企業(yè)無線網(wǎng)絡(luò)安全問題探究

單 良，趙艷麗

(1.黑龍江工業(yè)學(xué)院，黑龍江 雞西 158100； 2.下車中學(xué)，江蘇 連云港 222231)

企業(yè)無線網(wǎng)絡(luò)安全問題探究

單 良1，趙艷麗2

(1.黑龍江工業(yè)學(xué)院，黑龍江 雞西 158100； 2.下車中學(xué)，江蘇 連云港 222231)

當(dāng)3G、4G網(wǎng)絡(luò)技術(shù)在個(gè)人終端市場大放異彩的時(shí)候，Wi-Fi等無線互聯(lián)技術(shù)的出現(xiàn)也給企業(yè)用戶帶來了前所未有的便利。但與此同時(shí)，企業(yè)網(wǎng)絡(luò)中不遵從總體安全策略而使用無線網(wǎng)絡(luò)的現(xiàn)象給企業(yè)網(wǎng)絡(luò)帶來了潛在的安全風(fēng)險(xiǎn)。擬對(duì)企業(yè)無線網(wǎng)絡(luò)安全隱患問題進(jìn)行探究，并提出相應(yīng)的解決措施，以期使企業(yè)無線網(wǎng)絡(luò)更加安全。

Wi-Fi；安全策略；網(wǎng)絡(luò)安全

人們習(xí)慣性地認(rèn)為看得見摸得著的東西比較容易掌控，在對(duì)無線網(wǎng)絡(luò)安全問題方面尤其如此。大多數(shù)中小企業(yè)用戶通常不會(huì)在其部署的Wi-Fi網(wǎng)絡(luò)中設(shè)置WPA(Wi-Fi Protected Access)或WEP(Wire Equivalence protection)安全認(rèn)證與防護(hù)，許多用戶僅僅將無線網(wǎng)絡(luò)理解為一種可以方便實(shí)現(xiàn)網(wǎng)絡(luò)連接的途徑，根本不會(huì)過多地考慮安全問題。實(shí)際上，即使大型企業(yè)用戶也不同程度地存在過于注重?zé)o線網(wǎng)絡(luò)的便利性而忽視其安全性的現(xiàn)象，尤其是大型企業(yè)的個(gè)別分支機(jī)構(gòu)或部門，在自行部署無線網(wǎng)絡(luò)的過程中，可能會(huì)不知不覺地留下危及整個(gè)企業(yè)網(wǎng)絡(luò)的安全隱患。

一 Wi-Fi網(wǎng)絡(luò)為企業(yè)的發(fā)展帶來的便捷

隨著企業(yè)的日益發(fā)展壯大，企業(yè)在全球各地的員工對(duì)移動(dòng)辦公的要求日益高漲，而采用Wi-Fi網(wǎng)絡(luò)技術(shù)，是解決移動(dòng)辦公問題的最好手段。因?yàn)槟壳皫缀跛械囊苿?dòng)終端全部支持Wi-Fi網(wǎng)絡(luò)接口，而WLAN無線局域網(wǎng)在企業(yè)的建立使得人們將筆記本，PDA，無線的網(wǎng)絡(luò)電話方便快速地連接到企業(yè)網(wǎng)絡(luò)中，這無疑是對(duì)Wi-Fi的爆發(fā)產(chǎn)生了一個(gè)巨大的驅(qū)動(dòng)力。另一方面相對(duì)于3G、4G的無線網(wǎng)絡(luò)解決方案，Wi-Fi網(wǎng)絡(luò)的價(jià)格則會(huì)便宜許多。因此對(duì)于一般布線困難的企業(yè)用戶而言，若能使用無線網(wǎng)絡(luò)，利用其靈活性、移動(dòng)性好，安裝便捷，易于網(wǎng)絡(luò)規(guī)劃和調(diào)整，故障定位容易，易于擴(kuò)展等特點(diǎn)，則是再好不過的選擇。

二 Wi-Fi網(wǎng)絡(luò)的安全隱患及應(yīng)對(duì)措施

當(dāng)前越來越多的企業(yè)部署Wi-Fi網(wǎng)絡(luò)，并利用其登錄企業(yè)網(wǎng)絡(luò)處理一些關(guān)鍵業(yè)務(wù)，這就對(duì)企業(yè)網(wǎng)絡(luò)的安全和可靠性提出了更高的要求。而企業(yè)對(duì)移動(dòng)辦公需求的日益增長，加速了移動(dòng)網(wǎng)絡(luò)市場的發(fā)展。在這一發(fā)展過程中，安全問題成為企業(yè)審查網(wǎng)絡(luò)發(fā)展策略的核心要素。多數(shù)企業(yè)認(rèn)為，無線移動(dòng)網(wǎng)絡(luò)的安全性“非常”重要。在當(dāng)今的企業(yè)Wi-Fi網(wǎng)絡(luò)中，存在以下幾種安全隱患值得大家注意。

