淺談無線網(wǎng)絡(luò)安全

溫國梁

淺談無線網(wǎng)絡(luò)安全

溫國梁

無線網(wǎng)絡(luò)是利用無線電波等取代網(wǎng)線，可以作為有線網(wǎng)絡(luò)的延伸和有效補(bǔ)充。當(dāng)今無線網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用，從家庭到公共場所，可以說無線網(wǎng)絡(luò)無處不在。然而，無線網(wǎng)絡(luò)在給人們帶來方便的同時，也給網(wǎng)絡(luò)安全帶來了挑戰(zhàn)，正因為其的便捷性、開放性、移動性等特點(diǎn)，使其經(jīng)常成為不法分子攻擊的目標(biāo)。本文主要結(jié)合無線網(wǎng)絡(luò)的結(jié)構(gòu)及協(xié)議的特點(diǎn)闡述無線網(wǎng)絡(luò)的安全技術(shù)及各種安全措施。

近年來，隨著無線通信技術(shù)的發(fā)展和廣泛應(yīng)用，信息通信已經(jīng)逐漸擺脫了空間及時間的限制，使人們信息交流、溝通的能力得到了極大的提升。然而，由于無線網(wǎng)絡(luò)本身具有的便捷性、開放性的特點(diǎn)以及移動接入設(shè)備本身的局限性，再加上網(wǎng)絡(luò)協(xié)議的安全脆弱性，使安全問題成為無線網(wǎng)絡(luò)面臨的一個嚴(yán)峻挑戰(zhàn)。

無線網(wǎng)絡(luò)結(jié)構(gòu)

通常無線網(wǎng)絡(luò)由兩種設(shè)備組成:接入設(shè)備和無線接入點(diǎn)（AP）。整個網(wǎng)絡(luò)系統(tǒng)被分成多個基本服務(wù)組（BSS）?；痉?wù)組可以分為對等、集中控制、混合三種結(jié)構(gòu)，使用者可以根據(jù)應(yīng)用需求，進(jìn)行配置。

無線網(wǎng)絡(luò)的主要特點(diǎn)

1.可移動性:無線通信技術(shù)使得網(wǎng)絡(luò)接入擺脫了線纜的束縛，提高了網(wǎng)絡(luò)接入的便捷性、靈活性，同時降低了網(wǎng)絡(luò)建設(shè)成本。

2.組建簡便:由于無線網(wǎng)絡(luò)標(biāo)準(zhǔn)的建立和不斷完善，使得無線接入打破了地域限制，用戶可以在全球各地進(jìn)行網(wǎng)絡(luò)接入，同時，也促進(jìn)了無線網(wǎng)絡(luò)設(shè)備的廣泛普及，性能不斷提升，價格持續(xù)下降，使得無線網(wǎng)絡(luò)的組建更加便捷。

3.使用開放頻段:無線局域網(wǎng)使用全球開放的ISM頻段，可以自由使用該頻段上的服務(wù)。

4.動態(tài)拓?fù)?無線接入設(shè)備可在網(wǎng)絡(luò)覆蓋范圍內(nèi)自由移動、加入或退出，不會給用戶帶來任何影響。

5.與以太網(wǎng)兼容:有線和無線網(wǎng)絡(luò)在網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議上相互兼容，通過網(wǎng)橋即可實(shí)現(xiàn)連接。

雖然無線網(wǎng)絡(luò)的特性使其得到越來越廣泛的應(yīng)用，但也造成了其自身特有的安全威脅。

無線網(wǎng)絡(luò)的安全隱患

首先，由于采用無線電波作為傳輸介質(zhì)， 無線網(wǎng)絡(luò)覆蓋范圍內(nèi)的所有接入設(shè)備幾乎都能接收到信號。另外，由于移動終端的局限性，需要提供有別于有線網(wǎng)絡(luò)環(huán)境下的安全方法和技術(shù)。因此，與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)環(huán)境中安全隱患更加嚴(yán)重，安全技術(shù)挑戰(zhàn)更多， 難度更大。具體表現(xiàn)在以下幾個方面。

1.更容易受到攻擊:無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比，沒有相對明確的防御邊界，網(wǎng)絡(luò)中的任意節(jié)點(diǎn)都可能面臨攻擊威脅，無線網(wǎng)絡(luò)的開放性帶來了竊聽、干擾、非法接入等諸多安全問題。

