無線網(wǎng)絡的安全問題及預防犯罪策略

唐劍剛

(云南警官學院，云南·昆明 650223)

無線網(wǎng)絡的安全問題及預防犯罪策略

唐劍剛

(云南警官學院，云南·昆明 650223)

無線網(wǎng)絡WLAN作為有線網(wǎng)絡的補充，彌補了有線網(wǎng)絡不足。隨著無線網(wǎng)絡的廣泛應用，出現(xiàn)了許多安全問題:網(wǎng)絡設備未設防;WLAN覆蓋設計不合理;無線網(wǎng)絡監(jiān)聽技術(shù)的存在;WLAN中合法終端因素等。要預防無線網(wǎng)絡導致犯罪，需禁用DHCP服務器;過濾物理地址 (MAC);使用網(wǎng)絡通信加密技術(shù);布設防火墻、入侵檢測系統(tǒng);設置高強度的登陸密碼;隱藏甚至關(guān)閉SSID等。

無線網(wǎng)絡;安全問題;預防犯罪;策略

一、網(wǎng)絡犯罪概述

計算機網(wǎng)絡犯罪是犯罪嫌疑人運用計算機作為主要工具，通過非法入侵網(wǎng)絡對用戶的信息或系統(tǒng)的安全實施攻擊，并破壞或利用網(wǎng)絡實施其他犯罪行為，依據(jù)現(xiàn)行法律承擔刑事責任的犯罪行為。

隨著筆記本、智能手機等各種形式的無線終端設備的廣泛運用，無線網(wǎng)絡 (WLAN)的應用也急劇增長，無線網(wǎng)絡作為有線網(wǎng)絡的補充，彌補了有線網(wǎng)絡在全方位覆蓋、不可移動方面的缺點。無線網(wǎng)絡帶來便捷的同時，安全威脅也在不斷升級，引發(fā)的相關(guān)犯罪案件也頻頻發(fā)生，導致用戶信息泄漏、賬號密碼被盜、私密信息被公開、非法言論無源頭等。

二、無線網(wǎng)絡存在的安全問題

由于入侵無線網(wǎng)絡的方式各異，除了應當對無線網(wǎng)絡進行周密防范外，也建議用戶經(jīng)常檢測網(wǎng)絡可能存在的安全隱患。在司法實踐中，無線網(wǎng)絡的安全隱患主要有以下幾方面。

(一)網(wǎng)絡設備未設防

無經(jīng)驗、粗心大意的無線網(wǎng)絡管理員在構(gòu)建WLAN網(wǎng)絡過程中，未對設備的基本設置作修改，而是繼續(xù)沿用設備的出廠默認設置。如果無線路由器、AP未進行配置修改，黑客只要進入到WLAN的覆蓋范圍，通過嘗試設備的默認配置參數(shù)就能順利入侵該網(wǎng)絡。另外，目前常用的各種操作系統(tǒng)具有不限連接零配置功能，如Windows、Linux、IOS等，其能夠自動搜索周圍Wi－Fi信號自動嘗試連接的功能，因此，當無線終端只要進入WLAN的覆蓋范圍，就能自動建立連接，黑客就容易入侵目標網(wǎng)絡，獲取全面的用戶信息。

(二)WLAN覆蓋設計不合理

在無線網(wǎng)絡設計初期應合理選擇無線AP的發(fā)射功率和天線增益性能。雖然無線AP、高增益能提高WLAN的覆蓋范圍，但是如果無線AP的布局、位置設計不合理，就可能導致無線信號超出需求的范圍，從而引發(fā)信息外泄，給犯罪分子可乘之機。

(三)無線網(wǎng)絡監(jiān)聽技術(shù)的存在

網(wǎng)絡監(jiān)聽技術(shù)設計的目的本來是方便網(wǎng)絡管理員對數(shù)據(jù)通信進行監(jiān)控，并及時發(fā)現(xiàn)網(wǎng)絡異常和不安全因素，但是，非法入侵者變相將其作為獲取信息的手段，黑客通過運行混雜模式 (Promiscuous Mode)網(wǎng)卡實施網(wǎng)絡監(jiān)聽活動，并從中截獲賬號、口令等信息。黑客通過網(wǎng)絡監(jiān)聽取得WLAN中合法終端信息，包括MAC地址、DNS、IP信息等，使用這些合法的MAC地址實施APR欺騙攻擊，導致合法終端無法正常使用WLAN。