1.非授權(quán)的接入方式。

企業(yè)中私自部署無線接入的現(xiàn)象是一個(gè)應(yīng)當(dāng)引起足夠重視的問題，由這類問題引發(fā)的盜用企業(yè)的帶寬資源或其他資源消耗威脅尚在其次，筆者認(rèn)為真正的威脅來自于不安全的私設(shè)無線接入點(diǎn)，這些私設(shè)的無線接入點(diǎn)不但使得企業(yè)網(wǎng)絡(luò)的有限帶寬被非法接入者白白盜用，而且會(huì)造成企業(yè)網(wǎng)絡(luò)的擁塞現(xiàn)象。更加嚴(yán)重的是使得原本脆弱的企業(yè)網(wǎng)絡(luò)向各種病毒、木馬程序和惡意攻擊敞開了大門。

目前解決非授權(quán)接入方式有代表性的方案是利用傳感器監(jiān)控非法接入的無線網(wǎng)絡(luò)設(shè)備的射頻信號(hào)。如果企業(yè)網(wǎng)絡(luò)內(nèi)添加了無線接入點(diǎn)，該接入點(diǎn)接入網(wǎng)絡(luò)并開始運(yùn)行SSID(Service Set Identifier)信號(hào)廣播時(shí)，傳感器就可以及時(shí)察覺并立即通知網(wǎng)絡(luò)維護(hù)人員，這樣就可以有效防止非授權(quán)的網(wǎng)絡(luò)接入方式。

2.無線電頻率干擾。

幾乎所有發(fā)射電磁信號(hào)的設(shè)備都會(huì)產(chǎn)生無線電頻率干擾，影響一個(gè)無線網(wǎng)絡(luò)的性能。這些設(shè)備包括無繩電話、藍(lán)牙設(shè)備等。然而大多數(shù)企業(yè)并沒有意識(shí)到Wi-Fi干擾的一個(gè)最大干擾源正是他們自己的Wi-Fi網(wǎng)絡(luò)。要最大限度地減少無線電頻率干擾的風(fēng)險(xiǎn)，在安裝接入點(diǎn)之前要進(jìn)行無線站點(diǎn)調(diào)查以檢測(cè)是否存在干擾和對(duì)抗干擾的措施。

目前有三個(gè)解決無線電干擾的常用辦法，其中包括降低物理數(shù)據(jù)傳輸率，減少受干擾AP的傳輸功率和調(diào)整AP的信道分配。在特定情況下，上述三種方法每一種都很有效，但是這三種方法沒有一種能夠從根本上解決無線電干擾這一問題。

3.地址欺騙和會(huì)話攔截。

眾所周知802.11無線局域網(wǎng)是不對(duì)傳輸鏈路層的數(shù)據(jù)幀進(jìn)行認(rèn)證操作的，這使得攻擊者可以通過ARP欺騙幀去重定向數(shù)據(jù)流，從而輕易獲得網(wǎng)絡(luò)中其它用戶的MAC地址，這些地址可以被用來惡意攻擊時(shí)使用。此外攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，這對(duì)無線網(wǎng)絡(luò)使用者來說是致命的安全威脅。在沒有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

目前的解決方法是必須將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開。即進(jìn)行有效的網(wǎng)絡(luò)隔離設(shè)置。

4.流量分析與流量偵聽。

由于無線信號(hào)是以AP為中心在空氣中發(fā)散傳播，所以，使用各種無線網(wǎng)絡(luò)分析儀可以不受限制地截獲未加密的網(wǎng)絡(luò)數(shù)據(jù)，而對(duì)于企業(yè)用戶而言這種被動(dòng)方式的網(wǎng)絡(luò)監(jiān)聽是危險(xiǎn)的。目前，管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機(jī)會(huì)。所以，WEP有漏洞可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且早期，WEP非常容易被解密，硬件廠商為了避免攻擊。作為防護(hù)功能的擴(kuò)展，最新的無線局域網(wǎng)產(chǎn)品的防護(hù)功能比較之前更進(jìn)了一步，利用密鑰管理協(xié)議實(shí)現(xiàn)每15分鐘更換一次WEP密鑰。這樣使得攻擊者在短時(shí)間內(nèi)無法破獲密鑰。