2.安全管理難度更大:與有線網(wǎng)絡(luò)相比無線網(wǎng)絡(luò)接入設(shè)備不僅可以在覆蓋范圍內(nèi)移動，而且可以進(jìn)行跨網(wǎng)絡(luò)區(qū)域的漫游，這種接入設(shè)備的移動特性使得無線網(wǎng)絡(luò)更容易被竊聽、破壞和劫持，而且所造成的破壞更大， 更難檢測。

3.安全措施實(shí)施難度更大:與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)具有動態(tài)、變化的特點(diǎn)，這就造成安全技術(shù)以及方案的變化，網(wǎng)絡(luò)安全管理變得更加復(fù)雜。

4.穩(wěn)定性問題:與有線網(wǎng)絡(luò)相比無線網(wǎng)絡(luò)傳輸信號更容易受環(huán)境因素影響，傳輸信道的不穩(wěn)定性，造成了無線通信網(wǎng)絡(luò)的不穩(wěn)定性問題。

無線網(wǎng)絡(luò)威脅主要來源于其自身開放性、移動性、動態(tài)拓?fù)浣Y(jié)構(gòu)等原因，其體系結(jié)構(gòu)的安全性更加脆弱，無線網(wǎng)絡(luò)帶來了新的安全管理問題。

無線攻擊

由于無線通信介質(zhì)的特殊屬性，使得無線網(wǎng)絡(luò)在物理層、數(shù)據(jù)鏈路層更容易遭受攻擊，而且危害更為嚴(yán)重。

1.接入點(diǎn)映射（War Driving）:攻擊者通過黑客軟件探測無線接入點(diǎn)的詳細(xì)信息，并采用主動或被動方式截獲無線網(wǎng)絡(luò)傳輸信息，或非法進(jìn)入網(wǎng)絡(luò)。

2.拒絕服務(wù)攻擊:攻擊者利用TCP/IP協(xié)議漏洞，采用建立“半連接”的方式，耗盡應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、操作系統(tǒng)的資源，造成網(wǎng)絡(luò)或服務(wù)器不能正常提供服務(wù)。

3.中間人攻擊:通過包捕獲、包修改、包植入、連接劫持等方法，對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行破壞的行為。

4.欺騙攻擊:攻擊者通過偽造受信任計算機(jī)數(shù)據(jù)包，來取得目標(biāo)計算機(jī)信任的技術(shù)?？梢苑譃閮煞N方式:非隱蔽式欺騙與隱蔽式欺騙，又可分為IP欺騙、DNS欺騙、ARP欺騙等具體攻擊形式。

5.暴力破解攻擊:使用任意組合及長度的數(shù)字和字符，不斷猜測系統(tǒng)用戶名和密碼，重復(fù)進(jìn)行試探性登錄和訪問，對信息系統(tǒng)進(jìn)行攻擊以獲得賬戶密碼的方式。

常見的無線網(wǎng)絡(luò)安全技術(shù)

1.服務(wù)集標(biāo)識（SSID）

服務(wù)集標(biāo)識是通過設(shè)置不同的標(biāo)識，區(qū)別不同的無線接入點(diǎn)的技術(shù)。該技術(shù)將一個無線網(wǎng)絡(luò)劃分為不同的子網(wǎng)絡(luò)，通過相應(yīng)身份驗證的用戶才可接入相應(yīng)子網(wǎng)絡(luò)，這樣就可以通過權(quán)限劃分，進(jìn)行用戶和資源管理，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)。因此，SSID可以被看做一種簡單的口令管理，為無線網(wǎng)絡(luò)提供一定安全保障。

2.物理地址過濾（MAC）

我們都知道，網(wǎng)卡具有唯一的物理地址（MAC），因此可以在AP中建立MAC地址列表，允許或不允許相關(guān)設(shè)備接入，實(shí)現(xiàn)物理地址過濾。

3.有線等效保密協(xié)議（WEP）

本協(xié)議在鏈路層采用RC4對稱加密技術(shù)。用戶在接入無線網(wǎng)絡(luò)時，必須提供與AP相同的密鑰，防止非授權(quán)或非法用戶的訪問和監(jiān)聽。WEP提供64位和128位兩種長度的密鑰機(jī)制。

4.Wi-Fi保護(hù)接入（WPA）

WPA是基于標(biāo)準(zhǔn)的可互操作的無線網(wǎng)絡(luò)安全性增強(qiáng)解決方案，它繼承了WEP基本原理，同時又解決了其存在的問題。WPA2則是在WPA的基礎(chǔ)上采用了ASE加密算法，進(jìn)一步提供了安全性。

