摘要：無(wú)線網(wǎng)絡(luò)是通過(guò)無(wú)線電波在空中傳輸數(shù)據(jù)，只要在覆蓋范圍內(nèi)都可以傳輸和接收數(shù)據(jù)。因此，無(wú)線網(wǎng)絡(luò)存在著訪問(wèn)控制和保密的安全性問(wèn)題。主要在介紹無(wú)線網(wǎng)絡(luò)存在的有線等價(jià)保密性、搜索攻擊、信息泄露攻擊、無(wú)線身份驗(yàn)證欺騙攻擊、網(wǎng)絡(luò)接管與篡改、拒絕服務(wù)攻擊以及用戶設(shè)備等安全威脅的基礎(chǔ)上，提出無(wú)線網(wǎng)絡(luò)應(yīng)該采用的七項(xiàng)安全技術(shù)和八項(xiàng)應(yīng)對(duì)安全措施。

　　關(guān)鍵詞：網(wǎng)絡(luò)電子相關(guān)期刊,無(wú)線網(wǎng)絡(luò),安全威脅,安全技術(shù),安全措施

　　無(wú)線網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由，然而，這種自由同時(shí)也帶來(lái)了安全性問(wèn)題。無(wú)線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對(duì)策?我們對(duì)上述問(wèn)題作一簡(jiǎn)要論述。

　　1無(wú)線網(wǎng)絡(luò)存在的安全威脅

　　無(wú)線網(wǎng)絡(luò)一般受到的攻擊可分為兩類(lèi)：一類(lèi)是關(guān)于網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊;另一類(lèi)是基于無(wú)線通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對(duì)于第一類(lèi)攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會(huì)發(fā)生。可見(jiàn)，無(wú)線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

　　1.1有線等價(jià)保密機(jī)制的弱點(diǎn)

　　IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學(xué)會(huì))制定的802.11標(biāo)準(zhǔn)中，引入WEP(WiredEquivalentPrivacy，有線保密)機(jī)制，目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施，防止出現(xiàn)無(wú)線網(wǎng)絡(luò)用戶偶然竊聽(tīng)的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)。

　　(1)加密算法過(guò)于簡(jiǎn)單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì)，常常出現(xiàn)重復(fù)使用現(xiàn)象，易于被他人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法，在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)，容易被黑客攻破。此外，用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗(yàn)碼。

　　(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出，WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過(guò)外部管理系統(tǒng)控制方式減少I(mǎi)V的沖突數(shù)量，使無(wú)線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過(guò)程非常復(fù)雜，且需要手工進(jìn)行操作，所以很多網(wǎng)絡(luò)的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對(duì)破解密鑰的難度大大減少。

　　(3)用戶安全意識(shí)不強(qiáng)。許多用戶安全意識(shí)淡薄，沒(méi)有改變?nèi)笔〉呐渲眠x項(xiàng)，而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱的，經(jīng)不起黑客的攻擊。

　　1.2進(jìn)行搜索攻擊

　　進(jìn)行搜索也是攻擊無(wú)線網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對(duì)無(wú)線網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的軟件。很多無(wú)線網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動(dòng)狀態(tài)，如果沒(méi)有關(guān)閉AP(wirelessAccessPoint，無(wú)線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱(chēng)、SSID(SecureSetIdentifier，安全集標(biāo)識(shí)符)等可給黑客提供入侵的條件。

　　1.3信息泄露威脅

　　泄露威脅包括竊聽(tīng)、截取和監(jiān)聽(tīng)。竊聽(tīng)是指偷聽(tīng)流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式，它是以被動(dòng)和無(wú)法覺(jué)察的方式入侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量，從而識(shí)別出可以破解的信息。

　　1.4無(wú)線網(wǎng)絡(luò)身份驗(yàn)證欺騙

　　欺騙這種攻擊手段是通過(guò)騙過(guò)網(wǎng)絡(luò)設(shè)備，使得它們錯(cuò)誤地認(rèn)為來(lái)自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過(guò)同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的，最簡(jiǎn)單的方法是重新定義無(wú)線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。

　　由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計(jì)原因，幾乎無(wú)法防止MAC/IP地址欺騙。只有通過(guò)靜態(tài)定義MAC地址表才能防止這種類(lèi)型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過(guò)智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過(guò)的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候，簡(jiǎn)單地通過(guò)讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無(wú)線網(wǎng)身份驗(yàn)證。

