淺談無(wú)線網(wǎng)絡(luò)安全問(wèn)題及防范策略

◆高 萌

（國(guó)家圖書(shū)館 北京 100081）

0 引言

信息技術(shù)的不斷發(fā)展為無(wú)線網(wǎng)絡(luò)的進(jìn)一步發(fā)展提供了有利的條件，在新技術(shù)、新應(yīng)用的帶動(dòng)下，無(wú)線網(wǎng)絡(luò)已深入到社會(huì)、生活的方方面面。在圖書(shū)館的網(wǎng)絡(luò)體系中，無(wú)線網(wǎng)絡(luò)也越來(lái)越受到讀者的喜愛(ài)，它使上網(wǎng)和資源訪問(wèn)更加便捷高效，大幅地提升了讀者的使用體驗(yàn)和便利性，但在這個(gè)過(guò)程中，無(wú)線網(wǎng)絡(luò)的安全性也不容忽視，由于無(wú)線網(wǎng)絡(luò)安全機(jī)制的不健全，使得無(wú)線網(wǎng)絡(luò)存在著多方面不穩(wěn)定因素，也極大地降低了無(wú)線網(wǎng)絡(luò)的使用效率和質(zhì)量，因此，基于無(wú)線網(wǎng)絡(luò)的特性來(lái)進(jìn)行網(wǎng)絡(luò)安全構(gòu)建，就顯得非常有必要，這對(duì)于進(jìn)一步完善無(wú)線網(wǎng)絡(luò)體系、改善讀者的上網(wǎng)體驗(yàn)和提升讀者的滿意度有著積極的意義。

1 無(wú)線網(wǎng)絡(luò)概述

無(wú)線網(wǎng)絡(luò)是在有線網(wǎng)絡(luò)的基礎(chǔ)上逐步發(fā)展起來(lái)的，最初人們是通過(guò)物理連接的方式，使不同的線纜相互連通，以某種共同接受的協(xié)議相互之間實(shí)現(xiàn)自由的通信，隨著對(duì)網(wǎng)絡(luò)應(yīng)用要求的提升，人們又通過(guò)改進(jìn)物理連接的介質(zhì)來(lái)提高網(wǎng)絡(luò)使用速度和穩(wěn)定性，如光纖網(wǎng)絡(luò)等。在物理組網(wǎng)的過(guò)程中，人們逐漸發(fā)現(xiàn)，這種方式極大地受到時(shí)間、空間以及材質(zhì)的限制，并且需要花費(fèi)的成本也相當(dāng)高，而通過(guò)組建無(wú)線網(wǎng)絡(luò)則能夠有效地規(guī)避這些不利因素。

無(wú)線網(wǎng)絡(luò)本質(zhì)也屬于一種局域網(wǎng)的范疇，它以無(wú)線電磁波的形式，由發(fā)射單元發(fā)出，接收單元接收信號(hào)，并對(duì)信號(hào)進(jìn)行解析，從而實(shí)現(xiàn)網(wǎng)絡(luò)的連接， 因此無(wú)線網(wǎng)絡(luò)的建設(shè)不需要過(guò)多的硬件設(shè)備，當(dāng)前國(guó)際無(wú)線網(wǎng)絡(luò)大多是根據(jù) IEEE802.11的協(xié)議標(biāo)準(zhǔn)，其射頻的電磁波波段是ISM頻段中的2.4GHz和5GHz。在上述協(xié)議標(biāo)準(zhǔn)之上，無(wú)線局域網(wǎng)的連接協(xié)議種類豐富，其中應(yīng)用最為廣泛的則是WiFi，即無(wú)線保真技術(shù)，這種協(xié)議能夠滿足不同設(shè)備間的連接需求，從而消除了不同設(shè)備間差異因素的影響。

2 無(wú)線網(wǎng)絡(luò)常見(jiàn)安全問(wèn)題

2.1 非法連接

非法連接是一種網(wǎng)絡(luò)攻擊行為，是未經(jīng)許可通過(guò)物理連接的方式，來(lái)接入到如路由器、交線機(jī)或無(wú)線AP端口等網(wǎng)絡(luò)設(shè)備上，并通過(guò)接入的設(shè)備來(lái)訪問(wèn)網(wǎng)絡(luò)。這種物理性的非法連接，由于是將接入設(shè)備直接與網(wǎng)絡(luò)設(shè)備進(jìn)行連接，因此，不需要輸入網(wǎng)絡(luò)本身已設(shè)定的密碼，就可以直接進(jìn)行網(wǎng)絡(luò)的訪問(wèn)。