(四)WLAN中合法終端因素

危脅無線網(wǎng)絡安全的因素有的是間接導致的，如網(wǎng)絡中合法終端異常而引起WLAN網(wǎng)絡擁塞甚至癱瘓。其中計算機病毒、木馬危害是造成網(wǎng)絡不能正常運行的主要隱患，其影響范圍也最廣;其次是拒絕服務式攻擊——攻擊者通過各種技術(shù)手段使目標服務器所提供的服務被暫停甚至死機。網(wǎng)中有線、無線終端若是感染病毒、木馬后，該終端會發(fā)送大量的無用數(shù)據(jù)或廣播，占用核心網(wǎng)絡帶寬造成網(wǎng)絡擁塞，具體表現(xiàn)是正常終端無法正常使用WLAN。

(五)早期無線網(wǎng)絡標準不完善

無線網(wǎng)絡通信標準協(xié)議也有一個逐步完善的過程，在早期制定的標準協(xié)議機制本身就存在安全缺陷，導致黑客利用這些安全缺陷，采用特殊的技術(shù)手段入侵無線網(wǎng)絡，進而實施犯罪行為。

WEP(Wired Equivalent Privacy)是無線網(wǎng)絡最初的802．11b標準里定義的用于無線局域網(wǎng)的一種安全性協(xié)議，所有Wi－Fi認證過的設備需支持該協(xié)議。由于WEP采用64位或128位加密密鑰的RC4加密算法，WEP的破解為利用加密體制缺陷，通過網(wǎng)絡嗅探收集足夠的數(shù)據(jù)包，使用分析密算法還原出密碼明文。研究人員和黑客幾年前就已找到了破譯WEP標準的方法。

WPA(Wi－Fi Protected Access)即無線保護接人的安全機制。WPA標準是代替WEP的無線安全標準協(xié)議，多用于高級別的無線網(wǎng)絡部署，WPA避免了WEP中存在的24位初始化向量lv(Initialization vector，IV)過短、密鑰管理過于簡單和對消息完整性沒有有效保護等缺陷。它仍然采用比較薄弱的RC4加密算法，所以黑客只要監(jiān)聽到足夠的數(shù)據(jù)包，借助高性能計算設備，即使在TKIP的保護下也能被破解。

WPA的認證機制根據(jù)用戶網(wǎng)絡的需要有兩種可選方案，第一種是802．1x+EAP認證體系，合法提供認證需要的憑證，如賬戶的登陸密碼，當經(jīng)過專用認證服務器的確認后即可接入WLAN，應用在大型企業(yè)網(wǎng)絡中。第二種是WPA簡化認證方式，由于不需要專門的認證服務器，主要應用在中小型企業(yè)或者家庭。

WPA2是WPA的第二代標準，Wi－Fi聯(lián)盟通過對WPA修訂，推出基于IEEE 802．11i標準的無線安全解決方案，通過采用符合 (美國)國家標準技術(shù)研究所 (NIST)FIPS140－2的AES加密算法和基于802．1x的身份驗證。

三、預防無線網(wǎng)絡犯罪的策略

預防無線網(wǎng)絡犯罪，一方面需要通過制定和完善相關(guān)法律法規(guī)，依靠法律保障網(wǎng)絡安全。不斷完善相關(guān)的法律法規(guī)體系，鑄就安全的法律防火墻［1］。同時，利用各種媒體宣傳計算機網(wǎng)絡方面的法律法規(guī)，提高自我防范意識，做到依法依規(guī)上網(wǎng)。另一方面，由于無線通信數(shù)據(jù)傳輸方式的特殊性決定非法入侵者只要能進入到信號覆蓋區(qū)域范圍、提高嗅探數(shù)據(jù)包用的網(wǎng)卡靈敏度，就能夠監(jiān)聽到有效的通信數(shù)據(jù)，進而盜竊信息或篡改數(shù)據(jù)，危害合法用戶的安全。要提高無線網(wǎng)絡設備的安全性及完善安全策略來防范網(wǎng)絡犯罪，需要采用必要的安全策略來保障無線通信數(shù)據(jù)的安全。

(一)禁用DHCP服務器

由于無線AP會自動分配給合法終端訪問網(wǎng)絡所需要的相關(guān)信息，如IP地址、MAC地址、子網(wǎng)掩碼、DNS等，黑客獲取到這些信息后，就可以確定其攻擊目標，導致無線AP暴露。網(wǎng)絡管理員通過對合法終端采取分配靜方式，可以避免這種不安全因素的出現(xiàn)。因此，禁用無線接入設備的DHCP服務，可提高WLAN的安全性能，預防網(wǎng)絡犯罪行為。

