淺談無線局域網(wǎng)安全技術(shù)及通信安全對策

姚萍萍　何恩南

【摘 要】本文論述了近年來發(fā)展迅速的無線局域網(wǎng)技術(shù)，介紹了它的發(fā)展歷程、結(jié)構(gòu)、技術(shù)特點(diǎn)和實(shí)際應(yīng)用。此外還介紹了無線局域網(wǎng)所受的安全威脅和防范措施。

【關(guān)鍵詞】無線局域網(wǎng)；AP；VPN；IEEE802.11；WEP

0.前言

在過去的幾年里，信息化應(yīng)用越來越貼近人們的生活。在這個(gè)“網(wǎng)絡(luò)就是計(jì)算機(jī)”的時(shí)代，伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用，以快捷高效，組網(wǎng)靈活為優(yōu)勢的無線網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展。人們正在擺脫網(wǎng)線的束縛，走向沒有拘束的網(wǎng)絡(luò)世界。無線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計(jì)算機(jī)之間的通信，并為通信的移動(dòng)化、個(gè)性化和多媒體應(yīng)用提供了可能。通俗地說，無線局域網(wǎng)（Wireless local-area network，WLAN）就是在不采用傳統(tǒng)電纜線的同時(shí)，提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。

1.無線局域網(wǎng)的安全威脅分析

無線局域網(wǎng)（WLAN）產(chǎn)業(yè)是當(dāng)前整個(gè)數(shù)據(jù)通信領(lǐng)域發(fā)展最快的產(chǎn)業(yè)之一。因其具有靈活性、可移動(dòng)性及較低的投資成本等優(yōu)勢， 無線局域網(wǎng)解決方案作為傳統(tǒng)有線局域網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，獲得了家庭網(wǎng)絡(luò)用戶、中小型辦公室用戶、廣大企業(yè)用戶及電信運(yùn)營商的青睞，得到了快速的應(yīng)用。

由于無線局域網(wǎng)采用公共的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：

（1）常規(guī)安全威脅。

由于無線網(wǎng)絡(luò)只是在傳輸方式上和傳統(tǒng)的有些網(wǎng)絡(luò)有區(qū)別，所以常規(guī)的安全風(fēng)險(xiǎn)如病毒，惡意攻擊，非授權(quán)訪問等都是存在的，這就要求繼續(xù)加強(qiáng)常規(guī)方式上的安全措施。

（2）非常規(guī)安全威脅。

無線網(wǎng)絡(luò)中每個(gè)AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口。由于無線傳輸?shù)奶攸c(diǎn)，對這個(gè)入口的管理不像傳統(tǒng)網(wǎng)絡(luò)那么容易。正因?yàn)槿绱?，未授?quán)實(shí)體可以在公司外部或者內(nèi)部進(jìn)入網(wǎng)絡(luò)：首先，未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò)瀏覽存放在網(wǎng)絡(luò)上的信息，或者是讓網(wǎng)絡(luò)感染上病毒。其次，未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò)，利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的跳板。第三，入侵者對移動(dòng)終端發(fā)動(dòng)攻擊，或?yàn)榱藶g覽移動(dòng)終端上的信息，或?yàn)榱送ㄟ^受危害的移動(dòng)設(shè)備訪問網(wǎng)絡(luò)。第四，入侵者和公司員工勾結(jié)，通過無線交換數(shù)據(jù)。

（3）敏感信息易泄露威脅。

由于電磁波是共享的，所以要竊取信號，并通過竊取信號進(jìn)行解碼特別容易。特別是WLAN默認(rèn)都是不設(shè)置加密措施的，也就是任何能接受到信號的人，無論是公司內(nèi)部還是公司外部都可以進(jìn)行竊聽。根據(jù)802.11b協(xié)議一般AP的傳輸范圍都在100米到300米左右，而且能穿透墻壁，所以傳輸?shù)男畔⒑苋菀妆恍孤ｋm然802.11規(guī)定了WEP加密，但是WEP加密也是不安全的，WEP是IEEE 802.11 WLAN標(biāo)準(zhǔn)的一部分，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。有線網(wǎng)絡(luò)典型地是使用物理控制來阻止非授權(quán)用戶連接到網(wǎng)絡(luò)查看數(shù)據(jù)。