目前的解決方案是采用可靠的協(xié)議進(jìn)行加密。如果用戶的無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSL、IPSec等加密技術(shù)來加強(qiáng)數(shù)據(jù)的安全性。

5.服務(wù)和性能的限制。

由于物理層的開銷，無線局域網(wǎng)的傳輸帶寬是有限的，實(shí)際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半，并且是AP所有用戶共享帶寬。無線帶寬可能被幾種方式吞噬：比如來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者使用Ping命令進(jìn)行有針對(duì)性的攻擊，就能輕易地吞噬AP有限的帶寬;如果以廣播報(bào)文進(jìn)行發(fā)送，就會(huì)同時(shí)阻塞多個(gè)AP；攻擊者可以在同無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號(hào)，這樣被攻擊的網(wǎng)絡(luò)就會(huì)通過CSMA/CA機(jī)制進(jìn)行自動(dòng)適應(yīng)，同樣影響無線網(wǎng)絡(luò)的傳輸；另外，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的client/server系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。

目前的解決方案是進(jìn)行網(wǎng)絡(luò)檢測(cè)，定位性能故障應(yīng)當(dāng)從監(jiān)測(cè)和發(fā)現(xiàn)問題入手，很多AP可以通過SNMP報(bào)告統(tǒng)計(jì)信息，但是信息十分有限，不能反映用戶的實(shí)際問題。而無線網(wǎng)絡(luò)測(cè)試儀則能夠如實(shí)反映當(dāng)前位置信號(hào)的質(zhì)量和網(wǎng)絡(luò)健康情況。測(cè)試儀可以有效識(shí)別網(wǎng)絡(luò)速率、幀的類型，幫助進(jìn)行故障定位。

三 總結(jié)

Wi-Fi網(wǎng)絡(luò)的出現(xiàn)提高了企業(yè)的辦公效率，也帶來了巨大的安全隱患。Wi-Fi技術(shù)為黑客侵入企業(yè)網(wǎng)絡(luò)提供了便利。對(duì)于企業(yè)網(wǎng)絡(luò)安全的管理者而言，是以建設(shè)高帶寬、高質(zhì)量、高安全、可管理的無線網(wǎng)絡(luò)作為目標(biāo)，使得無線局域網(wǎng)具備以太網(wǎng)的功能和穩(wěn)定性，更加適合規(guī)模化應(yīng)用，滿足不同級(jí)別的用戶對(duì)無線網(wǎng)絡(luò)建設(shè)和應(yīng)用的要求。所以當(dāng)無線網(wǎng)絡(luò)給我們的企業(yè)帶來方便的同時(shí)，請(qǐng)大家一定不要忽視安全的重要性。我們相信無線網(wǎng)絡(luò)市場將會(huì)有翻天覆地的變化，并且將迅速推動(dòng)無線網(wǎng)絡(luò)應(yīng)用走上新的高度。

[1]孫友偉，張曉燕，暢志賢.現(xiàn)代移動(dòng)通訊網(wǎng)絡(luò)技術(shù)[M].人民郵電出版社，2012(4).

[2]高峰.無線城市電信級(jí)WI-FI網(wǎng)絡(luò)建設(shè)與運(yùn)營[M].人民郵電出版社，2011(1).

[3]張煥炯.通信系統(tǒng)安全[M].國防工業(yè)出版社，2012(9).

ClassNo.:TP393.08DocumentMark：A

(責(zé)任編輯：鄭英玲)

HowtoGuaranteetheSecurityoftheWi-FiWirelessNetworkforEnterprises

Shan Liang，Zhao Yanli

( Heilongjiang University of Technology, Jixi, Heilongjiang 158100 ,China; Xiache Middle Scholl , Lianyungang, Jiangsu 222231 , China)

While the 3G and 4G network technology has been widely used in personal terminal ,Wi-Fi wireless Internet technology has brought much more benefits to the company user. But there are some problems for the enterprise networks in the safety strategies which has resulted in some potential risks in the business network .

Wi-Fi; security policy; network security

單良，碩士，講師，黑龍江工業(yè)學(xué)院。

趙艷麗，中級(jí)，連云港市下車中學(xué)。

1672-6758(2013)09-0052-2

TP393.08

A