提高無(wú)線(xiàn)局域網(wǎng)安全性的有效措施

白學(xué)清

（中央財(cái)經(jīng)大學(xué)教學(xué)技術(shù)服務(wù)中心北京100081）

1 引言

當(dāng)今世界已經(jīng)進(jìn)入網(wǎng)絡(luò)時(shí)代，繼筆記本電腦普及之后，平板電腦和智能手機(jī)等移動(dòng)終端已經(jīng)成為人們工作生活中必不可少的部分。移動(dòng)的終端設(shè)備需要靈活方便的網(wǎng)絡(luò)，很多辦公室、會(huì)議室和家庭都通過(guò)增加一臺(tái)小型無(wú)線(xiàn)路由器，架設(shè)了自己的無(wú)線(xiàn)局域網(wǎng)。最近出現(xiàn)的迷你無(wú)線(xiàn)路由器，更是小巧到可以隨身攜帶，將3G轉(zhuǎn)換為WiFi信號(hào)，隨時(shí)隨地為多臺(tái)移動(dòng)終端提供一個(gè)小型無(wú)線(xiàn)網(wǎng)絡(luò)。無(wú)線(xiàn)網(wǎng)比有線(xiàn)網(wǎng)更方便易用，而無(wú)線(xiàn)網(wǎng)面臨的安全威脅也比有線(xiàn)網(wǎng)更嚴(yán)重。

2 無(wú)線(xiàn)局域網(wǎng)的特殊性與安全威脅

與有線(xiàn)網(wǎng)使用線(xiàn)纜作為傳輸介質(zhì)不同,無(wú)線(xiàn)網(wǎng)用射頻進(jìn)行數(shù)據(jù)傳輸。傳輸介質(zhì)的特殊性，使得無(wú)線(xiàn)網(wǎng)面臨著特殊的安全威脅[1]：①射頻沒(méi)有邊界，不需要通過(guò)線(xiàn)纜接入固定的信息面板，在射頻信號(hào)覆蓋范圍內(nèi)的任何人都可以訪(fǎng)問(wèn)通過(guò)射頻介質(zhì)傳輸?shù)臄?shù)據(jù)。這使得無(wú)線(xiàn)網(wǎng)容易受到非法接入的威脅；②任何基于電波的技術(shù)都有其天然的局限性，就是容易受到干擾，射頻信號(hào)也不例外。無(wú)線(xiàn)網(wǎng)受到的信號(hào)干擾威脅也比有線(xiàn)網(wǎng)要嚴(yán)重得多[2]。防范無(wú)線(xiàn)局域網(wǎng)的安全威脅，主要從防范非法接入與防止信號(hào)干擾2個(gè)方面入手。

3 防范非法接入無(wú)線(xiàn)網(wǎng)

成功架設(shè)和配置一個(gè)便利又安全的無(wú)線(xiàn)局域網(wǎng)，除了要讓合法設(shè)備接入網(wǎng)絡(luò)之外，還必須能攔住非法設(shè)備接入。下面介紹幾種防范非法接入的有效措施。

3.1 修改并隱藏SSID

服務(wù)集標(biāo)識(shí)符(SSID)是區(qū)分不同的無(wú)線(xiàn)網(wǎng)絡(luò)的唯一標(biāo)識(shí)符[3]，也就是俗稱(chēng)的"網(wǎng)絡(luò)名稱(chēng)"。用戶(hù)終端設(shè)備進(jìn)行無(wú)線(xiàn)網(wǎng)搜索時(shí)會(huì)得到無(wú)線(xiàn)網(wǎng)覆蓋區(qū)域的網(wǎng)絡(luò)名稱(chēng)列表，他們就是SSID。SSID的命名可包含數(shù)字和字母的字符串，區(qū)分大小寫(xiě)，長(zhǎng)度一般為2～32個(gè)字符。無(wú)線(xiàn)路由器出廠(chǎng)時(shí)有一個(gè)缺省SSID名稱(chēng),一般以設(shè)備型號(hào)或者品牌名稱(chēng)命名。