（4）容易入侵威脅。

無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方利用移動(dòng)公司兩個(gè)AP點(diǎn)對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

2.無線局域網(wǎng)的安全防范與對策

無線局域網(wǎng)中主要的安全性考慮包括訪問控制和加密。訪問控制保證敏感數(shù)據(jù)只能由通過認(rèn)證授權(quán)的用戶訪問，加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶接收和理解。通常可采用的防范對策有六種。

2.1 建立MAC地址表，減少非法用戶的接入

如果所在接入小區(qū)接入用戶不多，可通過其提供地唯一合法MAC地址在其接入的核心交換機(jī)上建立MAC地址表，對接入的用戶進(jìn)行驗(yàn)證，以減少非法用戶的接入。同時(shí)，可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游，而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。

2.2 采用有線等效保密改進(jìn)方案（WEP2）

IEEE802.11標(biāo)準(zhǔn)規(guī)定了一種被稱為有線等效保密（WEP）的可選加密方案，其目標(biāo)是為WLAN提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)。WEP在鏈路層采用RC4對稱加密算法，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。有線等效保密（WEP）方案主要用于實(shí)現(xiàn)三個(gè)安全目標(biāo)：接入控制、數(shù)據(jù)保密性和數(shù)據(jù)完整性。然而WEP存在極差的安全性，所以IEEE802.11b提出有線等效保密改進(jìn)方案（WEP2），它與傳統(tǒng)的WEP算法相比較，將WEP加密密鑰的長度加長到104位，初始化向量的長度右24位加長到128位，所以建議使用的WLAN設(shè)備具有WEP2功能。

2.3 采用802.1x 基于端口的認(rèn)證協(xié)議

802.1x為接入控制搭建了一個(gè)新的框架，使得系統(tǒng)可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口?；?02.1x認(rèn)證體系結(jié)構(gòu)，其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認(rèn)證服務(wù)器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS服務(wù)器之間的會話數(shù)據(jù)包。這種認(rèn)證機(jī)制的好處是方便了管理，可以更容易地與現(xiàn)有的資源融合，802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，更適合公共無線接入解決方案。

2.4 在AP點(diǎn)之間構(gòu)建VPN

VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標(biāo)準(zhǔn)定義，但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個(gè)無線網(wǎng)的安全性得到極大的提高，能夠有效地保護(hù)數(shù)據(jù)的完整性、可信性和可確認(rèn)性。

2.5 對SSID進(jìn)行控制

通過對AP點(diǎn)和網(wǎng)卡設(shè)置復(fù)雜的SSID（服務(wù)集標(biāo)識符），并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定，同時(shí)禁止AP向外廣播SSID。

2.6 指定接入、維護(hù)管理規(guī)范

指定嚴(yán)格、規(guī)范、合理的無線局域網(wǎng)接入及管理規(guī)范，在WLAN的設(shè)計(jì)構(gòu)建和維護(hù)過程中，應(yīng)考慮方便集中管理、雙向認(rèn)證、數(shù)據(jù)加密方式等重要因素。要求接入用戶嚴(yán)格遵守管理規(guī)定。

3.結(jié)束語

近年來，無線局域網(wǎng)產(chǎn)品的價(jià)格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動(dòng)互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

【參考文獻(xiàn)】

[1]王欣軒.構(gòu)建CISCO無線局域網(wǎng)（第三版）[M].科學(xué)出版社，2003，4：170-182.

[2]李健東.WLAN的標(biāo)準(zhǔn)與技術(shù)發(fā)展（第二版）[M].中興通訊，2002，8：52-73.