無線局域網(wǎng)通信安全淺析

安利峰

摘 要： 無線局域網(wǎng)通過無線多址信道進(jìn)行計算機(jī)與外界、計算機(jī)與計算機(jī)的通信，也在自身發(fā)展的同時，促使了移動化通信、個性化通信以及多媒體化通信的發(fā)展。但是無線局域網(wǎng)還存在一定的安全問題，必須建立安全機(jī)制對其進(jìn)行規(guī)制。

關(guān)鍵詞： 無線局域網(wǎng)；通信安全；WLAN

序言

無線局域網(wǎng)是在有線網(wǎng)絡(luò)上發(fā)展起來的，是無線傳輸技術(shù)在局域網(wǎng)技術(shù)上的運(yùn)用，而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢，因此對無線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學(xué)者研究的熱點。無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進(jìn)行傳播，因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計和實現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11，但其存在設(shè)計缺陷，缺少密鑰管理，存在很多安全漏洞。

一、無線局域網(wǎng)的概念

在有線局域網(wǎng)中，網(wǎng)絡(luò)的鏈接方式是傳輸線纜，那么對于無線局域網(wǎng)而言，“無線”的含義表示網(wǎng)絡(luò)的連接是通過紅外線、微波等無線技術(shù)實現(xiàn)；“局域網(wǎng)”定義了網(wǎng)絡(luò)應(yīng)用的范圍，它是相當(dāng)于“廣域網(wǎng)”和“個人網(wǎng)”而言，既可以是一個房間內(nèi)，一棟建筑內(nèi)，也可以是一個校園，因此無線局域網(wǎng)（WLAN）就是傳輸媒介實現(xiàn)的計算機(jī)局域網(wǎng)。隨著WLAN的廣泛應(yīng)用，從狹義上講，我們一般所講的無線局域網(wǎng)就是指遵循IEEE802.11協(xié)議的無線局域網(wǎng)，我們討論的無線局域網(wǎng)安全也是針對IEEE802.11協(xié)議標(biāo)準(zhǔn)的安全。

二、無線局域網(wǎng)的結(jié)構(gòu)

根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同，無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互聯(lián)。常用的具體有幾種。

1.網(wǎng)橋連接型

不同的局域網(wǎng)之間互聯(lián)時，由于物理上的原因，若采取有線方式不方便，則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接，無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接，還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

2.基站接入型

當(dāng)采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時，各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互聯(lián)的。各移動站不僅可以通過交換中心自行組網(wǎng)，還可以通過廣域網(wǎng)與遠(yuǎn)地站點組建自己的工作網(wǎng)絡(luò)。

3.Hub接入型

利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng)，具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的WLAN，可采用類似于交換型以太網(wǎng)的工作方式，要求Hub具有簡單的網(wǎng)內(nèi)交換功能。

4.無中心結(jié)構(gòu)

要求網(wǎng)中任意兩個站點均可直接通信，此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道，MAC層采用CSMA類型的多址接入?yún)f(xié)議。無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線接入站（AP）、無線網(wǎng)橋、無線Modem及無線網(wǎng)卡等來實現(xiàn)，其中以無線網(wǎng)卡最為普遍，使用最多。

三、無線局域網(wǎng)的安全機(jī)制

1.數(shù)據(jù)加密技術(shù)

在無線局域網(wǎng)中，數(shù)據(jù)加密主要是對數(shù)據(jù)的完整性和機(jī)密性進(jìn)行保護(hù)，以防數(shù)據(jù)在無線局域網(wǎng)中傳播時被非法的篡改或者竊聽。數(shù)據(jù)加密技術(shù)主要有WEP協(xié)議、IPSec協(xié)議和VPN技術(shù)三種。

2.數(shù)據(jù)的訪問技術(shù)

訪問控制的目標(biāo)是防止任何資源（如計算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問，所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實現(xiàn)。

3.數(shù)據(jù)認(rèn)證技術(shù)

認(rèn)證技術(shù)主要是對用戶身份的一種認(rèn)證或者是驗證，以保證訪問主體是授權(quán)的、合法的。認(rèn)證是無線局域網(wǎng)最重要的安全機(jī)制之一，其包括開放式認(rèn)證和密鑰共享式認(rèn)證兩種。

四、無線局域網(wǎng)存在的安全隱患

盡管無線局域網(wǎng)是隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個方面：

1.無線局域網(wǎng)傳輸介質(zhì)比較脆弱。在過去的有線局域網(wǎng)中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上往往受到一定的安全設(shè)備或者安全人員的保護(hù)，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強(qiáng)的安全性，而無線局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理條件的干擾較大，同時也比較容易受到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

2.WLAN隱蔽性差。無線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及數(shù)據(jù)傳輸?shù)拈_放式物理系統(tǒng)，通過無線電波的形式傳播數(shù)據(jù)，其有效覆蓋范圍一般為50-100米，在有障礙物的情況下距離有所縮短。為了有效接收信號，許多人都會通過增加天線來提高功放，以增大覆蓋范圍。這樣，即使不進(jìn)入無線用戶的家庭或企業(yè)內(nèi)，也可以接受到無線信號，網(wǎng)絡(luò)攻擊者就可以肆意偵聽竊取傳輸數(shù)據(jù)，毫無隱蔽性可言。

