無(wú)線(xiàn)局域網(wǎng)通信安全問(wèn)題探討

譚 荊

（重慶工商大學(xué) 計(jì)算機(jī)與信息工程學(xué)院，重慶 400023）

0 引言

無(wú)線(xiàn)局域網(wǎng)(WLAN)由無(wú)線(xiàn)網(wǎng)卡、無(wú)線(xiàn)接入點(diǎn)(AP)、計(jì)算機(jī)和有關(guān)設(shè)備組成。無(wú)線(xiàn)通信的傳輸媒體主要是廣播和無(wú)線(xiàn)電波，因此用無(wú)線(xiàn)局域網(wǎng)組網(wǎng)安裝簡(jiǎn)單、易于移動(dòng)、靈活、可擴(kuò)展性強(qiáng)、便于維護(hù)和管理，而受到越來(lái)越多用戶(hù)的青睞。隨之而來(lái)是用戶(hù)對(duì)無(wú)線(xiàn)局域網(wǎng)的期望日益升高，同時(shí)其安全性也隨著應(yīng)用的深入不斷的表露出來(lái)，并成為制約無(wú)線(xiàn)局域網(wǎng)不斷發(fā)展的瓶頸[1]。

1 無(wú)線(xiàn)局域網(wǎng)安全技術(shù)分析

眾所周知，無(wú)線(xiàn)局域網(wǎng)的數(shù)據(jù)是通過(guò)無(wú)線(xiàn)媒體在空中傳遞，通信保密能力有很高的要求。但是為了保證無(wú)線(xiàn)局域網(wǎng)的安全性，就必須在不同層次采取必要的措施。

①TKIP-臨時(shí)密鑰完整性協(xié)議。 TKIP由加密協(xié)議（WEP）使用的同樣的加密引擎和 RC4算法組成，可改變每個(gè)數(shù)據(jù)包所使用的密鑰。使其具有足夠的密碼強(qiáng)度，不能被輕易破譯。但只能作為一種臨時(shí)的過(guò)渡方案；

②物理地址(MAC地址)過(guò)濾。MAC地址是廠(chǎng)方出廠(chǎng)前設(shè)定，對(duì)每一塊無(wú)線(xiàn)網(wǎng)卡來(lái)說(shuō)是唯一的。物理地址通過(guò)對(duì)AP的設(shè)定，將指定的無(wú)線(xiàn)網(wǎng)卡的MAC地址輸入到AP中來(lái)過(guò)濾。同時(shí)AP也要對(duì)收到的數(shù)據(jù)包做出準(zhǔn)確的判斷，只有那些符合設(shè)定標(biāo)準(zhǔn)的數(shù)據(jù)包才能被轉(zhuǎn)發(fā)[2]。對(duì)小型無(wú)線(xiàn)局域網(wǎng)時(shí)，該方法簡(jiǎn)單、快捷，十分經(jīng)濟(jì)有效。但不能支持大量的移動(dòng)客戶(hù)端且很麻煩；

③無(wú)線(xiàn)局域網(wǎng)用戶(hù)的隔離技術(shù)。這種技術(shù)是將所有的無(wú)線(xiàn)客戶(hù)端設(shè)備完全隔離，使每個(gè)用戶(hù)端只能訪(fǎng)問(wèn)固定的通信。通過(guò)這種方式，使用戶(hù)在公共區(qū)域使用無(wú)線(xiàn)局域網(wǎng)的安全性得到了大大的提高。