　　1.5網(wǎng)絡(luò)接管與篡改

　　同樣因?yàn)門(mén)CP/IP設(shè)計(jì)的原因，某些欺騙技術(shù)可供攻擊者接管為無(wú)線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP，那么所有來(lái)自無(wú)線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上，包括其他用戶試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無(wú)線網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)，而且這種攻擊通常不會(huì)引起用戶的懷疑，用戶通常是在毫無(wú)防范的情況下輸人自己的身份驗(yàn)證信息，甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后，仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。

　　1.6拒絕服務(wù)攻擊

　　無(wú)線信號(hào)傳輸?shù)奶匦院蛯?zhuān)門(mén)使用擴(kuò)頻技術(shù)，使得無(wú)線網(wǎng)絡(luò)特別容易受到DoS(DenialofService，拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無(wú)法獲得這些資源。黑客要造成這類(lèi)的攻擊：①通過(guò)讓不同的設(shè)備使用相同的頻率，從而造成無(wú)線頻譜內(nèi)出現(xiàn)沖突;②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請(qǐng)求;③如果攻擊者接管AP，并且不把通信量傳遞到恰當(dāng)?shù)哪康牡兀�那么所有的網(wǎng)絡(luò)用戶都將無(wú)法使用網(wǎng)絡(luò)。無(wú)線攻擊者可以利用高性能的方向性天線，從很遠(yuǎn)的地方攻擊無(wú)線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問(wèn)權(quán)的攻擊者，可以通過(guò)發(fā)送多達(dá)無(wú)線AP無(wú)法處理的通信量進(jìn)行攻擊。

　　1.7用戶設(shè)備安全威脅

　　由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個(gè)靜態(tài)密鑰，因此只要得到了一塊無(wú)線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無(wú)線網(wǎng)使用的合法MAC地址。也就是說(shuō)，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID及密鑰。

　　2無(wú)線網(wǎng)絡(luò)采用的安全技術(shù)

　　采用安全技術(shù)是消除無(wú)線網(wǎng)絡(luò)安全威脅的一種有效對(duì)策。無(wú)線網(wǎng)絡(luò)的安全技術(shù)主要有七種。

　　2.1擴(kuò)展頻譜技術(shù)

　　擴(kuò)頻技術(shù)是用來(lái)進(jìn)行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)。

　　一些無(wú)線局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號(hào)，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無(wú)線信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上(例如通道1、18、47、22……)。無(wú)線電波每秒鐘變換頻率許多次，將無(wú)線信號(hào)按順序發(fā)送到每一個(gè)通道上，并在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無(wú)線網(wǎng)絡(luò)之間沒(méi)有相互干擾，因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。

　　2.2用戶密碼驗(yàn)證

　　為了安全，用戶可以在無(wú)線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類(lèi)似。由于無(wú)線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶，所以嚴(yán)格的密碼策略等于增加一個(gè)安全級(jí)別，這有助于確保工作站只被授權(quán)用戶使用。

　　2.3數(shù)據(jù)加密

　　數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對(duì)數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡(luò)，能有效地起到保密作用。

　　此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價(jià)格的第三方產(chǎn)品，為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

　　2.4WEP配置

　　WEP是IEEE802.11b協(xié)議中最基本的無(wú)線安全加密措施，其主要用途包括提供接入控制及防止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò);對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽(tīng);防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認(rèn)證功能。

　　2.5防止入侵者訪問(wèn)網(wǎng)絡(luò)資源

　　這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。

　　2.6端口訪問(wèn)控制技術(shù)

　　端口訪問(wèn)控制技術(shù)(802.1x)是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則AP為用戶打開(kāi)這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。802.1x除提供端口訪問(wèn)控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公司的無(wú)線接入解決方案。

　　2.7使用VPN技術(shù)

　　VPN(VirtualPrivateNetwork，虛擬專(zhuān)用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標(biāo)準(zhǔn)定義;但是用戶可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于RADIUS的用戶認(rèn)證以及計(jì)費(fèi)。因此，在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問(wèn)方法。

　　3無(wú)線網(wǎng)絡(luò)采取的安全措施

　　要排除無(wú)線網(wǎng)絡(luò)的安全威脅，另一種對(duì)策是采取如下八項(xiàng)安全措施。

　　3.1網(wǎng)絡(luò)整體安全分析

　　網(wǎng)絡(luò)整體安全分析是要對(duì)網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時(shí)，要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃，及時(shí)采取措施，排除無(wú)線網(wǎng)絡(luò)的安全威脅。