基于下面3個(gè)理由用戶(hù)需要修改其SSID。①在同一個(gè)無(wú)線(xiàn)網(wǎng)覆蓋區(qū)域內(nèi)，SSID不能重復(fù)，如果不修改設(shè)備缺省SSID,可能會(huì)出現(xiàn)SSID重名沖突,影響使用；②修改成個(gè)性化命名的SSID方便記憶和查找網(wǎng)絡(luò)；③出于安全考慮，防止網(wǎng)絡(luò)名稱(chēng)被非法入侵者猜出，應(yīng)該放棄設(shè)備缺省SSID，使用自主命名。修改缺省SSID并將其隱藏是提高無(wú)線(xiàn)網(wǎng)安全性的有效措施。無(wú)線(xiàn)路由器缺省狀態(tài)的SSID設(shè)置為允許廣播，設(shè)備工作時(shí)會(huì)不斷發(fā)出SSID廣播信息，使無(wú)線(xiàn)網(wǎng)覆蓋環(huán)境下的用戶(hù)終端設(shè)備都可以搜索到該網(wǎng)絡(luò)名稱(chēng)。該特性雖然有利于合法用戶(hù)找到網(wǎng)絡(luò)，也為非法入侵提供了方便。將SSID設(shè)置為禁止廣播，無(wú)線(xiàn)路由器停止發(fā)送廣播信息，終端設(shè)備的網(wǎng)絡(luò)搜索列表中不再出現(xiàn)該網(wǎng)絡(luò)名稱(chēng)。這樣該網(wǎng)絡(luò)就像隱身了一樣，不知其名稱(chēng)的人不能發(fā)現(xiàn)它的存在，是防止非法入侵的非常簡(jiǎn)便有效的辦法。對(duì)合法用戶(hù)而言，仍然可以通過(guò)手動(dòng)輸入正確的網(wǎng)絡(luò)名稱(chēng)，找到并接入該網(wǎng)絡(luò)。而且大多數(shù)終端設(shè)備都有記住網(wǎng)絡(luò)名稱(chēng)的功能，只需輸入一次，再次使用時(shí)能自動(dòng)查找到可用的網(wǎng)絡(luò)。在大大提高安全性的同時(shí)，對(duì)無(wú)線(xiàn)網(wǎng)接入的便捷性影響很小。

3.2 使用正確的安全驗(yàn)證方式

無(wú)線(xiàn)網(wǎng)協(xié)議引入了多種身份驗(yàn)證機(jī)制，用戶(hù)在設(shè)置無(wú)線(xiàn)路由器，或者在使用終端設(shè)備接入無(wú)線(xiàn)網(wǎng)時(shí)也被要求選擇安全性類(lèi)型。常見(jiàn)的安全類(lèi)型有：開(kāi)放式（不加密）、WEP、WPA個(gè)人級(jí)、WPA2個(gè)人級(jí)、WEP企業(yè)級(jí)、WPA企業(yè)級(jí)和WPA2企業(yè)級(jí)[4]，開(kāi)放式一般不會(huì)使用。WEP（有線(xiàn)等效保密協(xié)議）、WPA（采用TKIP臨時(shí)密鑰完整性協(xié)議）和WPA2（采用AES高級(jí)加密標(biāo)準(zhǔn)）三者的安全性是逐步上升的，目前最安全的加密模式是WPA2。WEP的加密算法容易被破解，一般不要使用。但是需要注意的是，有些早期的無(wú)線(xiàn)網(wǎng)卡不支持WPA和WPA2，只能使用WEP。僅在硬件不支持的情況下使用WEP，只要設(shè)備支持，都應(yīng)該使用WPA2。另外個(gè)人級(jí)和企業(yè)級(jí)的區(qū)別在于是否擁有專(zhuān)門(mén)的身份驗(yàn)證服務(wù)器，個(gè)人級(jí)的驗(yàn)證是直接在無(wú)線(xiàn)路由器上完成的，企業(yè)級(jí)的驗(yàn)證工作由專(zhuān)門(mén)的身份驗(yàn)證服務(wù)器完成。沒(méi)有設(shè)置專(zhuān)門(mén)的身份驗(yàn)證服務(wù)器的無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)該使用WPA2個(gè)人級(jí)，具有專(zhuān)門(mén)的身份驗(yàn)證服務(wù)器的無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)該使用WPA2企業(yè)級(jí)。

