影響計算機局域網(wǎng)絡(luò)安全的隱患初步探究

【摘 要】本文在簡單介紹局域網(wǎng)及安全隱患負面影響相關(guān)問題的基礎(chǔ)上，對無線局域網(wǎng)的安全隱患進行了討論和分析，并以此為依據(jù)，提出針對性的解決辦法。

【關(guān)鍵詞】計算機局域網(wǎng) 安全隱患 應(yīng)對策略

我們當(dāng)前正處于一個信息技術(shù)、網(wǎng)絡(luò)技術(shù)高速發(fā)展的信息社會，信息化辦公系統(tǒng)的廣泛應(yīng)用極大的提升了日常工作的整體效率。作為內(nèi)部信息傳播和共享的重要途徑，局域網(wǎng)的建設(shè)規(guī)模不斷擴大，在信息化建設(shè)中的地位也得到日益凸顯，但同時存在的局域網(wǎng)絡(luò)安全問題，卻給局域網(wǎng)建設(shè)的進一步進行帶來了嚴重的阻礙。鑒于無線局域網(wǎng)的應(yīng)用日趨普遍，所以本次研究從無線局域網(wǎng)入手，對影響計算機局域網(wǎng)絡(luò)安全的各類隱患進行探究，并以此為依據(jù)，形成針對性的改進和應(yīng)對建議。

一、無線局域網(wǎng)的安全隱患分析

無線局域網(wǎng)（Wireless Lan，簡稱WLAN），采用無線電波作為網(wǎng)上傳輸媒介，無法像傳統(tǒng)的有線局域網(wǎng)那樣對網(wǎng)絡(luò)資源的物理訪問進行限制。同時，雖然有建筑材料和周圍環(huán)境的限制，但是無線網(wǎng)絡(luò)信號在絕大多數(shù)情況下依然可以傳播到方位外區(qū)域，也就是說，網(wǎng)絡(luò)覆蓋范圍內(nèi)均可作為WLAN接入點，這就給入侵者竊聽網(wǎng)絡(luò)數(shù)據(jù)、攻擊無線網(wǎng)絡(luò)創(chuàng)造了更多的機會。不過為了實現(xiàn)這一目標(biāo)，入侵者首先要做到的就是獲取網(wǎng)絡(luò)訪問權(quán)限。另外，WLAN作為計算機網(wǎng)絡(luò)的一類，必然符合相應(yīng)的網(wǎng)絡(luò)協(xié)議，所以如計算機病毒等網(wǎng)絡(luò)威脅因素同樣會對WLAN內(nèi)的全部計算機形成乃至形成更多的威脅。綜上所述，影響WLAN安全的隱患和威脅主要包括拒絕服務(wù)、置信攻擊、截取、修改或竊聽傳輸數(shù)據(jù)等。

二、無線局域網(wǎng)安全隱患的應(yīng)對策略

（一）服務(wù)集標(biāo)識符的改變以及SSID廣播的禁止

作為無線接入的身份標(biāo)識符，SSID的作用就是幫助建立用戶和接入點直接的連接，該標(biāo)識符由通信設(shè)備制造商設(shè)置，且不同廠家的缺省值不同，如果黑客了解某單位無線局域網(wǎng)所使用的通信設(shè)備品牌，就可以輕易獲取關(guān)于標(biāo)識符的信息，從而無需經(jīng)過授權(quán)即可享受無線服務(wù)。針對這一問題，我們可以為各個無線接入點設(shè)置相對復(fù)雜且唯一的SSID，如果條件允許，還可以禁止SSID的向外廣播，這樣一來，無線局域網(wǎng)就不會出現(xiàn)在可使用網(wǎng)絡(luò)的名單中，非本單位人員也就無法通過常規(guī)方式接入無線局域網(wǎng)。