3.用戶安全防范意識薄弱。與WLAN最緊密相關(guān)就是無線設(shè)備了，許多無線設(shè)備出廠時就被預(yù)先設(shè)定初始值。由于用戶安全防范意識較弱，購買后一般不會對無線設(shè)備進(jìn)行有效的安全配置，在設(shè)置無線登陸密碼時又過于簡單省事，比如生日、手機(jī)號等等，使得網(wǎng)絡(luò)侵入者可以利用這些潛在的安全漏洞進(jìn)行攻擊。

五、解決無線局域網(wǎng)通信安全問題的有效途徑

1.通過VPN實現(xiàn)無線網(wǎng)絡(luò)通信安全

自從對網(wǎng)絡(luò)安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式，在這種保護(hù)方式中，將無線網(wǎng)絡(luò)當(dāng)作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面，每一個用戶都對應(yīng)一個VPN用戶，使用VPN連接無線網(wǎng)絡(luò)。這種安全方式阻止了外來設(shè)備進(jìn)入無線網(wǎng)絡(luò)，但這種方式也并不是萬無一失。合法進(jìn)入網(wǎng)絡(luò)時需要用戶啟動并獲得一個IP地址，一旦每個用戶都有了一個IP地址，用戶就可以開始網(wǎng)絡(luò)通信了。非法進(jìn)入用戶的過程是差不多的，只是不能通過認(rèn)證進(jìn)入網(wǎng)絡(luò)中。由于攻擊者也有一個給定的IP地址，所以就沒有什么辦法來阻止它和同一個防火墻內(nèi)的用戶進(jìn)行通信了。通過這種通信，攻擊者也可以侵入一個合法用戶，并借此進(jìn)入網(wǎng)絡(luò)中。

2.綁定靜態(tài)IP和MAC地址，采取“一對一”使用的方案

通常情況下，AP或者無線路由器在為局域網(wǎng)分配IP地址時，都是默認(rèn)使用動態(tài)的IP地址進(jìn)行系統(tǒng)的分配與管理，因為其分配的地址并非隨機(jī)而容易產(chǎn)生信息泄露或者被不法侵害的隱患。因為在此種前提下，只需要通過技術(shù)手段或其他方法知道用戶的IP地址后就能進(jìn)行動態(tài)IP地址的修改，繼而會被無限局域網(wǎng)分配得到一個“合法”的新的可以使用的IP地址。要想解決這個問題，務(wù)必要建立一個“一對一”使用的方案，即在終端設(shè)備上關(guān)閉DHCP服務(wù)，為每個用戶端分配一個固定的靜態(tài)IP地址，并且限制IP地址的自動分配功能，再把這個靜態(tài)的IP地址和用戶電腦上MAC地址進(jìn)行系統(tǒng)的綁定，換句話說，這么做其實是為無線網(wǎng)的使用設(shè)定雙重關(guān)卡，不法侵入者及使得到用戶的IP地址也會因為MAC地址的不符合而導(dǎo)致無法連接上網(wǎng)。

3.加強(qiáng)無線局域網(wǎng)的入侵監(jiān)測系統(tǒng)

雖然無線局域網(wǎng)的被入侵在通常情況下是不易被察覺的，但對其的監(jiān)測也并非是毫無辦法，無線入侵監(jiān)測系統(tǒng)可以為無線局域網(wǎng)的使用提供較為準(zhǔn)確的監(jiān)測信息。普通用戶在使用無線局域網(wǎng)時，可以利用監(jiān)測系統(tǒng)來判斷入侵事件的形式及其類型，對出現(xiàn)的非法通信行為乃至異常的通信流量給予足夠的重視，從而通過修改秘鑰等手段防止不法入侵帶來的通信安全隱患。

4.加強(qiáng)網(wǎng)絡(luò)防范意識

對于無線設(shè)備，除設(shè)置復(fù)雜密碼并時常更新之外，還可以對其進(jìn)行安全設(shè)置。比如啟用WPA加密，增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的安全性，關(guān)閉SSID廣播，使無線網(wǎng)絡(luò)不易被發(fā)現(xiàn)，設(shè)置IP過濾以及MAC地址列表避免被蹭網(wǎng)或外來者入侵。

六、結(jié)語

總之，安全機(jī)制存在缺陷是限制WLAN實現(xiàn)進(jìn)一步發(fā)展的重要因素，在應(yīng)用WLAN技術(shù)時要注重了解網(wǎng)絡(luò)中存在的安全風(fēng)險，并在明確安全保護(hù)機(jī)制的基礎(chǔ)上采取必要措施維護(hù)WLAN的通信安全。隨著無線技術(shù)迅猛發(fā)展，無線通信安全尚待進(jìn)一步發(fā)展和完善，將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來，才能構(gòu)筑安全的無線局域網(wǎng)。