3.3 MAC地址綁定

MAC地址綁定是局域網(wǎng)安全策略的常用手段，同樣可以在提升無(wú)線(xiàn)網(wǎng)絡(luò)安全性方面發(fā)揮作用。MAC地址也叫物理地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫(xiě)在硬件內(nèi)部，每個(gè)可無(wú)線(xiàn)上網(wǎng)的終端設(shè)備都有一個(gè)MAC地址。無(wú)線(xiàn)在路由器上啟用MAC地址綁定功能,導(dǎo)入允許接入該網(wǎng)絡(luò)的終端設(shè)備的MAC地址列表，能從根本上拒絕MAC地址列表以外的設(shè)備接入該無(wú)線(xiàn)網(wǎng)絡(luò)。綁定MAC地址的是可靠性非常高的網(wǎng)絡(luò)安全策略，不過(guò)其靈活性略有不足。在設(shè)置無(wú)線(xiàn)路由器時(shí)，需要提前獲取所有允許接入的終端設(shè)備的MAC列表，將其寫(xiě)入無(wú)線(xiàn)路由器。如果出現(xiàn)新增的終端設(shè)備，也必須先在無(wú)線(xiàn)路由器上添加該新設(shè)備的MAC地址許可，之后該設(shè)備才能接入網(wǎng)絡(luò)。這種辦法成功阻止了非法設(shè)備接入，但也給合新設(shè)備接入帶來(lái)了障礙，在具體使用時(shí)需要在安全性與便利性之間進(jìn)行平衡。因此，這種方法一般適合終端設(shè)備比較固定，對(duì)安全性要求比較高的無(wú)線(xiàn)網(wǎng)絡(luò)使用。

3.4 關(guān)閉DHCP服務(wù)

DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議，網(wǎng)絡(luò)中的設(shè)備可以從DHCP服務(wù)器中獲取IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)以及其他IP網(wǎng)絡(luò)參數(shù)。關(guān)閉DHCP服務(wù)是局域網(wǎng)安全策略的常用手段，同樣可以用在無(wú)線(xiàn)網(wǎng)上。關(guān)閉DHCP服務(wù)后，終端設(shè)備不能自動(dòng)獲得IP地地址等信息，需要手動(dòng)配置[5]。這種辦法有助于阻止非法設(shè)備接入，但合法用戶(hù)也不能自動(dòng)獲取IP地址信息，需要手動(dòng)輸入，這對(duì)網(wǎng)絡(luò)接入的便利性有一定影響，因此適用于規(guī)模不大，終端設(shè)備比較固定的無(wú)線(xiàn)局域網(wǎng)環(huán)境。

3.5 更改無(wú)線(xiàn)路由器管理端的默認(rèn)設(shè)置

在防范無(wú)線(xiàn)網(wǎng)安全威脅方面，許多使用者都會(huì)修改缺省網(wǎng)絡(luò)名稱(chēng)并設(shè)置密碼，阻止非法接入，而無(wú)線(xiàn)路由器管理端的安全問(wèn)題卻容易被忽視。無(wú)線(xiàn)路由器往往沒(méi)有專(zhuān)門(mén)的控制接口和線(xiàn)纜，通常采用web瀏覽器進(jìn)行管理。不同品牌和型號(hào)的無(wú)線(xiàn)路由器管理地址、缺省用戶(hù)名和密碼非常相似，如多個(gè)路由器廠(chǎng)商的出廠(chǎng)管理地址是192.168.1.1或者192.168.0.1，缺省用戶(hù)名是admin，默認(rèn)密碼是admin或者為空等。如果不修改管理端的默認(rèn)設(shè)置，非常容易被猜出。管理端的大門(mén)一旦被非法打開(kāi)，整個(gè)無(wú)線(xiàn)局域網(wǎng)完全暴露，其危害是最為嚴(yán)重的。因此，在第一次啟用無(wú)線(xiàn)路由器進(jìn)行管理設(shè)置時(shí)，就應(yīng)該立即更改管理用戶(hù)名和密碼，必要時(shí)也應(yīng)該更改管理地址，切不可長(zhǎng)期使用缺省設(shè)置。