(二)物理地址 (MAC)過濾

MAC是每一個網(wǎng)卡唯一的48位物理地址，是數(shù)據(jù)包在網(wǎng)絡中傳輸必須的門牌號，通過在無線AP、防火墻中配置合法用戶MAC地址過濾表，實現(xiàn)限制非法網(wǎng)卡登陸，但是，這種方法的效率會隨著終端數(shù)目的增加而降低，而且非法用戶通過網(wǎng)絡偵聽就可獲得合法的MAC地址表，而網(wǎng)卡的 MAC地址并不難修改［2］。通過設置MAC地址過濾規(guī)則能夠在一定程度上提高網(wǎng)絡的安全性，若黑客通過網(wǎng)絡嗅探，也可盜用合法用戶的MAC地址來接入WLAN，所以采用MAC地址過濾的方式不是對有效的身份認證機制，需要其他技術(shù)手段的結(jié)合來保障無線網(wǎng)絡的安全。

(三)使用網(wǎng)絡通信加密技術(shù)

目前大量使用的無線路由器和無線AP，其設置中都具有無線加密方式的選項，若設備配置了無線加密功能后，客戶端必須憑正確的密碼方可接入 WLAN。WEP、WPA、WPA2和 WPAPSK、WPA2－PSK這幾種加密方式在通常的無線設備的加密方式的選項中都有，其中早期的WEP加密方式由于其本身設計存缺陷，造成安全性能差，加密密碼或通信數(shù)據(jù)包十分容易被非法獲取，因此建議采用安全級別相對高的其他加密方式保護，如WPA－PSK/WPA2－PSK加密方式就可以極大增強無線網(wǎng)絡的安全性，預防網(wǎng)絡犯罪行為。

(四)布設防火墻、入侵檢測系統(tǒng)

防火墻是一種協(xié)助確保信息安全的安全軟件，有軟件防火墻和硬件防火墻之分，防火墻是按照設定特定的規(guī)則，實現(xiàn)允許或限制傳輸數(shù)據(jù)通過的功能。入侵檢測系統(tǒng)是一種對目標網(wǎng)絡傳輸實施即時監(jiān)視的系統(tǒng)，當其發(fā)現(xiàn)可疑傳輸時會引發(fā)警報或主動采取反應措施的網(wǎng)絡安全設備。由于構(gòu)建WLAN時并沒有加入必要的網(wǎng)內(nèi)安全防護，故用戶在使用網(wǎng)絡時會非常危險，通過部署防火墻及入侵檢測系統(tǒng)，可以保障用戶本地數(shù)據(jù)的安全，達到預防網(wǎng)絡入侵導致的犯罪行為。

(五)設置高強度的登陸密碼

對應無線網(wǎng)絡設備的登陸密碼、Wi－Fi密碼采用大小寫英文字母、數(shù)字及其他特殊字符的組合提高密碼強度，并定期進行更換，無線路由器、無線AP等網(wǎng)絡設備的管理名稱、登陸密碼也必須修改，不能沿用原來的初始化配置。通過設置高強度的密碼，能極大地提高應對黑客采取暴力破解手段的難度，確保網(wǎng)絡安全。

(六)隱藏甚至關(guān)閉SSID

SSID指的是一個局域網(wǎng)的名稱，運用SSID方式可以將一個無線局域網(wǎng)劃分成多個需獨立身份驗證的子網(wǎng)絡，只有連接相同SSID的電腦才能互相通信，未被授權(quán)的用戶是無法接入該子網(wǎng)網(wǎng)絡的。早期的無線設備出廠時，同廠家同型號設備的SSID相同的;非法入侵者便可通過嘗試各種設備的默認SSID值連接網(wǎng)絡，這就有可能試出目標網(wǎng)絡的SSID號，進而建立數(shù)據(jù)通信鏈路，從而給WLAN中的合法終端造成威脅;為了避免這種情況，現(xiàn)在大部分無線AP、無線路由器采取組合的SSID號，該SSID號由固定廠家的路由器名前綴加上當前設備的MAC值的末6位的十六進制值組合而成的字符串，在一定程度上增強了暴力嘗試SSID的情況。由于這些參數(shù)事先通過無線AP廣播出去的，那么只要禁止了SSID廣播功能，漫游用戶在不知道無線AP的SSID標識的情況下是無法接入的。只要知道無線網(wǎng)絡的SSID，黑客就可以輕松接入目標無線網(wǎng)絡，為了保障企業(yè)無線網(wǎng)絡的安全，在使用AP設備組建無線網(wǎng)絡時，需要修改其SSID標識，并建議關(guān)閉設備的SSID廣播功能，防止犯罪分子通過SSID直接搜索到目標網(wǎng)絡。

(七)WPS漏洞的解決方案

從技術(shù)上看，目前沒有一個根本的應對措施能夠封堵WPS漏洞。大多數(shù)的無線路由器、AP設備本身不具備限制密碼出錯次數(shù)的功能，這就導致該安全漏洞暴露出來。通常大多數(shù)人還沒意識到它的嚴重性，因此建議對仍在使用WPS功能的無線加密的設備，在網(wǎng)絡密碼還沒被攻擊破解之前，立即禁用WPS功能，并修改加密密碼，使用WPA2等更為安全的加密方式，同時禁用通用即插即用功能來保護無線網(wǎng)絡的安全，預防無線網(wǎng)絡被入侵導致的網(wǎng)絡犯罪行為。

