淺析安全使用無線局域網(wǎng)的重要性

張迎春（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院財(cái)經(jīng)分院, 江蘇 徐州 221008）

淺析安全使用無線局域網(wǎng)的重要性

張迎春
（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院財(cái)經(jīng)分院, 江蘇 徐州 221008）

摘 要：無線局域網(wǎng)的應(yīng)用越來越廣泛，幾乎覆蓋了各個(gè)領(lǐng)域。無線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)，因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。

關(guān)鍵詞：無線局域網(wǎng)；WPA；MAC；VPN；安全措施

隨著無線網(wǎng)絡(luò)的普及和路由器的大量應(yīng)用，方便了大家的日常生活但是也給了不懷好意的黑客和蹭網(wǎng)者生存和發(fā)展的空間。

1威脅無線局域網(wǎng)安全的因素

（1）未經(jīng)授權(quán)的用戶沒有遵守運(yùn)營商提出的服務(wù)條款，非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，由于無線局域網(wǎng)的開放式訪問方式，不僅會(huì)占用寶貴的無線信道資源，增加帶寬費(fèi)用，降低合法用戶的服務(wù)質(zhì)量，而且，甚至可能導(dǎo)致法律糾紛。

（2）非法用戶通過偵聽等手段在無線環(huán)境中獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址，比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。

另外，由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證，非法用戶很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。

（3）多數(shù)企業(yè)部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。只要攻破無線網(wǎng)絡(luò)，就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶面前。

2無線局域網(wǎng)的安全使用

2.1 采用WPA加密協(xié)議

為了彌補(bǔ)WPE協(xié)議的重大安全隱患，WiFi聯(lián)盟在“COMDEX FALL 2002”展會(huì)上推出了WPA標(biāo)準(zhǔn)，WPA是目前最好的無線安全加密系統(tǒng)，它是繼承了WEP的基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)，由于加強(qiáng)了生成加密密鑰的算法。無論搜集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的，而且現(xiàn)在針對(duì)WPA破解軟件大多的工作原理是從空中抓取數(shù)據(jù)包到本地然后通過密碼字典來暴力破解，效率比較低下。

2.2 使用相同的SSID名稱

SSID是一個(gè)無線局域網(wǎng)絡(luò)（WLAN）的名稱。SSID是區(qū)分大小寫的文本字符串，是一個(gè)最大長度不超過32個(gè)字符的字母數(shù)字字符（字母或數(shù)字）的順序（當(dāng)然，這個(gè)名字你可以自己隨便?。?。所以無線局域網(wǎng)上的所有無線設(shè)備必須使用相同的SSID才能進(jìn)行互相溝通。在無線局域網(wǎng)中SSID作用非常重要，它能阻隔其他無線設(shè)備訪問您的無線局域網(wǎng)（無論是有意或無意地）。要進(jìn)行通信，無線設(shè)備必須使用相同的SSID名稱。

2.3 綁定MAC和IP地址

如果家里有比較老舊的無線設(shè)備而只有采用WEP加密的話，那么建議在路由器端設(shè)置MAC地址過濾，同時(shí)關(guān)閉SSID廣播和DHCP服務(wù)，并且使用不太常用的私有網(wǎng)段而不是默認(rèn)的192.168.0.x，來獲得比單一的WEP加密更好的網(wǎng)絡(luò)安全性。這種做法不足之處在于家有的接入設(shè)備都需要手動(dòng)設(shè)置方可連入，而如果碰到有心人的話，經(jīng)過足夠長的時(shí)間，使用Aircrack-ng之類的軟件抓取到足夠多的無線通信數(shù)據(jù)包后，依然可以發(fā)現(xiàn)并破解貴府的無線局域網(wǎng)。