2.2 非法入侵

非法入侵通過(guò)無(wú)線網(wǎng)絡(luò)的方式來(lái)連接到網(wǎng)絡(luò)中，即不再通過(guò)物理線纜的方式來(lái)接入到網(wǎng)絡(luò)設(shè)備的端口上，入侵者只需要在無(wú)線網(wǎng)絡(luò)的覆蓋范圍內(nèi)，通過(guò)相應(yīng)的探測(cè)和接收設(shè)備來(lái)接入到無(wú)線網(wǎng)絡(luò)對(duì)應(yīng)的信道，再通過(guò)信息技術(shù)對(duì)無(wú)線網(wǎng)絡(luò)的密碼進(jìn)行破解，從而獲得該無(wú)線網(wǎng)絡(luò)訪問(wèn)的密碼。

2.3 用戶非法訪問(wèn)

因?yàn)樵跓o(wú)線網(wǎng)絡(luò)的輻射范圍內(nèi)，使用者只需要擁有WiFi的接收設(shè)備，就可以探測(cè)到該無(wú)線網(wǎng)絡(luò)，進(jìn)而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)，這與有線網(wǎng)絡(luò)的連接有著本質(zhì)上的不同。有線網(wǎng)絡(luò)是需要設(shè)備通過(guò)與網(wǎng)絡(luò)端口相連接的方式，才能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)，也就是說(shuō)，有線網(wǎng)絡(luò)的端口決定了接入和訪問(wèn)網(wǎng)絡(luò)的權(quán)限。

2.4 WEP加密協(xié)議被破解

WEP是無(wú)線網(wǎng)絡(luò)安全中級(jí)別最低的安全保密協(xié)議，隨著網(wǎng)絡(luò)信息化技術(shù)的發(fā)展，WEP的加密協(xié)議無(wú)法滿足網(wǎng)絡(luò)安全的需要，攻擊者通過(guò)網(wǎng)絡(luò)攻擊軟件可以在很短的時(shí)間內(nèi)就獲得網(wǎng)絡(luò)的密碼。

2.5 網(wǎng)絡(luò)偵聽(tīng)

無(wú)線局域網(wǎng)進(jìn)行信號(hào)的傳輸是基于一定的協(xié)議進(jìn)行的，因此，無(wú)論是發(fā)射設(shè)備還是接收設(shè)備都必須按照這個(gè)協(xié)議才能實(shí)現(xiàn)相互之間的信息連通，對(duì)于攻擊者來(lái)說(shuō)，只需要在無(wú)線網(wǎng)絡(luò)的覆蓋范圍內(nèi)，通過(guò)相應(yīng)的高增益天線的接收設(shè)備就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包進(jìn)行獲取，在進(jìn)行解析后，就可以獲知數(shù)據(jù)包的全部信息。

2.6 網(wǎng)絡(luò)欺騙攻擊

當(dāng)前進(jìn)行網(wǎng)絡(luò)欺騙攻擊，主要是通過(guò)地址協(xié)議ARP或者M(jìn)AC地址欺騙來(lái)實(shí)現(xiàn)的。前者是通過(guò)相應(yīng)的軟件來(lái)生成IP地址和MAC地址，從而形成數(shù)量龐大的ARP數(shù)據(jù)包，來(lái)實(shí)現(xiàn)接入網(wǎng)絡(luò)或使目標(biāo)網(wǎng)絡(luò)因數(shù)據(jù)包流量過(guò)大而產(chǎn)生堵車的現(xiàn)象；后者是攻擊者通過(guò)非法入侵無(wú)線網(wǎng)絡(luò)后，探測(cè)出無(wú)線網(wǎng)絡(luò)合法的MAC地址，并通過(guò)這個(gè)合法的MAC地址使自己成為無(wú)線網(wǎng)絡(luò)的合法用戶，進(jìn)而達(dá)到接入無(wú)網(wǎng)絡(luò)，實(shí)現(xiàn)正常訪問(wèn)的目的。

3 無(wú)線網(wǎng)絡(luò)防范策略

3.1 用戶訪問(wèn)權(quán)限控制

用戶訪問(wèn)權(quán)限控制是通過(guò)設(shè)定一定的網(wǎng)絡(luò)訪問(wèn)規(guī)則來(lái)提高網(wǎng)絡(luò)整體的安全性，即對(duì)訪問(wèn)的用戶進(jìn)行相應(yīng)的設(shè)定，來(lái)防范無(wú)線網(wǎng)絡(luò)遭到攻擊。具體的方式是根據(jù)無(wú)線局域網(wǎng)的訪問(wèn)特性，實(shí)現(xiàn)MAC地址與IP地址的捆綁，對(duì)每一個(gè)用戶的網(wǎng)絡(luò)接入設(shè)備的獨(dú)有的MAC地址來(lái)設(shè)定與之對(duì)應(yīng)的IP地址，綁定后的地址即使攻擊者能夠通過(guò)入侵實(shí)現(xiàn)進(jìn)入無(wú)線網(wǎng)絡(luò)，也無(wú)法獲取網(wǎng)絡(luò)中相關(guān)的信息或資源。