5.國家標(biāo)準(zhǔn)（WAPI）

WAPI即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，中國無線局域網(wǎng)國家標(biāo)準(zhǔn)《GB15629.11》中，針對WEP存在的安全問題，提出的安全解決方案。這也是中國目前在無線網(wǎng)絡(luò)領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。

6.端口訪問控制技術(shù)（802.1x）

該技術(shù)是基于C/S架構(gòu)的訪問控制和認(rèn)證協(xié)議；通過認(rèn)證授權(quán)方式，進(jìn)行用戶和設(shè)備接入控制，是適用于無線網(wǎng)絡(luò)的增強(qiáng)性安全解決方案。802.1x對設(shè)備性能要求不高，同時具有良好的適應(yīng)性和擴(kuò)展性，可以非常方便地建立認(rèn)證及計費(fèi)系統(tǒng)，尤其適合機(jī)場、醫(yī)院等公共場所使用。

通過接入端口

無線網(wǎng)絡(luò)安全措施

由于無線網(wǎng)絡(luò)自身的特性，造成了其特有的安全風(fēng)險，為了解決安全問題，人們采用了多種技術(shù)，降低無線網(wǎng)絡(luò)風(fēng)險，增加安全性。下面介紹幾種無線網(wǎng)絡(luò)應(yīng)用中的安全措施。

1. 正確使用加密協(xié)議

由于WPA/WPA2是對WEP協(xié)議的改進(jìn)，所以應(yīng)盡量采用，WPA/WPA2方式進(jìn)行密碼加密。如果必須采用WEP協(xié)議時，應(yīng)采用128為方式。

2.采用MAC地址過濾

采用物理地址過濾方式進(jìn)行接入設(shè)備管理，對小型無線網(wǎng)絡(luò)是一種非常有效的安全措施。在使用時應(yīng)盡量采用白名單方式。

3.禁用SSID 廣播

為避免SSID廣播造成暴露AP接入點(diǎn)的安全隱患，可禁用自動廣播SSID 功能。在一定程度上提高網(wǎng)絡(luò)安全性。

4.對大型無線網(wǎng)絡(luò)，應(yīng)充分發(fā)揮端口訪問技術(shù)（802.1x）的安全作用，建立適合的安全訪問策略，防止非授權(quán)、非法訪問和接入。

5.及時修改缺省的AP管理密碼。設(shè)備廠商為便于用戶管理設(shè)置了缺省登錄密碼，使用時應(yīng)及時修改，以增加安全性。

6.進(jìn)行無線網(wǎng)絡(luò)建設(shè)時，應(yīng)對網(wǎng)絡(luò)覆蓋范圍進(jìn)行勘察，對AP布置點(diǎn)位進(jìn)行規(guī)劃，以防止無線信號超出計劃覆蓋區(qū)域

7.進(jìn)行無線網(wǎng)絡(luò)建設(shè)時，應(yīng)統(tǒng)一規(guī)劃建立無線網(wǎng)絡(luò)管理平臺， 配備安全檢測、監(jiān)控設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備、無線接入設(shè)備、用戶的統(tǒng)一管理、認(rèn)證和監(jiān)控，及時感知黑客攻擊，及時應(yīng)對安全事件，提高無線網(wǎng)絡(luò)的整體安全性。

8.制定、貫徹?zé)o線網(wǎng)絡(luò)管理規(guī)定，禁止員工私自安裝AP、不得泄露賬戶密碼、網(wǎng)絡(luò)配置，對網(wǎng)絡(luò)使用及管理人員應(yīng)定期進(jìn)行培訓(xùn)，提升安全意識和技能。

總結(jié)

由于無線網(wǎng)絡(luò)在移動接入設(shè)備和傳輸機(jī)制方面的特殊性， 使得其體系結(jié)構(gòu)的安全性比較脆弱，在無線網(wǎng)絡(luò)的使用和建設(shè)工程中，除了考慮信道傳輸、多業(yè)務(wù)服務(wù)等技術(shù)外，還應(yīng)充分考量網(wǎng)絡(luò)安全方案的設(shè)計、網(wǎng)絡(luò)安全制度制定以及安全策略的落實(shí)，包括用戶身份認(rèn)證、接入控制、證書管理、密鑰管理等等，以保證網(wǎng)絡(luò)信息系統(tǒng)的安全、平穩(wěn)運(yùn)行。

溫國梁

中石化股份天津分公司信息檔案管理中心

10.3969/j.issn.1001-8972.2015.07.001