2 威脅無(wú)線(xiàn)局域網(wǎng)的因素

盡管使用上述安全技術(shù)手段，但無(wú)線(xiàn)局域網(wǎng)也有很多不足，仍然存在一些威脅因素。

①由于無(wú)線(xiàn)局域網(wǎng)是以無(wú)線(xiàn)電波作為傳輸媒介,因此無(wú)線(xiàn)局域網(wǎng)的通信也存在著難以限制通信的物理訪(fǎng)問(wèn),無(wú)線(xiàn)局域網(wǎng)通信的信號(hào)可以傳播到預(yù)期范圍以外的地域,無(wú)線(xiàn)局域網(wǎng)通信中每個(gè)AP的覆蓋范圍形成了通向每個(gè)用戶(hù)的一個(gè)新入口。無(wú)線(xiàn)傳輸?shù)倪@一特點(diǎn),使得對(duì)無(wú)線(xiàn)局域網(wǎng)用戶(hù)端入口的管理不能像也不應(yīng)該像傳統(tǒng)通信那樣。在這無(wú)線(xiàn)局域網(wǎng)通信在傳輸方式上和傳統(tǒng)的有些通信有區(qū)別，但是大體上還是相同的，所以傳統(tǒng)網(wǎng)絡(luò)中常規(guī)的安全風(fēng)險(xiǎn)如病毒，惡意攻擊等都是存在的；②電磁波是共享的，所以非法分子如果想竊取信號(hào)，并通過(guò)竊取信號(hào)進(jìn)行解碼分析特別容易，特別是WLAN默認(rèn)又是不設(shè)置加密的，任何能接受到信號(hào)的人，都可以進(jìn)行竊聽(tīng)。雖然WLAN使用了擴(kuò)頻技術(shù)，但還是會(huì)受到一定的干擾。而且干擾源不是很容易就能查出來(lái)的。在無(wú)線(xiàn)局域網(wǎng)的信息傳輸中，通信需要發(fā)送有某種特定參數(shù)的信息幀，這樣也給非法分子提供了必要的通信信息。入侵者也可以利用兩個(gè)AP點(diǎn)對(duì)通信發(fā)起惡意攻擊而不需要任何其他方式的侵入。由于無(wú)線(xiàn)局域網(wǎng)對(duì)信息幀不能進(jìn)行認(rèn)證操作,非法分子可以通過(guò)欺騙信息幀去重新定向數(shù)據(jù)流，從而ARP表變得混亂。通過(guò)會(huì)話(huà)攔截實(shí)現(xiàn)的通信入侵就變得無(wú)法避免。因此,無(wú)線(xiàn)局域網(wǎng)中存在的安全問(wèn)題威脅因素主要是:信息泄露、截取或者修改傳輸數(shù)據(jù)、拒絕服務(wù)、地址欺騙與會(huì)話(huà)攔截等等。

3 加強(qiáng)無(wú)線(xiàn)局域網(wǎng)安全的對(duì)策性措施

3.1 升級(jí)密鑰機(jī)制，防止惡意入侵

在無(wú)線(xiàn)局域網(wǎng)安全問(wèn)題上，保護(hù)通信安全的一個(gè)最基本措施就是加密，而這一措施是比較簡(jiǎn)單的，只需要設(shè)置 AP和無(wú)線(xiàn)網(wǎng)卡等設(shè)備，就可以對(duì) WEP加密。筆者認(rèn)為，用戶(hù)應(yīng)經(jīng)常對(duì)密鑰進(jìn)行更新，有必要時(shí)要啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。鑒于目前IEEE 802.1x中公鑰密碼體制的缺陷，筆者建議考慮引入其他成熟的公鑰密碼體制來(lái)完善。

3.2 綁定靜態(tài)IP與MAC地址，加強(qiáng)網(wǎng)絡(luò)安全

眾所周知，通常AP或無(wú)線(xiàn)路由器在分配IP地址時(shí),默認(rèn)使用即動(dòng)態(tài)IP地址分配,這樣分配出的地址不是隨機(jī)的，這樣非法分子就有機(jī)可乘，這對(duì)無(wú)線(xiàn)局域網(wǎng)的通信來(lái)說(shuō)是具有很大的安全隱患。非法分子只要找到了無(wú)線(xiàn)通信的 IP,就可以通過(guò)動(dòng)態(tài)IP地址分配而得到一個(gè)合法的IP地址,進(jìn)入局域通信中，從而盜取信息和修個(gè)矮傳輸數(shù)據(jù)，地址欺騙和會(huì)話(huà)攔截等非法行為，這些會(huì)給無(wú)線(xiàn)局域網(wǎng)帶來(lái)很大的損失。綜合以上來(lái)看,只有通過(guò)關(guān)閉 DHCP服務(wù),為每個(gè)用戶(hù)客戶(hù)端分配固定的靜態(tài) IP地址，再把這個(gè)地址與用戶(hù)電腦網(wǎng)卡的MAC地址進(jìn)行綁定，非法分子就是得到了IP地址,還要驗(yàn)證綁定的 MAC地址,相當(dāng)于兩重關(guān)卡。這樣使非法分子難以攻破，就能大大提升通信的安全性。

3.3 安全應(yīng)用VPN技術(shù)

