提升無線網(wǎng)絡(luò)安全的方法研究

摘要：隨之互聯(lián)網(wǎng)的迅速發(fā)展，無線網(wǎng)絡(luò)的應(yīng)用也得到迅速的發(fā)展，但是安全問題沒有得到所有使用者的重視，很多無線網(wǎng)絡(luò)的使用者對(duì)自己的無線網(wǎng)絡(luò)完全沒有進(jìn)行安全設(shè)置，任何人都可以進(jìn)行連接和使用，這給網(wǎng)絡(luò)安全帶來了很大的風(fēng)險(xiǎn)。本文針對(duì)于常見的無線網(wǎng)絡(luò)安全問題進(jìn)行了說明，并給出了通過個(gè)性化配置無線網(wǎng)絡(luò)設(shè)備提升網(wǎng)絡(luò)安全的方法。

關(guān)鍵詞：網(wǎng)絡(luò)安全；無線網(wǎng)絡(luò)

中圖分類號(hào)：TN92 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 22-0000-02

隨著互聯(lián)網(wǎng)和寬帶的普及，網(wǎng)絡(luò)的連接方式也發(fā)生了很大的變化，最近幾年出現(xiàn)了無線形式，無線網(wǎng)絡(luò)的使用給用戶帶來很大的便利性，也減少了線路損壞給網(wǎng)絡(luò)連接帶來的障礙。因此無線連接方式得到了廣泛的應(yīng)用。但無線網(wǎng)絡(luò)的安全不可忽視，無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)比有線大很多，對(duì)于無線網(wǎng)絡(luò)的安全管理，我們可以采用多種方式相結(jié)合，降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

1 無線網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)

無線網(wǎng)絡(luò)應(yīng)用日趨廣泛，很多人開始研究無線網(wǎng)絡(luò)，想免費(fèi)使用別人的無線網(wǎng)絡(luò)，這就造成了無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)比有線網(wǎng)絡(luò)要高很多。有線網(wǎng)絡(luò)存在的安全威脅在無線網(wǎng)絡(luò)中同樣存在，無線網(wǎng)絡(luò)是開放式系統(tǒng)，只要是在無線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，就有機(jī)會(huì)連接到無線網(wǎng)絡(luò)，這就給無線網(wǎng)絡(luò)帶來了比有線網(wǎng)絡(luò)更多的安全問題。無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)下在以下幾個(gè)方面。

1.1 MAC地址欺騙。這種欺騙方式在有線網(wǎng)絡(luò)中也存在，這種欺騙很難被發(fā)現(xiàn)，攻擊者通常用網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，獲得AP允許通信的靜態(tài)地址池，再修改MAC值為已經(jīng)允許訪問網(wǎng)絡(luò)的設(shè)備MAC值以欺騙識(shí)別系統(tǒng)，進(jìn)而獲取更多的網(wǎng)絡(luò)數(shù)據(jù)信息或權(quán)限，合法地接入無線網(wǎng)絡(luò)。

1.2 拒絕服務(wù)攻擊。攻擊者可能對(duì)無線AP發(fā)送大量的數(shù)據(jù)包，進(jìn)行洪泛式攻擊，使AP超過了服務(wù)能力而拒絕提供服務(wù)，這是最為嚴(yán)重的一種攻擊，可以是網(wǎng)絡(luò)癱瘓。此外，對(duì)網(wǎng)絡(luò)內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行連續(xù)攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，而達(dá)到設(shè)備拒絕服務(wù)的目的。

1.3 WEP破解。一些非法程序，在信號(hào)區(qū)覆蓋范圍內(nèi)收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析破解。破解的速度很快。

1.4 網(wǎng)絡(luò)竊聽。無線網(wǎng)絡(luò)中很多通信都是未經(jīng)加密的，這種情況使無線信號(hào)覆蓋范圍內(nèi)的攻擊者有機(jī)會(huì)對(duì)通信進(jìn)行監(jiān)視和破解。由于入侵者采用無線連接網(wǎng)絡(luò)，因此這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

1.5 信息重放。如果無線網(wǎng)絡(luò)安全措施不完善，很容易被攻擊者攻擊，攻擊者通常利用非法AP進(jìn)行中間人欺騙攻擊。對(duì)于這種攻擊，即使采用了VPN 等一些保護(hù)措施也很難避免。中間人攻擊對(duì)授權(quán)客戶端和無線AP 同時(shí)進(jìn)行欺騙，然后對(duì)信息進(jìn)行竊取和篡改。

