淺析無線局域網的安全威脅及防范對策

章國政　張亞威　李鵬龍

【摘要】隨著無線局域網技術的不斷成熟和普及，無線局域網作為有線網絡的補充和延伸，出現(xiàn)后得到了迅猛的發(fā)展。因此無線局域網的安全與防護就成了我們當前的首要問題。無線局域網中主要的安全性考慮包括訪問控制和加密。本文著重分析了無線局域網的概念，無線局域網面臨的若干安全問題以及防范對策。

【關鍵詞】無線局域網安全性安全威脅防范對策

一、什么是無線局域網

無線局域網（Wireless Local Area Network，縮寫為“WLAN”）是計算機網絡與無線通信技術的結合的產物。無線局域網是實現(xiàn)移動計算機網絡中移動站的物理層與鏈路層功能，為移動計算機網絡提供必要的物理接口的網絡。通俗的說，無線局域網就是在不采用傳統(tǒng)纜線的同時，提供以太網或者令牌網絡的功能。從專業(yè)角度講，無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信，并為通信的移動化、個性化和多媒體應用提供了可能。

二、無線局域網的安全性

無線局域網的最大優(yōu)點，也正是它的最大缺點：已部署的這些網絡都是開放式和易于接入的。信息的機密性、完整性、可用性以及資源的合法使用是網絡安全的四個基本目標。但是WLAN與有線網路相比，卻更難達到這個目標，一方面，數(shù)據通過無線電波傳輸，在數(shù)據發(fā)射機覆蓋區(qū)域內的任何一個無線網絡用戶都能接觸到數(shù)據，另一方面，無線設備存在存儲能力、計算能力等方面的局限性。因此無線局域網存在以下七大安全性威脅：

1、信息重放

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

2、WEP破解

現(xiàn)在互聯(lián)網上已經很普遍的存在著一些非法程序。能夠捕捉位于AP信號覆蓋區(qū)域內的數(shù)據包，收集到足夠的WEP弱密鑰加密的包，并進行分析加以恢復WEP密鑰。根據監(jiān)聽無線通信的機器速度、WLAN內發(fā)射信號的無線主機數(shù)量，最快可以在倆個小時內攻破WEP密鑰。

3、網絡竊聽

一般說來，大多數(shù)網絡通信都是以明文（非加密）格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監(jiān)視并破解（讀?。┩ㄐ拧Ｓ捎谌肭终邿o需將竊聽或分析設備物理地接入被竊聽的網絡，所以，這種無線網絡安全威脅已經成為無線局域網面臨的最大問題之一。

4、假冒攻擊

某個實體假裝成另外一個實體訪問無線網絡，即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中，移動站與網絡控制中心及其它移動站之間不存在任何固定的物理鏈接，移動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網絡，這就是所謂的身份假冒攻擊。

5、MAC地址欺騙：

通過網絡竊聽工具獲取數(shù)據，從而進一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。

6、拒絕服務：

攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務，這是一種后果最為嚴重的攻擊方式。此外，對移動模式內的某個節(jié)點進行攻擊，讓它不停地提供服務或進行數(shù)據包轉發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。

7、服務后抵賴：

服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種無線網絡安全威脅在電子商務中常見。

三、無線局域網的安全防范與對策

1 、建立MAC地址表。減少非法用戶的接入

如果所在接入小區(qū)接入用戶不多，可通過其提供的惟一合法MAC地址在其接入的核心交換機上建立MAC地址表，對接入的用戶進行驗證，以減少非法用戶的接入。同時，可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這個方案要求AP中的MA C地址列表必需隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。

2 、采用有線等效保密改進方案（WEP2）

IEEE802.11標準規(guī)定了一種被稱為有線等效保密（WEP）的可選加密方案，其目標是為WLAN提供與有線網絡相同級別的安全保護。WEP在鏈路層采用RC4對稱加密算法，從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。有線等效保密（WEP）方案主要用于實現(xiàn)3個安全目標：接入控制、數(shù)據保密性和數(shù)據完整性。然而wEP存在極差的安全性，所以IEEE802.11i提出有線等效保密改進方案（WEP2），它與傳統(tǒng)的WEP算法相比較，將WEP加密密鑰的長度加長到104位，初始化向量的長度右24位加長到128位，所以建議使用的WLAN設備具有WEP2功能。

3、在AP點之間構建VPN

VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數(shù)據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認汪以及計費?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網的安全性得到極大的提高，能夠有效地保護數(shù)據的完整性，可信性和可確認性。

4、對SSID進行控制

通過對AP點和網卡設置復雜的SSID（服務集標識符），并根據需求確定是否需要漫游來確定是否需要MAC地址綁定，同時禁止AP向外廣播SSID。

5、指定接入.維護管理規(guī)范

指定嚴格、規(guī)范、合琿的無線局域網接入及管理規(guī)范，在WLAN的色及構建和維護過程中，應考慮方便集中管理、雙向認證、數(shù)據加密方式等重要因素。要求接入用戶嚴格遵守管理規(guī)定。

【參考文獻】

[1]張斌，湯紅波，張汝云，劉民。下一代無線局域網安全性研究[j]。電視技術，2007年01期。

[2]賈光炯。淺談無線局域網的安全性[j].廣東通信技術，2015年02期

[3]湛成偉。網絡安全技術發(fā)展趨勢分析[j].重慶工學院學報，2006，20（8）：119-121