有線網(wǎng)絡(luò)中不存在的安全問(wèn)題。安全問(wèn)題已成為阻礙無(wú)線網(wǎng)絡(luò)技術(shù)應(yīng)用普及的一個(gè)主要障礙，本文就此進(jìn)行簡(jiǎn)要探討。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)安全問(wèn)題建議

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-198X(2012)03(c)-0000-00

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)覆蓋全球，在有線網(wǎng)絡(luò)廣泛應(yīng)用的同時(shí)，組網(wǎng)靈活、方便快捷的無(wú)線網(wǎng)絡(luò)技術(shù)也在逐漸普及，現(xiàn)在不少單位、家庭也能自己組建小型的無(wú)線局域網(wǎng)。但不可忽視的是，無(wú)線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到入侵，因?yàn)楸还舳说碾娔X與攻擊端的電腦并不需要網(wǎng)線在設(shè)備上的連接。無(wú)線網(wǎng)絡(luò)的安全管理，是現(xiàn)在無(wú)線網(wǎng)絡(luò)安裝時(shí)遇到的主要問(wèn)題，合理配置無(wú)線網(wǎng)絡(luò)，使之能夠安全地工作，更好地發(fā)揮無(wú)線網(wǎng)絡(luò)的優(yōu)勢(shì)，是值得我們關(guān)注的重要問(wèn)題。

1無(wú)線網(wǎng)絡(luò)中的不安全因素

1.1無(wú)線網(wǎng)絡(luò)隱蔽性差

無(wú)線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳順的開放式物理系統(tǒng)，一般采用2.4-2.4835GHz頻道范圍內(nèi)傳輸信號(hào)，肉眼看不到信號(hào)傳輸過(guò)程，但只要擁有一臺(tái)具有無(wú)線網(wǎng)卡的電腦，黑客可能很容易登錄到無(wú)線網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的連接。

1.2無(wú)線竊聽

在無(wú)線網(wǎng)絡(luò)中所有的通信內(nèi)容都是通過(guò)無(wú)線信道傳送的，任何具有適當(dāng)無(wú)線設(shè)備的人均可通過(guò)竊聽無(wú)線信道而獲得所需信息。對(duì)于無(wú)線局域網(wǎng)其通信內(nèi)容更容易被竊聽，雖然無(wú)線局域網(wǎng)通信設(shè)備的發(fā)射功率不是很高，通信距離有限，但實(shí)驗(yàn)證明通過(guò)高增益天線在其規(guī)定的通信距離外仍可有效的竊聽。

1.3無(wú)線網(wǎng)絡(luò)WEP密鑰易被破解

無(wú)線網(wǎng)絡(luò)較多采用了安全防范性能一般的WEP協(xié)議，設(shè)置了WEP密鑰，對(duì)無(wú)線上網(wǎng)信號(hào)進(jìn)行加密傳輸?？墒乾F(xiàn)在的網(wǎng)上“無(wú)線蹭網(wǎng)”秘笈有很多，破解密碼只需10分鐘，還有一些“無(wú)線蹭網(wǎng)器”可以下載，非法攻擊者能通過(guò)這些專業(yè)的攻擊工具輕松破解密信號(hào)，從而非常容易地截取上網(wǎng)地址、網(wǎng)絡(luò)標(biāo)識(shí)名稱、無(wú)線頻道信息、WEP密鑰內(nèi)容等信息，非法攻擊者就能方便地對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行偷竊隱私或其他非法入侵操作了。

1.4拒絕服務(wù)攻擊

由于無(wú)線網(wǎng)絡(luò)傳輸介質(zhì)的特殊性，最常用無(wú)線網(wǎng)絡(luò)協(xié)議中的一個(gè)缺陷可以讓設(shè)備干擾采用低功率信號(hào)網(wǎng)絡(luò)上的其他設(shè)備，遠(yuǎn)程攻擊者可能利用漏洞對(duì)設(shè)備進(jìn)行拒絕服務(wù)攻擊。拒絕服務(wù)攻擊即讓目標(biāo)主機(jī)停止提供服務(wù)或資源訪問(wèn)，是黑客常用的攻擊手段之一，通過(guò)讓不同的設(shè)備使用相同的頻率，從而造成無(wú)線頻譜內(nèi)出現(xiàn)沖突；發(fā)送大量非法（或合法）的身份驗(yàn)證請(qǐng)求或攻擊者接管AP，不把通信量傳遞到恰當(dāng)?shù)哪康牡?，那么所有的網(wǎng)絡(luò)用戶都將無(wú)法使用網(wǎng)絡(luò)。