2.4 VPN技術(shù)

VPN，虛擬專用網(wǎng)絡(luò)，等于在你的電腦和你公司（或單位）的VPN服務(wù)器之間建立了一條你專用的“隧道”，“隧道”不需要物理（就是實(shí)物）鏈路，所以“虛擬”。你用賬號(hào)密碼登陸后就和你公司的內(nèi)網(wǎng)建立了安全的連接（別人看不到傳輸?shù)膬?nèi)容，所以很安全），然后就可以在你的電腦上使用公司內(nèi)網(wǎng)，像在公司一樣辦公了。VPN不是硬件（雖然建立VPN需要服務(wù)器），也不是軟件（雖然需要客戶端軟件的支持），更不是路由器的一個(gè)功能（雖然好的路由器刷DDWRT固件后可以實(shí)現(xiàn)VPN服務(wù)器的功能），它是一種網(wǎng)絡(luò)技術(shù)。由于VPN在國內(nèi)的大量使用，所以有人認(rèn)為是代理服務(wù)器，其實(shí)它只是連接著一個(gè)代理服務(wù)器，而本身是一條安全的網(wǎng)絡(luò)隧道，建立你的電腦與代理服務(wù)器之間的安全連接。當(dāng)然，如果用于正常用途，連接的就是一個(gè)局域網(wǎng)（比如公司內(nèi)網(wǎng)）。

這樣，所有的商業(yè)應(yīng)用程序，文件共享或是網(wǎng)絡(luò)訪問都由公司的網(wǎng)絡(luò)來完成。市面上的選擇很多，推薦Open個(gè)人虛擬網(wǎng)絡(luò)。

2.5 無線入侵檢測系統(tǒng)

就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

2.6 加強(qiáng)身份驗(yàn)證和授權(quán)

（1）開啟 WEP 加密。有勝于無，如果沒有它，您就根本不會(huì)獲得任何驗(yàn)證。

（2）如果您的 AP 支持它，請關(guān)閉 SSID 廣播并且使您的網(wǎng)絡(luò)成為一個(gè)閉合網(wǎng)絡(luò)。誠然，這種安排會(huì)給客戶端造成一些麻煩；Windows XP 在自動(dòng)查找無線網(wǎng)絡(luò)方面做得很好，但是卻無法自動(dòng)找到閉合網(wǎng)絡(luò)——您的用戶將必須手動(dòng)輸入 SSID 名稱。

（3）請注意您的 WLAN 創(chuàng)建的無線電波覆蓋范圍。如果您能夠拒竊聽者和入侵者于您的信號(hào)覆蓋范圍之外，將有助于把驗(yàn)證問題減少到最低限度。（但不要忘記聰明的人還是能夠使用各種天線從相當(dāng)遠(yuǎn)的距離竊聽信號(hào)）。

（4）可以通過一些其他方法來彌補(bǔ)您的 WLAN 驗(yàn)證。如果您允許通過 WLAN 直接訪問您的內(nèi)部系統(tǒng)，可能需要考慮該計(jì)劃，可能需要將 WLAN 移出防火墻，并且需要用戶通過 VPN 訪問網(wǎng)絡(luò)，就像他們從家里進(jìn)行訪問一樣。另一種可選方法是對(duì)您的 WLAN 客戶端分配一個(gè)單獨(dú)的 IP 地址范圍，然后在您的內(nèi)聯(lián)網(wǎng)站點(diǎn)上應(yīng)用基于 IP的訪問控制。

文中分析并給出了一些應(yīng)對(duì)的方法，不一定全部正確，但基本思路是沒有問題的。泄密事件頻發(fā)，提醒我們應(yīng)該更加注重自己的隱私安全。亡羊補(bǔ)牢不如未雨綢繆，做好防護(hù)工作，適當(dāng)采取些隱私防護(hù)工具，才能讓自己更放心。

作者簡介：張迎春（1985-），女，江蘇鹽城人，助講，任教于江蘇聯(lián)合職業(yè)學(xué)院徐州財(cái)經(jīng)分院，長期致力于計(jì)算機(jī)基礎(chǔ)、軟件技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)等方面的理論及實(shí)踐教學(xué)研究。