無線局域網(wǎng)安全防范策略探討

◆沈 靜 李雙樂

無線局域網(wǎng)安全防范策略探討

◆沈 靜1李雙樂2

（1.天津市必優(yōu)特科工貿(mào)有限公司 天津 300000；2. 美的新建設(shè)（天津）有限公司 天津 300000）

隨著近幾年的發(fā)展，我們國家無線局域網(wǎng)的使用范圍不斷增加，單位以及個(gè)人對計(jì)算機(jī)網(wǎng)絡(luò)的依賴性正在日益增強(qiáng)。無線局域網(wǎng)絡(luò)的信息傳遞迅速、安全運(yùn)行對企業(yè)的發(fā)展帶來了很多有益的地方，所以各個(gè)公司都在提升IT系統(tǒng)的網(wǎng)絡(luò)使用量，但是使用的過程中往往會(huì)有一些比較機(jī)密的信息，比如：員工信息、賬戶密碼、貿(mào)易機(jī)密等等。近年來由于無線局域網(wǎng)的使用導(dǎo)致信息泄露的事情頻頻爆出，所以人們對于無線局域網(wǎng)的安全性能越來越關(guān)注。我們現(xiàn)在針對無線網(wǎng)絡(luò)的安全性質(zhì)對其技術(shù)進(jìn)行進(jìn)一步地研究，研究出來新的安全防范策略。

無線局域網(wǎng)；安全；防范策略

0 前言

隨著我們國家國民經(jīng)濟(jì)的不斷提升，我們國家的電子信息行業(yè)也有著飛速的發(fā)展，不僅僅是個(gè)人，各個(gè)單位對無線網(wǎng)絡(luò)的使用量也在不斷升高，并且人們對無線網(wǎng)絡(luò)的依賴性越來越高。對于無線網(wǎng)絡(luò)的使用高效性以及安全運(yùn)行的特點(diǎn)非常受企業(yè)喜愛。在對網(wǎng)絡(luò)使用的過程中會(huì)有一些比較重要的數(shù)據(jù)，有些不法分子就通過網(wǎng)絡(luò)來盜取機(jī)密最終導(dǎo)致公司有不必要的損失。

1 無線局域網(wǎng)絡(luò)的安全技術(shù)

無線網(wǎng)絡(luò)的使用已經(jīng)遍布大街小巷，為人們提供了非常便利的生活方式，但是無線網(wǎng)絡(luò)的使用安全也非常重要，直接關(guān)系著人們的隱私信息以及財(cái)產(chǎn)的安全，所以無線局域網(wǎng)絡(luò)的安全保障非常重要。

無線WLAN的使用安全安全保障主要有兩個(gè)方面，一個(gè)是保護(hù)網(wǎng)絡(luò)上的資源不受到非法的訪問；還有就是保護(hù)人們的通信安全。在相關(guān)規(guī)定中定義了一整套的安全措施，其中最主要的還是想通過密碼設(shè)置然后對本地的無線網(wǎng)絡(luò)進(jìn)行安全保護(hù)。在整個(gè)無線網(wǎng)絡(luò)的通訊過程中，無線站與個(gè)人無線網(wǎng)絡(luò)地址之間的連接是通過以下程序進(jìn)行的：

無線基站在某個(gè)固有頻道上發(fā)送一條消息，消息的內(nèi)容包括自己的MAC還有基站所在網(wǎng)絡(luò)的ESSID，其中主要想與本網(wǎng)絡(luò)中的某一個(gè)個(gè)人電腦進(jìn)行連接，在這個(gè)局域網(wǎng)絡(luò)中的任何一個(gè)AP接到以上信息的，都要將自己的ESSID以及信道號(hào)發(fā)送回去作為回信，然后進(jìn)行認(rèn)證，如果雙方認(rèn)證成功之后就可以進(jìn)行配對關(guān)聯(lián)，這樣就可以形成一個(gè)局域網(wǎng)。

當(dāng)前使用最多的標(biāo)準(zhǔn)就是IEEE802.11b，其中對網(wǎng)絡(luò)的使用進(jìn)行了以下兩種劃分，那就是開放式認(rèn)證以及基于共享秘密的認(rèn)證。其中，開放式認(rèn)證的安全性較低，其實(shí)不算是認(rèn)證，雙方只要通過IP地址的搜索就可以使用無線基站對網(wǎng)絡(luò)進(jìn)行信息查詢訪問，這種方法其實(shí)并不能保護(hù)用戶的隱私安全，所以就研制出了共享秘密認(rèn)證。共享秘密認(rèn)證這種方法對用戶的隱私保護(hù)力度加大了，如果要對其進(jìn)行訪問就需要無線基站對其出示一個(gè)訪問密碼，只有通過驗(yàn)證才可以進(jìn)行資源共享，對信息的保護(hù)提高了一個(gè)檔次。