在國(guó)際上，虛擬專(zhuān)用通信（VPN）是指在一個(gè)公共局域網(wǎng)通信平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的通信安全性。VPN技術(shù)是通過(guò)三級(jí)保障保證局域網(wǎng)的安全:用戶(hù)認(rèn)證、加密和數(shù)據(jù)認(rèn)證來(lái)實(shí)現(xiàn)無(wú)線(xiàn)通信的安全性保證[3]。用戶(hù)認(rèn)證確保只有己被授權(quán)的用戶(hù)才能夠進(jìn)行無(wú)線(xiàn)通信連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽(tīng)到傳輸信號(hào)，沒(méi)有充足的時(shí)間和精力他也不能將這些信息解密。數(shù)據(jù)認(rèn)證確保在無(wú)線(xiàn)通信上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來(lái)自已經(jīng)得到認(rèn)證的設(shè)備。由于在大型無(wú)線(xiàn)局域網(wǎng)通信中維護(hù)工作和AP的WEP加密密鑰以及IP的MAC地址列表都是難以實(shí)行的管理任務(wù)。因此對(duì)于高安全要求或大型的無(wú)線(xiàn)通信，VPN方案是一個(gè)更好的選擇。對(duì)于無(wú)線(xiàn)局域網(wǎng)商用通信，與WEP機(jī)制和MAC地址過(guò)濾接入不同，基于VPN的解決方案是當(dāng)今WEP機(jī)制和MAC地址過(guò)濾機(jī)制的最佳替代者。VPN方案具有較強(qiáng)的擴(kuò)充能力、升級(jí)性能能力，所以大規(guī)模的無(wú)線(xiàn)通信應(yīng)用是最合適的。VPN技術(shù)的運(yùn)用可以為無(wú)線(xiàn)通信的安全性能提供保障。

3.4 加強(qiáng)無(wú)線(xiàn)局域網(wǎng)的入侵監(jiān)測(cè)系統(tǒng)

無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比，增加了無(wú)線(xiàn)局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性[4]。監(jiān)視分析無(wú)線(xiàn)局域網(wǎng)用戶(hù)的活動(dòng),進(jìn)一步判斷入侵事件的形式和類(lèi)型,最終檢測(cè)出非法的通信行為,并及時(shí)對(duì)異常的通信流量進(jìn)行報(bào)警。無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)不但能找出入侵者,還能加強(qiáng)策略，無(wú)線(xiàn)局域網(wǎng)檢測(cè)系統(tǒng)通過(guò)使用強(qiáng)有力的策略,使無(wú)線(xiàn)局域網(wǎng)更安全。在無(wú)線(xiàn)通信領(lǐng)域,對(duì)入侵監(jiān)測(cè)的研究已經(jīng)廣泛的展開(kāi)并已經(jīng)設(shè)計(jì)出了一些有效的入侵監(jiān)測(cè)系統(tǒng),隨著無(wú)線(xiàn)通信入侵監(jiān)測(cè)技術(shù)迅速發(fā)展,必將進(jìn)一步提高WLAN的安全性。

4 結(jié)語(yǔ)

綜述所述，隨著無(wú)線(xiàn)局域網(wǎng)的不斷發(fā)展，無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題也越來(lái)越受到重視。立足于此，展開(kāi)對(duì)無(wú)線(xiàn)局域網(wǎng)安全技術(shù)以及目前存在的安全威脅進(jìn)行分析。筆者認(rèn)為只要安全應(yīng)用VPN技術(shù)，綁定靜態(tài)IP與MAC地址，加強(qiáng)網(wǎng)絡(luò)安，加強(qiáng)無(wú)線(xiàn)局域網(wǎng)的入侵監(jiān)測(cè)系統(tǒng)，不斷升級(jí)密鑰機(jī)制等措施，在一定程度上可以確保無(wú)線(xiàn)通信技術(shù)的安全問(wèn)題。相信隨著 WLAN的迅速應(yīng)用和安全技術(shù)的不斷完善，合理組合安全機(jī)制，制定規(guī)范和有效的管理措施，相信在未來(lái)，無(wú)線(xiàn)局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

[1] 李園,王燕鴻.無(wú)線(xiàn)通信安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù),2007,(05):91-94.

[2] 周慶忠,趙海霞.無(wú)線(xiàn)局域網(wǎng)的安全性與改進(jìn)方法研究[J].微計(jì)算機(jī)信息,2006(22):202-204.

[3] 褚麗莉.無(wú)線(xiàn)局域網(wǎng)安全分析[J].通信技術(shù),2009,42(07):34-36.

[4] 張雙斌.淺談無(wú)線(xiàn)局域網(wǎng)通信安全及其防范對(duì)策[J].計(jì)算機(jī)安全,2008(08):82-85.