　　3.2網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署

　　選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時(shí)還要做到如下幾點(diǎn)：修改設(shè)備的默認(rèn)值;把基站看作RAS(RemoteAccessServer，遠(yuǎn)程訪問(wèn)服務(wù)器);指定專(zhuān)用于無(wú)線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對(duì)授權(quán)用戶和入侵者的影響;在網(wǎng)絡(luò)上，針對(duì)全部用戶使用一致的授權(quán)規(guī)則;在不會(huì)被輕易損壞的位置部署硬件。

　　3.3啟用WEP機(jī)制

　　要正確全面使用WEP機(jī)制來(lái)實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能，必須做到五點(diǎn)。一是通過(guò)在每幀中加入一個(gè)校驗(yàn)和的做法來(lái)保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來(lái)試圖破解密鑰流;二是必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰，避免使用缺省選項(xiàng);四是密鑰由用戶來(lái)設(shè)定，并且能夠經(jīng)常更改;五是要使用最堅(jiān)固的WEP版本，并與標(biāo)準(zhǔn)的最新更新版本保持同步。

　　3.4MAC地址過(guò)濾

　　MAC(MediaAccessController，物理地址)過(guò)濾可以降低大量攻擊威脅，對(duì)于較大規(guī)模的無(wú)線網(wǎng)絡(luò)也是非常可行的選項(xiàng)。一是把MAC過(guò)濾器作為第一層保護(hù)措施;二是應(yīng)該記錄無(wú)線網(wǎng)絡(luò)上使用的每個(gè)MAC地址，并配置在AP上，只允許這些地址訪問(wèn)網(wǎng)絡(luò)，阻止非信任的MAC訪問(wèn)網(wǎng)絡(luò);三是可以使用日志記錄產(chǎn)生的錯(cuò)誤，并定期檢查，判斷是否有人企圖突破安全措施。

　　3.5進(jìn)行協(xié)議過(guò)濾

　　協(xié)議過(guò)濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式，在協(xié)議過(guò)濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過(guò)濾會(huì)給無(wú)線網(wǎng)絡(luò)提供一種安全保障。過(guò)濾協(xié)議是個(gè)相當(dāng)有效的方法，能夠限制那些企圖通過(guò)SNMP(SimpleNetworkManagementProtocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)訪問(wèn)無(wú)線設(shè)備來(lái)修改配置的網(wǎng)絡(luò)用戶，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會(huì)用作拒絕服務(wù)攻擊的協(xié)議。

　　3.6屏蔽SSID廣播

　　盡管可以很輕易地捕獲RF(RadioFrequency，無(wú)線頻率)通信，但是通過(guò)防止SSID從AP向外界廣播，就可以克服這個(gè)缺點(diǎn)。封閉整個(gè)網(wǎng)絡(luò)，避免隨時(shí)可能發(fā)生的無(wú)效連接。把必要的客戶端配置信息安全地分發(fā)給無(wú)線網(wǎng)絡(luò)用戶。

　　3.7有效管理IP分配方式

　　分配IP地址有靜態(tài)地址和動(dòng)態(tài)地址兩種方式，判斷無(wú)線網(wǎng)絡(luò)使用哪一個(gè)分配IP的方法最適合自己的機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動(dòng)獲得IP地址，限制在網(wǎng)絡(luò)上傳遞對(duì)設(shè)備的第三層的訪問(wèn);而動(dòng)態(tài)地址可以簡(jiǎn)化WLAN的使用，可以降低那些繁重的管理工作。

　　3.8加強(qiáng)員工管理

　　加強(qiáng)單位內(nèi)部員工的管理，禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員;禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu);加強(qiáng)員工的學(xué)習(xí)和技術(shù)培訓(xùn)，特別是對(duì)網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)。

　　此外，在布置AP的時(shí)候要在單位辦公區(qū)域以外進(jìn)行檢查，通過(guò)調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域，同時(shí)要加強(qiáng)對(duì)單位附近的巡查工作，防止外部人員在單位附近接入網(wǎng)絡(luò)。

　　參考文獻(xiàn)

　　[1]鐘章隊(duì).無(wú)線局域網(wǎng)[M].北京：科學(xué)出版社，2004.

　　[2]王樂(lè).中國(guó)標(biāo)準(zhǔn)撼動(dòng)Wi-Fi[J].電腦報(bào)，2003，(49).

　　[3]賴慶.無(wú)線網(wǎng)絡(luò)安全對(duì)策和技術(shù)[J].科技資訊，2006，(19). 轉(zhuǎn)