在完成基站網(wǎng)絡(luò)與個(gè)人網(wǎng)絡(luò)的連接后，就要通過多種校驗(yàn)以及輸入密碼過后來對網(wǎng)絡(luò)進(jìn)行多重保護(hù)。IEEE802.11b定義了這種加密算法，這種算法就是在之前加密的基礎(chǔ)上將信息進(jìn)行加密，保密效果非常好。

2 無線局域網(wǎng)的安全策略

在現(xiàn)實(shí)網(wǎng)絡(luò)情況的使用過程中，相關(guān)技術(shù)人員應(yīng)該設(shè)計(jì)一種多元化的、多層次的對信息的安全保護(hù)，不僅僅是對人們信息的保護(hù)，還要有對無線局域網(wǎng)的保護(hù)，要幫助人們在使用的過程中在最短的時(shí)間內(nèi)可以完成更多的工作。在安全機(jī)制的保護(hù)過程中主要包括了無線地址的保護(hù)、防火墻的設(shè)置以及入侵系統(tǒng)的設(shè)置等等。這些問題都直接關(guān)系到了無線網(wǎng)絡(luò)的安全使用情況，都值得我們對此進(jìn)行關(guān)注。

2.1無線網(wǎng)絡(luò)地址的物理位置與信號(hào)強(qiáng)度

（1）無線網(wǎng)絡(luò)AP的物理位置。有很多的網(wǎng)絡(luò)安全問題都是由于本地的無線AP沒有處在一個(gè)相對封閉的網(wǎng)絡(luò)環(huán)境中造成的。所以，在設(shè)置本地的AP時(shí)一定要將密碼設(shè)置的復(fù)雜一些，字符越復(fù)雜越好，這樣對其進(jìn)行破解的時(shí)候就比較困難；還有就是要考慮將他的可訪問性以及信號(hào)范圍的設(shè)置。無線網(wǎng)絡(luò)的AP地址要放在攻擊者很難攻擊的位置，如果攻擊者很容易的就可以將AP地址與自己的電腦相連接，就可以非常輕松地對無線AP與密碼進(jìn)行破解，那么對信息的保護(hù)就非常困難了。除此之外，在網(wǎng)絡(luò)設(shè)置的時(shí)候要保證無線AP不可以通過遠(yuǎn)程設(shè)置對其進(jìn)行密碼修改或者對這臺(tái)電腦進(jìn)行控制。

（2）無線網(wǎng)絡(luò)AP的信號(hào)強(qiáng)度。無線信號(hào)是通過電磁波的震動(dòng)來傳遞信息，所以非常容易受到其他信號(hào)的干擾。天線是一種可以發(fā)射信號(hào)的物體，天線可以通過向特定方向發(fā)射信號(hào)來傳遞信息。所以無線局域網(wǎng)絡(luò)的信號(hào)強(qiáng)度的干擾項(xiàng)中信號(hào)強(qiáng)度也是一個(gè)需要進(jìn)行考慮的問題。無線局域網(wǎng)絡(luò)中的信號(hào)的傳播可以通過墻體以及窗戶這種物體，并且信號(hào)的強(qiáng)度并沒有明顯降低。所以為了全面覆蓋需要使用無線信號(hào)的區(qū)域，應(yīng)該將無線AP的天線放置在整個(gè)區(qū)域的正中間，同時(shí)還應(yīng)該避免天線放在建筑物外墻周圍，這樣就可以減少信號(hào)外泄造成信號(hào)不好這種情況。

2.2無線網(wǎng)絡(luò)地址安全設(shè)置

無線網(wǎng)絡(luò)的設(shè)置過程中，無線網(wǎng)絡(luò)的制造商所提供的很多默認(rèn)設(shè)置是非常不合理的，配置無線網(wǎng)絡(luò)的主要情況包括以下幾種情況：