4 防止信號(hào)干擾

除非法接入威脅外，信號(hào)干擾也是無(wú)線(xiàn)網(wǎng)需要防范的安全問(wèn)題。射頻信號(hào)容易受到障礙物和同頻段設(shè)備的影響，需要采取正確的措施防止信號(hào)干擾。

4.1 合理選址

因射頻信號(hào)會(huì)受到障礙物的影響，在放置無(wú)線(xiàn)接入點(diǎn)或無(wú)線(xiàn)路由器時(shí)，需正確選址。①充分利用射頻信號(hào)圓形覆蓋的規(guī)律，盡量放置在使用區(qū)域的中心位置；②墻壁對(duì)射頻信號(hào)影響很大，要盡量減少穿墻次數(shù)；③避免較障礙物的干擾，應(yīng)放置高于障礙物的位置。

4.2 避開(kāi)同頻段設(shè)備

無(wú)線(xiàn)局域網(wǎng)使用的是免授權(quán)的工業(yè)、科學(xué)和醫(yī)療（ISM）頻段的射頻（RF）作為傳輸介質(zhì)。常用的IEEE802.11b/g標(biāo)準(zhǔn)使用2.4 GHz頻段，最新的802.11 n兼容2.4 GHz和5 GHz頻段。無(wú)線(xiàn)網(wǎng)主要使用的2.4 GHz頻段[6]，與無(wú)繩電話(huà)、藍(lán)牙設(shè)備和微波爐頻段相同。當(dāng)同頻段的設(shè)備距離較近時(shí)，相互干擾非常嚴(yán)重。在部署無(wú)線(xiàn)接入點(diǎn)或無(wú)線(xiàn)路由器時(shí)，要盡量避開(kāi)這些同頻段設(shè)備。在使用無(wú)線(xiàn)網(wǎng)時(shí)，終端設(shè)備也盡可能遠(yuǎn)離這些容易造成干擾的設(shè)備。

5 結(jié)束語(yǔ)

從防范非法接入與防止信號(hào)干擾2個(gè)方面入手，將隱藏SSID、合理設(shè)置安全驗(yàn)證方式、更改路由器管理端默認(rèn)設(shè)置、合理選址和避開(kāi)同頻段設(shè)備等措施綜合使用，能有效提高無(wú)線(xiàn)局域網(wǎng)的安全性。隨著無(wú)線(xiàn)網(wǎng)技術(shù)的不斷發(fā)展，無(wú)線(xiàn)城域網(wǎng)和下一代移動(dòng)互聯(lián)網(wǎng)開(kāi)始進(jìn)入人們的生活并將得到越來(lái)越廣泛的應(yīng)用。在享受無(wú)所不在的便利網(wǎng)絡(luò)的同時(shí)，無(wú)線(xiàn)網(wǎng)安全性問(wèn)題面臨更加復(fù)雜和的嚴(yán)峻的挑戰(zhàn)，針對(duì)新問(wèn)題的防范措施也需要進(jìn)一步研究和探索。

[1]林 磊,肖 鹍.W LAN技術(shù)的發(fā)展應(yīng)用及安全問(wèn)題研究[J].科技信息,2012(3):150.

[2]任 偉.無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題初探[J].信息網(wǎng)絡(luò)安全,2012(1):11-13.

[3]BRIAN B,CHRISTIAN B,TONY B.無(wú)線(xiàn)網(wǎng)絡(luò)安全[M].楊青,譯.北京:科學(xué)出版社,2009.

[4]W AYNEL.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA E x ploration:LAN交換和無(wú)線(xiàn)[M].北京:人民郵電出版社,2009.3

[5]王 元,王 東,潘宏友.無(wú)線(xiàn)網(wǎng)絡(luò)安全威脅與防范措施綜述[J].中國(guó)無(wú)線(xiàn)電,2011(5):65-66.