1.6 假冒攻擊。最為常用的入侵方法。由于無線網(wǎng)絡(luò)的連接不采用物理線路連接，所有信息都采用無線連接方式傳送，身份信息在傳輸時(shí)安全性降低，可能被竊聽。當(dāng)攻擊者截獲合法用戶的身份信息時(shí)，可利用該用戶的合法身份侵入網(wǎng)絡(luò)，這種入侵識(shí)別比較困難。

2 提高無線網(wǎng)絡(luò)安全的方法

提高無線網(wǎng)絡(luò)安全的方法有多種，針對(duì)于不同的情況采用不同的方法，也可以多種方法相結(jié)合。

2.1 使用高級(jí)的無線加密協(xié)議。使用WEP加密方式安全性較低，但如果能夠正確使用WEP的全部功能，那么WEP仍有一定安全效果。無線網(wǎng)絡(luò)中常用的加密方式可以選擇WPA/WPA2等加密協(xié)議，要破解WPA協(xié)議需要很長的時(shí)間和復(fù)雜的配置，成功率也低很多。再結(jié)合其他的安全設(shè)置，可以提高網(wǎng)絡(luò)的安全性。

在設(shè)置加密方式時(shí)，可以使用WPA2-PSK加密。設(shè)置PSK可以降低拒絕服務(wù)攻擊和防止外部探測(cè)。然而傳統(tǒng)的PSK是共享給每個(gè)用戶的，沒法跟蹤或?qū)为?dú)的來賓取消跟蹤。但有些產(chǎn)品提供動(dòng)態(tài)PSK給每個(gè)用戶，如Ruckus DPSK和Aerohive PPSK可以解決這類問題。

2.2 禁止非授權(quán)的用戶聯(lián)網(wǎng)。無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)雖然都是計(jì)算機(jī)網(wǎng)絡(luò)，但有很大的區(qū)別。無線網(wǎng)絡(luò)是放射狀的，不存在專有線路連接，比有線網(wǎng)絡(luò)更容易識(shí)別和連接。因此，保障無線網(wǎng)絡(luò)的安全比有線網(wǎng)絡(luò)的安全更加困難。保證無線連接安全的關(guān)鍵是禁止非授權(quán)用戶訪問無線網(wǎng)絡(luò)，即安全的接入點(diǎn)對(duì)非授權(quán)用戶是關(guān)閉的，非授權(quán)用戶將無法連接入網(wǎng)絡(luò)。

2.3 禁用動(dòng)態(tài)主機(jī)配置協(xié)議。動(dòng)態(tài)配置協(xié)議在很多網(wǎng)絡(luò)中被普遍使用，給網(wǎng)絡(luò)管理提供了便利條件，但會(huì)給網(wǎng)絡(luò)帶來安全風(fēng)險(xiǎn)，因此應(yīng)該禁用動(dòng)態(tài)主機(jī)配置協(xié)議。采用這個(gè)策略后，即使黑客能使用你的無線接入點(diǎn)，但不知道IP地址等信息，會(huì)增加黑客破解無線網(wǎng)絡(luò)的難度。這樣可以提高無線網(wǎng)絡(luò)的安全性。

2.4 禁止使用或修改SNMP的默認(rèn)設(shè)置。SNMP是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，如果無線接入點(diǎn)支持這個(gè)協(xié)議， 那么應(yīng)該禁用這個(gè)協(xié)議或修改初始配置。否則黑客可以利用這協(xié)議獲取無線網(wǎng)絡(luò)的重要信息，并進(jìn)行攻擊。

2.5 盡量使用訪問列表。為了更好地保護(hù)無線網(wǎng)絡(luò)，可以設(shè)置一個(gè)訪問列表，使無線路由器只允許在規(guī)則內(nèi)MAC值的設(shè)備進(jìn)行通訊，或者禁止黑名單中的MAC地址訪問。啟用MAC地址過濾，無線路由器會(huì)攔截禁止訪問的設(shè)備所發(fā)送的數(shù)據(jù)包，將這些數(shù)據(jù)包丟棄。因此對(duì)于惡意攻擊的主機(jī)，即使變換IP地址也無法進(jìn)行訪問。但這項(xiàng)功能并不是所有無線接入點(diǎn)都會(huì)支持，并且需要手動(dòng)輸入過濾的MAC值，工作量很大，支持訪問列表功能的接入點(diǎn)設(shè)備可以利用簡(jiǎn)單文件傳輸協(xié)議（TFTP）定期自動(dòng)地下載更新訪問列表，從而減少管理人員的工作量。