2加強(qiáng)無(wú)線網(wǎng)絡(luò)安全管理的幾點(diǎn)建議

2.1提高使用者無(wú)線網(wǎng)絡(luò)安全意識(shí)

任何網(wǎng)絡(luò)安全技術(shù)都是在人使用下發(fā)揮作用的，因此，第一道防線就是使用者，只有每一個(gè)使用者加強(qiáng)無(wú)線網(wǎng)絡(luò)安全意識(shí)，才能真正實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全，否則，黑客或攻擊者一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。在此基礎(chǔ)上，要注意不能讓非專業(yè)人員構(gòu)建無(wú)線網(wǎng)絡(luò)，盡管現(xiàn)在無(wú)線局域網(wǎng)的構(gòu)建已經(jīng)相當(dāng)方便，非專業(yè)人員可以自行安裝無(wú)線路由器和接入點(diǎn)設(shè)備，但是，他們?cè)诎惭b過(guò)程中很少考慮到網(wǎng)絡(luò)的安全性，只要通過(guò)網(wǎng)絡(luò)探測(cè)工具掃描就能夠給黑客留下攻擊的后門。因而，在沒(méi)有專業(yè)系統(tǒng)管理員同意和參與的情況下，要限制無(wú)線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無(wú)線網(wǎng)絡(luò)的安全。

2.2更改無(wú)線路由器默認(rèn)設(shè)置

無(wú)線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無(wú)線路由器。同一品牌設(shè)備出廠時(shí)用戶名、密碼、IP地址、SSID等默認(rèn)值都是相同的，如果不修改這些默認(rèn)的設(shè)置，那么入侵者則非常容易發(fā)現(xiàn)設(shè)備并進(jìn)入管理界面，獲得網(wǎng)絡(luò)的全面信息和控制權(quán)限。因此，這是無(wú)線網(wǎng)絡(luò)安全設(shè)防要把好的重要“關(guān)口”。我們修改了上面所說(shuō)的四項(xiàng)默認(rèn)值，這不僅對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備有用，對(duì)其他共享上網(wǎng)的有線設(shè)備也起到同等效用。

2.3使用適當(dāng)?shù)募用芗夹g(shù)

WEP加密協(xié)議有一些先天設(shè)計(jì)上的問(wèn)題，這些問(wèn)題可能導(dǎo)致在無(wú)線網(wǎng)絡(luò)上傳輸?shù)馁Y料泄漏，但是選用較長(zhǎng)的金鑰有助于資料的保密。建議使用網(wǎng)絡(luò)設(shè)備可以使用的最長(zhǎng)金鑰或使用基于802.1X.EAP和Wi-Fi加密的加密技術(shù)。使用基于802.1X的可擴(kuò)展認(rèn)證協(xié)議（EAP）和Wi-Fi加密技術(shù)可以提供基于計(jì)算機(jī)和基于用戶的網(wǎng)絡(luò)訪問(wèn)控制，從而防止未授權(quán)的用戶登錄授權(quán)的計(jì)算機(jī)中并訪問(wèn)網(wǎng)絡(luò)，并且允許透明網(wǎng)絡(luò)用戶的歷史記錄，允許網(wǎng)絡(luò)驗(yàn)證計(jì)算機(jī)的身份，使用公鑰身份驗(yàn)證方案，提供更高的安全級(jí)別；身份驗(yàn)證對(duì)用戶而言是透明的，不會(huì)受到猜測(cè)密碼和密碼共享問(wèn)題影響，并且不會(huì)引起網(wǎng)絡(luò)瓶頸問(wèn)題。