3.2 無(wú)線加密技術(shù)

通過(guò)無(wú)線加密技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的傳輸進(jìn)行加密，從而實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全的提升，這是由于攻擊者能夠通過(guò)中間人或網(wǎng)絡(luò)嗅探等方式來(lái)獲取傳輸中的數(shù)據(jù)。隨著網(wǎng)絡(luò)信息技術(shù)的成熟發(fā)展，目前無(wú)線加密技術(shù)也得到了快速的發(fā)展，當(dāng)前通行的無(wú)線加密技術(shù)主要有WPA2-PSK、TKIP、CCMP等，此外，還可以借助3DES算法、VPN等進(jìn)一步提高無(wú)線網(wǎng)絡(luò)的安全性。

3.3 安全路由技術(shù)及硬件防火墻

一方面，在硬件上可以通過(guò)更高級(jí)別的芯片來(lái)對(duì)路由器的安全進(jìn)行防護(hù)，通過(guò)加密技術(shù)來(lái)增加安全等級(jí)；另一方面，則可以在軟件上進(jìn)行全方位的保護(hù)，如進(jìn)行防火墻保護(hù)，從硬件和軟件兩方面來(lái)著手，可以更好地維護(hù)無(wú)線網(wǎng)絡(luò)的安全。可以通過(guò)內(nèi)外網(wǎng)的設(shè)置，來(lái)防止非法用戶的連接和訪問(wèn)，也可以設(shè)置訪問(wèn)權(quán)限等，提前設(shè)定網(wǎng)絡(luò)使用規(guī)則，對(duì)數(shù)據(jù)進(jìn)行必要的過(guò)濾。

3.4 身份認(rèn)證技術(shù)

通過(guò)身份驗(yàn)證，可以很好地保護(hù)無(wú)線網(wǎng)絡(luò)安全，防止非法用戶連接訪問(wèn)。當(dāng)前，對(duì)于無(wú)線網(wǎng)絡(luò)的身份驗(yàn)證主要有IEEE802.1x和Portal兩種。前者的成本比較低，對(duì)設(shè)備的要求不高，很容易實(shí)現(xiàn)，但其要求連接到該網(wǎng)絡(luò)的設(shè)備安裝客戶端認(rèn)證軟件，這對(duì)于網(wǎng)絡(luò)使用者來(lái)說(shuō)則相對(duì)麻煩；而后者不需要安裝客戶端認(rèn)證軟件，對(duì)于讀者而言在使用上會(huì)更加方便，但是對(duì)服務(wù)器設(shè)備的要求會(huì)很高，相對(duì)的成本也比較大。使用者可以根據(jù)實(shí)際情況和需求來(lái)進(jìn)行選擇。

3.5 隱藏SSID

SSID廣播可以讓無(wú)線客戶端快速搜索到無(wú)線信號(hào)，但是也存在一定的安全隱患。為了更好地給予無(wú)線網(wǎng)絡(luò)以保護(hù)，對(duì)于較為固定的無(wú)線網(wǎng)絡(luò)使用群體，可以根據(jù)實(shí)際情況隱藏部分SSID，這樣一來(lái)，固有的設(shè)備可以自動(dòng)的搜索和連接，但是新增的無(wú)線客戶端則需要手動(dòng)的輸入SSID，這種方式可以在一定程度上減少非法入侵，讓無(wú)線網(wǎng)絡(luò)使用更加安全。

4 結(jié)語(yǔ)

無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進(jìn)步改善了人們生活的方方面面，圖書(shū)館無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋，使讀者們更加便利快捷地查詢相關(guān)數(shù)字資源，受到了讀者們的好評(píng)。然而，也有不少圖書(shū)館只是覆蓋了無(wú)線網(wǎng)信號(hào)，卻忽視了網(wǎng)絡(luò)安全建設(shè)問(wèn)題，導(dǎo)致無(wú)線網(wǎng)絡(luò)安全受到了威脅，讀者的個(gè)人信息存在泄露風(fēng)險(xiǎn)。所以，在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí)，應(yīng)該要通過(guò)科技手段來(lái)提高網(wǎng)絡(luò)安全等級(jí)，讓讀者和員工在使用無(wú)線網(wǎng)絡(luò)的同時(shí)得到必要的網(wǎng)絡(luò)安全保障。