2.6 改變SSID號(hào)并且禁止SSID廣播。無線接入點(diǎn)的服務(wù)集標(biāo)識(shí)（SSID）是無線接入的身份標(biāo)識(shí)，是無線網(wǎng)絡(luò)用于無線服務(wù)連接的一項(xiàng)功能，用戶通過它連接到無線網(wǎng)絡(luò)，為了能夠連接成功并進(jìn)行通訊，無線路由器和訪問設(shè)備必須使用相同的SSID。這個(gè)身份標(biāo)識(shí)是由通信設(shè)備制造企業(yè)出廠時(shí)設(shè)置的，都有其默認(rèn)值。在使用出廠設(shè)置的默認(rèn)值的情況下，在設(shè)備使用中，無線路由器廣播其SSID號(hào)，任何在此設(shè)備覆蓋范圍內(nèi)的無線訪問設(shè)備都可以獲得SSID信息，使用此SSID值對(duì)接入設(shè)備進(jìn)行配置后，可以實(shí)現(xiàn)與無線路由器進(jìn)行通訊。黑客可以未經(jīng)授權(quán)輕松連接無線網(wǎng)絡(luò)。雖然大部分無線路由器都有禁用SSID廣播功能，但仍需要將每個(gè)無線接入點(diǎn)設(shè)置一個(gè)唯一、并且難以推測(cè)的SSID值，同時(shí)禁止SSID廣播。這樣，無線網(wǎng)絡(luò)就可以限制未授權(quán)的連接，只有知道SSID值的用戶才能進(jìn)行連接，而且功能使用正常，只是它不會(huì)出現(xiàn)在搜索到的名單中，需要我們手動(dòng)設(shè)置來連接到無線網(wǎng)絡(luò)。

2.7 修改無線網(wǎng)絡(luò)的管理賬戶和密碼。有很多用戶在使用無線網(wǎng)絡(luò)的時(shí)候自己修改了相關(guān)的安全設(shè)置，但是忽略了管理賬戶和密碼的修改。這樣一個(gè)給網(wǎng)絡(luò)安全帶來了隱患。因此在對(duì)無線網(wǎng)絡(luò)安全設(shè)置的時(shí)候就要先將管理帳號(hào)和密碼進(jìn)行修改。

2.8 將IP地址和MAC地址綁定。在進(jìn)行設(shè)置安全策略時(shí)，可以使用靜態(tài)IP，并給MAC地址指定IP值，進(jìn)行綁定，如IP地址和MAC值不完全相同，設(shè)備會(huì)禁止訪問，可以降低安全風(fēng)險(xiǎn)。

2.9 修改接入點(diǎn)設(shè)備的接入IP地址。路由企業(yè)在生產(chǎn)設(shè)備時(shí)，會(huì)設(shè)置默認(rèn)的LAN接入IP地址，很多設(shè)備的LAN接入IP是192.168.1.1或者是192.168.0.1，這樣的接入IP如果不進(jìn)行修改很容易被攻擊者利用，通過嗅探和掃描，很容易發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞。因此，在設(shè)置無線網(wǎng)絡(luò)安全時(shí)，可以將這個(gè)IP地址修改成其他值，攻擊者無法獲取接入IP，想攻擊無線網(wǎng)絡(luò)，難度增加。

有了這些策略，無線網(wǎng)絡(luò)可以放心安全的提供網(wǎng)絡(luò)給承包商，合作伙伴，客戶，和其他授權(quán)的來賓，而不用過多擔(dān)心安全問題。

參考文獻(xiàn)：

[1]仇芒仙.無線網(wǎng)絡(luò)的安全技術(shù)的探討[J].電腦應(yīng)用與開發(fā)，2007.

[2]張麗娜，何遠(yuǎn).無線局域網(wǎng)安全淺析[J].硅谷，2010，4.

[3]莫林利.無線局域網(wǎng)技術(shù)及其安全性研究[J].科技信息，2009，8.

[4]潘曉偉.無線局域網(wǎng)安全性探討[J].科技傳播，2010，1.

[5]武波華，陳崛，費(fèi)洪曉.淺析無線局域網(wǎng)安全性的改進(jìn).中國電子商務(wù)，2010，3.

[作者簡(jiǎn)介]孫廣（1977.6-），男，漢，吉林省長春市，碩士，講師，長春工業(yè)大學(xué)人文信息學(xué)院，數(shù)據(jù)庫應(yīng)用及網(wǎng)絡(luò)應(yīng)用。