2.4用戶劃分

依據(jù)我們國(guó)內(nèi)的無(wú)線局域網(wǎng)現(xiàn)狀，按照應(yīng)用規(guī)模我們應(yīng)把其用戶大致分文以下四種類型：個(gè)人及家庭用戶：擁有一臺(tái)或多臺(tái)電腦，對(duì)網(wǎng)絡(luò)安全要求不是特別高，此類用戶一般會(huì)使用集成無(wú)線功能的寬帶路由器。中小企業(yè)用戶：這類用戶的無(wú)線網(wǎng)絡(luò)大部分由自己或系統(tǒng)集成商搭建，對(duì)網(wǎng)絡(luò)安全有一定的要求，網(wǎng)絡(luò)規(guī)模差異很大，網(wǎng)絡(luò)的設(shè)計(jì)水平和安全狀況也參差不齊。熱點(diǎn)應(yīng)用或公共場(chǎng)所：主要指咖啡廳，酒店，醫(yī)院，商場(chǎng)，車站等場(chǎng)所，希望網(wǎng)絡(luò)發(fā)覆蓋面積大，這些網(wǎng)絡(luò)由用戶自己或系統(tǒng)集成商搭建，總的來(lái)說(shuō)網(wǎng)絡(luò)的利用率不高。大型企業(yè)和政府：為提升城市形象或出于ISP之間的競(jìng)爭(zhēng)等目的，目前涌現(xiàn)了大批的機(jī)場(chǎng)覆蓋，無(wú)線社區(qū)，無(wú)線高校，甚至無(wú)線城市，這類大型網(wǎng)絡(luò)一般是由各大運(yùn)營(yíng)商進(jìn)行部署，從設(shè)計(jì)到實(shí)施都比較系統(tǒng)。

2.5建立防火墻區(qū)隔網(wǎng)段

許多企業(yè)的無(wú)線網(wǎng)絡(luò)使用者直接將無(wú)線網(wǎng)絡(luò)基地臺(tái)放置在公司內(nèi)部網(wǎng)絡(luò)方便大家使用，這是一個(gè)相當(dāng)危險(xiǎn)的組網(wǎng)方式。由于無(wú)線網(wǎng)絡(luò)很難進(jìn)行使用者的控管授權(quán)，一般建議將通過(guò)無(wú)線網(wǎng)絡(luò)連接的主機(jī)均視為不信任的主機(jī)。無(wú)線網(wǎng)絡(luò)的管理應(yīng)該對(duì)比其他遠(yuǎn)程連接網(wǎng)絡(luò)（remote access network）例如撥接網(wǎng)絡(luò)的管理方式來(lái)管理。因此，建議將無(wú)線網(wǎng)絡(luò)利用防火墻隔離成一個(gè)網(wǎng)絡(luò)區(qū)段，對(duì)于由無(wú)線網(wǎng)絡(luò)進(jìn)入公司內(nèi)部使用資源的行為進(jìn)行控管，同時(shí)應(yīng)視公司安全政策，及時(shí)調(diào)整無(wú)線網(wǎng)絡(luò)隔離區(qū)段可使用的公司內(nèi)外網(wǎng)絡(luò)資源。

總之，隨著無(wú)線網(wǎng)絡(luò)產(chǎn)品的推廣，無(wú)線網(wǎng)絡(luò)的應(yīng)用也越來(lái)越多，特別是筆記本電腦的普及，無(wú)線網(wǎng)卡成了標(biāo)準(zhǔn)的配置，通過(guò)組建無(wú)線網(wǎng)絡(luò)來(lái)訪問(wèn)因特網(wǎng)已經(jīng)成為一個(gè)趨勢(shì)。但在廣大家庭以及企業(yè)用戶感受到無(wú)線網(wǎng)絡(luò)使用方便快捷的同時(shí)，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題也尤顯突出，因此建議政府相關(guān)部門建立長(zhǎng)效監(jiān)控機(jī)制，定期檢查，對(duì)私自搭建、無(wú)規(guī)范設(shè)置的無(wú)線接入隱患應(yīng)給予及時(shí)排除、沒(méi)收、警告等強(qiáng)制手段，使用者個(gè)人也要增強(qiáng)安全防范意識(shí)，才能最終保證無(wú)線網(wǎng)絡(luò)的使用安全。

參考文獻(xiàn)

[1] 楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)[M].北京：電子工業(yè)出版社，2008.

[2] 馬建峰，吳振強(qiáng).無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京:高等教育出版社，2008

[3] 黃煜.無(wú)線網(wǎng)絡(luò)安全及解決方案探討[J].科技經(jīng)濟(jì)市場(chǎng).2009(9)

[4] 張君陽(yáng)，沈繼濤無(wú)線網(wǎng)絡(luò)安全威脅及應(yīng)對(duì)策略[J].福建電腦.2009(7)

[5] 王元，王東，潘洪友.無(wú)線網(wǎng)絡(luò)安全威脅與防范措施綜述[J].中國(guó)無(wú)線電.2011(5)