（二）靜態(tài)IP與綁定MAC地址

無線路由器或AP在對IP地址進行分配時，大多默認采用DHCP即動態(tài)IP地址分配的方式，黑客只需找到無線網(wǎng)絡(luò)，就可以輕易借助DHCP獲取合法IP地址并完成接入。所以，管理人員應(yīng)將DHCP服務(wù)關(guān)閉，并為本單位的每一臺電腦配置一個固定的IP地址，隨后，完成IP地址與該PC網(wǎng)卡MAC地址的綁定，從而為局域網(wǎng)安全性的提升提供“雙保險”。在這里，我們需要重點介紹一下企業(yè)網(wǎng)絡(luò)中存在較為普遍的ARP病毒，在完成IP與MAC地址綁定后，每臺主機都會在自己的ARP緩沖區(qū)建立一個包含IP、MAC地址對應(yīng)關(guān)系的ARP列表，若源主機需要將一個數(shù)據(jù)包發(fā)送到目的主機，且自身ARP列表中沒有與該IP地址對應(yīng)的MAC地址，就會在本地網(wǎng)段發(fā)起一個ARP請求廣播包，網(wǎng)絡(luò)中其它主機在收到該請求后，會對其中的IP地址是否與自己相符進行檢查，若相符，則先將發(fā)送端的IP與MAC地址添加到自身的ARP列表，并向源主機發(fā)送響應(yīng)數(shù)據(jù)包。隨后，源主機將響應(yīng)數(shù)據(jù)包的IP和MAC地址存入自己的ARP列表，并開始數(shù)據(jù)傳輸。但是，當(dāng)主機收到ARP應(yīng)答包后，并不會對自己是否發(fā)送過相應(yīng)的ARP請求進行驗證，而是直接將應(yīng)答包中的IP與MAC地址替換ARP列表中的原有信息，這一缺陷使得截取兩主機間的數(shù)據(jù)通信成為可能。就以往的實踐經(jīng)驗看，IP與MAC地址綁定并不能完全抵制ARP病毒攻擊，所以對通信保密要求較高且經(jīng)濟條件允許的單位，最好還是使用多wan免疫路由器。另外，在存在多AP的情況下，位于中心點的AP連接的終端個數(shù)難免會高于周圍AP，并引起負載不均衡的問題，對于此類問題，可以通過終端主控、AP主控負載均衡以及接入式、切換式負載均衡的辦法加以解決，也可以選擇市場上帶有負載均衡的路由器產(chǎn)品加以解決。

（三）無線加密協(xié)議的應(yīng)用

無線加密協(xié)議，簡稱WEP，是加密無線網(wǎng)絡(luò)上流量的標(biāo)準(zhǔn)方式。為了實現(xiàn)產(chǎn)品的便捷安裝，很多無線設(shè)備制造商在交付設(shè)備時，都將WEP功能進行了關(guān)閉處理。但當(dāng)我們采用這種做法時，黑客就可以借助無線嗅探器對相關(guān)數(shù)據(jù)進行直接讀取，所以管理員應(yīng)注意對WEP密鑰進行定期更換，若條件允許，應(yīng)啟用獨立認證服務(wù)自動完成WEP密鑰的分配。就目前的實際情況來看，IEE 802.11標(biāo)準(zhǔn)中的WEP安全解決方案的不安全性已經(jīng)得到了廣泛的證實，而當(dāng)我們采用支持128位的WEP時，就會使黑客的破解難度大幅提升，但即便如此，也要注意對WEP進行定期更改，從而更好的為無線局域網(wǎng)安全提供保障。另外，無線局域網(wǎng)傳輸數(shù)據(jù)的安全保護并不是僅有WEP，管理員也可以根據(jù)本單位的實際需求，選擇SSH、VPN、IPSec等WEP的替代方法。

三、結(jié)語

除文中探討的外來風(fēng)險外，計算機局域網(wǎng)安全隱患更多的來自企事業(yè)單位的內(nèi)部，所以還需制定包括定期配置管理、定期設(shè)備掃描和檢查、禁止員工私自安裝AP等安全制度。當(dāng)然，安全隱患也會隨著計算機局域網(wǎng)技術(shù)的發(fā)展而同步進步，所以在進行局域網(wǎng)組建時，應(yīng)結(jié)合本單位的實際需求，選擇最為合適的產(chǎn)品與安全技術(shù)。

參考文獻：

[1]陳桐.淺談局域網(wǎng)存在的安全隱患及其防治策略[J].消費電子，2012，（07X）：72-72.

[2]韋馨媛.淺談局域網(wǎng)的安全管理[J].大眾科技，2012，14（11）：12-13.

作者簡介：

田浩男，（ 1993.3 ），男，漢族， 四川廣元人 ， 東北電力大學(xué)信息工程學(xué)院 2012級， 計算機科學(xué)與技術(shù)，本科，研究方向：計算機網(wǎng)絡(luò)。