(八)及時更新網(wǎng)絡設備軟件版本

無線網(wǎng)絡設備包含有很多方面的安全防護配置功能，網(wǎng)絡管理員可以根據(jù)需要進行選配和設置。當前使用的無線設備，是最普通的家庭SOHO級無線寬帶路由器，也提具備軟件版本升級功能。網(wǎng)絡管理員需要定期對無線設備的管理軟件進行升級，進一步保障WLAN的安全，不給網(wǎng)絡犯罪分子可乘之機。

(九)使用802．11i無線網(wǎng)絡標準

為進一步提高無線網(wǎng)絡的安全，無線聯(lián)盟制定了新的安全標準IEEE802．11i，能提供政府級安全保護［3］，從根源上徹底解決了IEEE 802．11協(xié)議的安全問題，IEEE802．11i標準協(xié)議通過對原有標準進行了身份認證、完整性校驗、數(shù)據(jù)加密、密鑰協(xié)商等方面的改進，從理論上講，該協(xié)議可以從根本上解決無線網(wǎng)絡協(xié)議本身的安全問題，徹底解決黑客通過無線網(wǎng)絡方式實施的犯罪行為。

(十)將WLAN劃分多個VLAN

通過VLAN(Virtual Local Area Network)的劃分，將通信流量控制在各個VLAN中，不同VLAN的之間是不能直接通信的，這也可以有效提高網(wǎng)絡的安全性。由于LAN是一個廣播域，VLAN中只要有一個應用終端發(fā)送廣播，該廣播數(shù)據(jù)包就會送至交換機的每一個接口，當LAN中終端總量較多時，廣播信息所消耗網(wǎng)絡帶寬是非常巨大的，通過對WLAN進行VLAN的劃分，也就避免了這種情況，相應地提高了WLAN帶寬的利用率，并且保障了WLAN通信的暢通。

無線網(wǎng)絡利用無線通信技術(shù)代替有線媒介實現(xiàn)WLAN的構(gòu)建和數(shù)據(jù)傳輸，在經(jīng)濟性、便捷性等方面均凸顯優(yōu)勢，無線網(wǎng)絡帶來便利與豐富體驗的同時，引發(fā)無線網(wǎng)絡犯罪。要保障無線網(wǎng)絡的安全，預防網(wǎng)絡犯罪的發(fā)生，不僅需要通過制定和完善相關(guān)法律法規(guī)，采用新一代的無線技術(shù)標準、多層次的技術(shù)手段，從認證、加密、完整性檢測等手段，結(jié)合入侵檢測系統(tǒng)、網(wǎng)絡行為管理系統(tǒng)、防火墻等工具來保障無線網(wǎng)絡安全;也需要網(wǎng)絡管理部門采取各種安全措施，完善的無線網(wǎng)絡設置方案，加強網(wǎng)絡安全管理，提高用戶自身的防范意識，從技術(shù)、管理層面防范無線網(wǎng)絡犯罪全面預防網(wǎng)絡入侵。

［1］王艷．［M］．山西政法管理干部學院學報，2012，(25)3．

［2］賴劍輝．無線網(wǎng)絡的構(gòu)建和安全策略研究 ［J］．中國新通訊，2012，(5)

［3］張麗敏．無線網(wǎng)絡安全防范技術(shù)研究 ［N］．福建電腦，2009，(5)

(編輯 高 翔)

On Problems of W ireless Local Area Network Security and Crime Prevention Strategies

Tang Jiangang
(Yunnan Police Officer Academy，Kunming，Yunnan 650223)

As a supplementofwired network，Wireless Local Area Network(WLAN)has covered the defect of wired network．Along with the popularization ofWLAN，however，more and more problems concerning security have emerged，for example，network without firewall;unreasonable WLAN coverage design;the existence ofWLANmonitoring;factors of verified ends;and etc．．To prevent crime caused byWLAN，following strategies shall be adopted:disabling the DHCP server;media access control(MAC);using network communication encryption technology;setting firewall and Intrusion Detection System(IDS);setting log－in password of advanced encryption standard;hiding or even terminating SSID;and etc．

Wireless Local Area Network;Security Problem;Crime Prevention;Strategy

D917.6

A

1672—6057(2014)01－110－04

2013－11－05

唐劍剛，男，湖南東安人，云南警官學院信息網(wǎng)絡安全學院講師，研究方向:計算機網(wǎng)絡安全。