學(xué)校無線局域網(wǎng)的安全防范

現(xiàn)在，無線局域網(wǎng)已經(jīng)形成了主流趨勢(shì)，各類公司都想把有線LAN和無線LAN進(jìn)行集成，我們學(xué)校就是這種情況，作為網(wǎng)絡(luò)管理人員都希望無線能夠提供和有線一樣的安全性，但無線網(wǎng)絡(luò)確實(shí)存在很多問題，最近我們學(xué)校的無線局域網(wǎng)就基本處于癱瘓狀態(tài)，大部分機(jī)器會(huì)瞬間掉線或大面積的斷網(wǎng)，不停的提示受到ARP攻擊，看癥狀應(yīng)該是ARP欺騙在作怪，但奇怪的是有線網(wǎng)絡(luò)很正常，只在2號(hào)樓使用無線網(wǎng)絡(luò)的時(shí)候會(huì)出現(xiàn)問題。在不斷的排查解決問題的過程中，我翻閱了很多資料，對(duì)無線局域網(wǎng)的安全及防范有了些心得體會(huì)。

一、無線局域網(wǎng)的安全機(jī)制

無線局域網(wǎng)的安全性，主要包括訪問控制和加密。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶訪問，加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和理解。IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無線局域網(wǎng)的訪問控制和加密:系統(tǒng)ID(SSID)和有線對(duì)等加密(WEP)。

1.認(rèn)證機(jī)制

當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過認(rèn)證。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一是開放系統(tǒng)認(rèn)證，二是共享密鑰認(rèn)證。

認(rèn)證使用的服務(wù)組標(biāo)識(shí)符提供一個(gè)最底層的接入控制。一個(gè)SSID是一個(gè)無線局域網(wǎng)子系統(tǒng)內(nèi)通用的網(wǎng)絡(luò)名稱，它服務(wù)于該子系統(tǒng)內(nèi)的邏輯段。因?yàn)镾SID本身沒有安全性，所以用SSID作為接入控制是不夠安全的。接入點(diǎn)作為無線局域網(wǎng)用戶的連接設(shè)備，通常廣播SSID。

2.WEP加密

WEP即有線對(duì)等保密，它提供了兩種用于無線局域網(wǎng)的WEP加密方案:第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享-包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶適配器。當(dāng)用戶得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶適配器建立一個(gè)與其他用戶聯(lián)系的密鑰表。比前種方案安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。WEP標(biāo)準(zhǔn)是在無線網(wǎng)的早期創(chuàng)建的，它的主要問題是設(shè)計(jì)上的缺陷:陳舊低效!但仍是現(xiàn)在許多個(gè)人甚至公司保障安全的常用的方法。

二、影響無線網(wǎng)絡(luò)安全的因素

1.MAC地址和WEP密鑰的安全缺陷

標(biāo)準(zhǔn)的WEP支持每個(gè)信息包加密功能，并不支持對(duì)每個(gè)信息包的驗(yàn)證。黑客可從對(duì)已知數(shù)據(jù)包的響應(yīng)來重構(gòu)信息流，發(fā)送欺騙信息包。彌補(bǔ)這個(gè)安全弱點(diǎn)的途徑之一是定期更換WEP密鑰。

2.來自外部的非法訪問和ARP攻擊

眾所周知ARP攻擊不是病毒，卻勝似病毒。一些非法入侵者只要了解了ARP的工作原理，就能利用各種手段發(fā)動(dòng)ARP攻擊。

3.虛假接入點(diǎn)

無線網(wǎng)絡(luò)經(jīng)常會(huì)出現(xiàn)無法連接的問題，這時(shí)我們需要檢測(cè)網(wǎng)絡(luò)中是否存在虛假接入點(diǎn)。簡(jiǎn)單的檢測(cè)方法是在你的有線網(wǎng)絡(luò)中的一臺(tái)電腦中打開命令行模式，然后ping無線接入點(diǎn)的IP地址，如果沒有響應(yīng)，可能是網(wǎng)絡(luò)中存在虛假接入點(diǎn)。

三、無線局域網(wǎng)的安全解決方案

文章開頭提到的我校的無線網(wǎng)絡(luò)問題是通過此種方式解決的:

1.確定范圍

在大型的無線網(wǎng)絡(luò)環(huán)境中，如果僅部分用戶無法連接網(wǎng)絡(luò)很有可能是某個(gè)接入點(diǎn)出現(xiàn)了故障。通過察看出問題的客戶端的物理位置，能大概判斷是哪個(gè)接入點(diǎn)出現(xiàn)問題。

2.檢查接入點(diǎn)的可連接性

要檢測(cè)無線接入點(diǎn)的連接，可以ping它的IP，如果沒有響應(yīng)，可能是無線連接出了問題。

3.軟件防護(hù)

使用ARP防護(hù)軟件，如360安全衛(wèi)士。

當(dāng)然每個(gè)無線局域網(wǎng)的結(jié)構(gòu)和配置不同，問題也不同，又由于無線網(wǎng)絡(luò)通過空氣傳播的不確定性，還有很多問題解決不了，但通過實(shí)踐總結(jié)對(duì)無線路由器的安全設(shè)置，一般有以下幾種方案:

1.開啟IP地址過濾，限制使用MAC地址

通過開啟此功能允許特定的無線網(wǎng)絡(luò)設(shè)備與本地?zé)o線路由器連接，只有IP地址在列表中的用戶才能正常訪問無線網(wǎng)絡(luò)，其他的就無法連入網(wǎng)絡(luò)了。

2.禁用接入點(diǎn)的DHCP服務(wù)

無線接入點(diǎn)都自帶DHCP功能。一般這些DHCP服務(wù)器都會(huì)將192.168.0.x這個(gè)地址段分配給無線客戶端。而且DHCP接入點(diǎn)也不接受別的IP地址的連接請(qǐng)求。這意味著具有靜態(tài)IP地址或從其他DHCP獲取IP的客戶端可能無法正常連接，要解決這個(gè)問題，應(yīng)該在每個(gè)接入點(diǎn)上設(shè)定不同的IP地址分配范圍，以防止地址重疊。

3.拒絕SSID對(duì)外廣播

同一生產(chǎn)商推出的無線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網(wǎng)絡(luò)，就極易建立起一條非法的連接。因此，最好能夠?qū)SID命名為一些較有個(gè)性的名字，或者干脆“禁止SSID廣播”。

4.VPN技術(shù)

VPN即“虛擬專用網(wǎng)絡(luò)”。它從90年代以來一直被作為一種點(diǎn)到點(diǎn)的安全方式。它就好比是架設(shè)了一條專線一樣，但并不需要真正的去鋪設(shè)光纜之類的物理線路。

如下圖所示:要在在遠(yuǎn)程辦公室的出口設(shè)備上配置Easy VPN Remote端;網(wǎng)絡(luò)能夠安全互訪，可以配置總部到分部的VPN。

四、總結(jié)

網(wǎng)絡(luò)的開放性決定了它的復(fù)雜性和多樣性，而新興的無線網(wǎng)絡(luò)在給我們帶來更多便捷的同時(shí)也帶來了很多新的網(wǎng)絡(luò)安全問題，因此無線網(wǎng)絡(luò)安全技術(shù)已成為21世紀(jì)信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)ヌ剿?

作者單位:江蘇省前黃高中國(guó)際分校信息技術(shù)組