淺談無線網(wǎng)絡安全技術

摘 要：隨著信息化進程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡化已成為信息化發(fā)展的大趨勢，信息資源也得到了最大程度的共享。然而，無線網(wǎng)絡技術為人們帶來極大方便的同時，安全問題已經(jīng)成為阻礙無線網(wǎng)絡技術應用普及的一個主要障礙。

關鍵詞：網(wǎng)絡；安全；計算機技術；WLAN

1 無線網(wǎng)絡的結構

無線局域網(wǎng)由無線網(wǎng)卡、無線接入點（AP）、計算機和有關設備組成。采用單元結構，將整個系統(tǒng)分成多個單元，每個單元成為一個基本服務組（BSS），BSS的組成有以下三種方式：無中心的分布對等方式、有中心的的集中控制方式以及這兩種方式的混合方式。

2 無線網(wǎng)絡面臨的安全威脅

2.1 竊聽

無線網(wǎng)絡易受匿名黑客的攻擊，攻擊者可以截獲無線電信號并解析出數(shù)據(jù)。竊聽主要用于收集目標網(wǎng)絡的信息，包括誰在使用網(wǎng)絡、能訪問什么信息及網(wǎng)絡設備的性能等。

2.2 通信阻斷

有意或無意的干擾源可以阻斷通信。對整個網(wǎng)絡進行DoS攻擊可以造成通信阻斷，使包括客戶端和基站在內(nèi)的整個區(qū)域的通信線路堵塞，造成設備之間不能正常通信。針對無線網(wǎng)絡DoS的攻擊則很難預防。

2.3 數(shù)據(jù)的注入和篡改

黑客通過向已有連接中注入數(shù)據(jù)來截獲連接或發(fā)送惡意數(shù)據(jù)或命令。攻擊者能夠通過基站插入數(shù)據(jù)或命令來篡改控制信息，造成用戶連接中斷。數(shù)據(jù)注入可被用作DoS攻擊。攻擊者可以向網(wǎng)絡接入點發(fā)送大量連接請求包，使接入點用戶連接數(shù)超標，以此造成接入點拒絕合法用戶的訪問。

2.4 中間人攻擊

中間人攻擊比大多數(shù)攻擊更復雜，攻擊者需要對網(wǎng)絡有深入的了解。攻擊者通常偽裝成網(wǎng)絡資源，當受害者開始建立連接時，攻擊者會截獲連接，并與目的端建立連接，同時將所有通信經(jīng)攻擊主機代理到目的端。這時，攻擊者就可以注入數(shù)據(jù)、修改通信數(shù)據(jù)或進行竊聽攻擊。

2.5 客戶端偽裝

通過對客戶端的研究，攻擊者可以模仿或克隆客戶端的身份信息，以試圖獲得對網(wǎng)絡或服務的訪問。攻擊者也可以通過竊取的訪問設備來訪問網(wǎng)絡。要保證所有設備的物理安全非常困難，當攻擊者通過竊取的設備發(fā)起攻擊時，通過第二層訪問控制手段來限制對資源的訪問都將失去作用。

2.6 漫游造成的問題

無線網(wǎng)絡與有線網(wǎng)絡的主要區(qū)別在于無線終端的移動性。在CDMA、GSM和無線以太網(wǎng)中，漫游機制都是相似的。很多TCP/IP服務都要求客戶端和服務器的IP地址保持不變，但是，當用戶在網(wǎng)絡中移動時，不可避免地會離開一個子網(wǎng)而加入另一個子網(wǎng)，這就要求無線網(wǎng)絡提供漫游機制。在移動IP系統(tǒng)中，當一個移動點漫游到一個網(wǎng)絡時，就會獲得一個與地點有關的臨時地址，并注冊到外地代理上；外地代理會與所屬地代理聯(lián)系，通知所屬地代理有關移動節(jié)點的接入情況。所屬地代理將所有發(fā)往移動節(jié)點的數(shù)據(jù)包轉(zhuǎn)發(fā)到外地代理上。這種機制會帶來一些問題：首先，攻擊者可以通過對注冊過程的重放來獲取發(fā)送到移動節(jié)點的數(shù)據(jù)：其次，攻擊者也可以模擬移動節(jié)點以非法獲取網(wǎng)絡資源。

3 無線局域網(wǎng)的安全技術

3.1 物理地址過濾

每個無線客戶端網(wǎng)卡都有唯一的48b物理地址標志，可在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新。如果用戶增加，則擴展能力變差，其效率會隨著終端數(shù)目的增加而降低，因此只適用于小型網(wǎng)絡規(guī)模。非法用戶通過網(wǎng)絡監(jiān)聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以通過盜用合法用戶的MAC地址非法接入。

3.2 服務區(qū)標示符匹配

無線客戶端必須設置于無線訪問點AP相同的SSID才能訪問IP。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能降低的問題?？梢酝ㄟ^設置隱藏接入點（AP）及SSID區(qū)域的劃分和權限控制來達到保密的目的，因此可以認為SSID是一個很簡單的口令，通過提供口令認證機制，確保一定程度的安全。如果配置AP向外廣播其SSID，那么安全程度就下降；因為一般情況下用戶自己配置客戶端系統(tǒng)，很多人都知道該SSID，所以很容易共享給非法用戶。

3.3 連接對等保密

IEEE802.11b、IEEE802.11a以及IEEE802.11g協(xié)議中都包含有一個可選安全組件，名為無線等效協(xié)議（WEP），他可以對每一個企圖訪問無線網(wǎng)絡的人的身份進行識別，同時對網(wǎng)絡傳輸內(nèi)容進行加密。盡管現(xiàn)有無線網(wǎng)絡標準中的WEP技術遭到了批評，但如果能夠正確使用WEP的全部功能，那么WEP扔提供了在一定程度上比較合理的安全措施。這意味著需要更加注重密鑰管理、避免使用缺省選項，并確保在每個可能被攻擊的位置上都進行了足夠的加密。WEP使用了RC4加密算法，該算法是采用的一種流密碼。發(fā)送者和接收者都使用流密碼，從一個雙方都知道的共享密鑰創(chuàng)建一致的偽隨機字符串。整個過程需要發(fā)送者使用流密碼對傳輸內(nèi)容執(zhí)行邏輯異或操作，產(chǎn)生加密內(nèi)容。盡管理論上的分析認為WEP技術并不保險，但是對于普通入侵者而言，WEP已經(jīng)是一道難以逾越的鴻溝。大多數(shù)無線路由器都使用至少支持40位加密的WEP，但通常還支持128位甚至256位選項。在試圖同網(wǎng)絡連接的時候，客戶端設置中的SSID和密鑰必須同無線路由器的匹配，否則將會失敗。

4 總結

無線網(wǎng)絡技術的運用雖然給我們的工作和生活帶來了極大的便利，但其所帶來的安全威脅還是極大地阻撓了我們對無線技術的進一步開發(fā)和利用，因此，對于這些不法用戶和惡意黑客對我們無線網(wǎng)絡的攻擊，我們要隨時保持應有的警惕，同時，我們也需要不斷研發(fā)出嚴密、更加高端的安全防御產(chǎn)品，從而使我們的無線網(wǎng)絡更加安全。

[參考文獻]

[1]曾湘黔，主編.《網(wǎng)絡安全技術》.清華大學出版社.2013年1月.

[2]康會光，主編.《計算機網(wǎng)絡基礎教程與實驗指導》.清華大學出版社.2013年5月.

[3]吳銳，主編.《網(wǎng)絡安全技術》.中國水利水電出版社.2012年3月.