（1）隱藏服務(wù)集標(biāo)識(shí)符（簡稱SSID），服務(wù)集標(biāo)識(shí)符是無線客戶的使用端對不同的無線網(wǎng)絡(luò)的特點(diǎn)識(shí)別，其實(shí)也就相當(dāng)于一個(gè)手機(jī)可以同時(shí)識(shí)別不同的信號(hào)運(yùn)營商。隱藏服務(wù)集標(biāo)識(shí)符就是禁止無線的ＡＰ對廣播進(jìn)行開放，其他人也搜索不到這個(gè)無線端口，這樣就可以有效地避免不是本用戶的人員使用這個(gè)端口發(fā)出的信號(hào)進(jìn)行使用。但是隨著信息技術(shù)的發(fā)展，仍然有人致力于鉆研黑客技術(shù)，想方設(shè)法盜取別人的數(shù)據(jù)并且接近個(gè)別網(wǎng)絡(luò)盜取信息。所以對服務(wù)集標(biāo)識(shí)符進(jìn)行隱藏只是非常初級(jí)的一種自保方法，并不能完全保護(hù)人們的隱私。

（2）啟動(dòng)ＷＥＰ的１２８位密碼設(shè)置模式。所有的通過無線網(wǎng)絡(luò)進(jìn)行認(rèn)證的無線設(shè)備都可以支持有線等效保密（簡稱：ＷＥＰ），根據(jù)有關(guān)行業(yè)安全規(guī)定說明，ＷＥＰ可以進(jìn)行設(shè)置６４位以及１２８位的密保對其進(jìn)行了加密，其中使用的是ＲＣ４加密算法，這種算法的使用在無線網(wǎng)絡(luò)的密碼設(shè)置中非常廣泛。啟用ＷＥＰ的時(shí)候需要在每個(gè)無線信號(hào)使用的端口以及無線ＡＰ上設(shè)置密碼鑰匙，這種方式比較麻煩，對于無線局域網(wǎng)絡(luò)安全的保護(hù)也比較全面，所以這種密碼設(shè)置的方式更為廣泛使用。但是，為了安全考慮，ＷＥＰ密碼應(yīng)該定期進(jìn)行更改，這樣才能更好地保護(hù)自己的網(wǎng)絡(luò)信息不被盜取。

（3）在密碼設(shè)置的過程中，要使用ＭＡＣ對本網(wǎng)絡(luò)進(jìn)行地址的過濾。使用ＭＡＣ對地址進(jìn)行過濾之后雖然可能有地址欺騙的情況發(fā)生，攻擊者可以將自己的網(wǎng)絡(luò)ＭＡＣ地址設(shè)置成合法的地址，然后利用合法的地址進(jìn)行違法的行為。但是ＭＡＣ地址過濾后可以保護(hù)自己的網(wǎng)絡(luò)被攻擊的可能性降低，保護(hù)自己的網(wǎng)絡(luò)。ＭＡＣ地址過濾設(shè)置起來比較麻煩，并且不能支持很多用戶同時(shí)進(jìn)行使用，所以這種方法只適用于小型的用戶量少的辦公室使用。

（4）及時(shí)地更新無線的ＡＰ構(gòu)件。在系統(tǒng)進(jìn)行升級(jí)的時(shí)候可以對系統(tǒng)進(jìn)行及時(shí)升級(jí)，或者對無線ＡＰ的構(gòu)件進(jìn)行更換，這樣可以通過提高自身的防盜措施來保護(hù)自己的網(wǎng)絡(luò)不受外部影響而收到損失。使用新版本的ＡＰ構(gòu)件可以幫助自身對一些漏洞進(jìn)行修復(fù)，并且在其他方面的功能上還進(jìn)行了技術(shù)的更新，更加保護(hù)了自身網(wǎng)絡(luò)的安全。

3 結(jié)語

無線局域網(wǎng)是整個(gè)無線數(shù)據(jù)通訊行業(yè)的黑馬，近幾年來開始盛行使用，是通訊行業(yè)中發(fā)展速度最快的。無線局域網(wǎng)絡(luò)WLAN的使用為人們的生活提供了很多便利，使用過程中非常方便，并且成本也非常低，因此受到了廣大消費(fèi)者的喜愛。其中有辦公室、家庭用戶、大型企業(yè)等等。隨著日產(chǎn)生活中的使用，人們對無線網(wǎng)絡(luò)的使用依賴性逐漸增加，值得人們關(guān)注的是網(wǎng)絡(luò)使用過程中的安全問題，所以技術(shù)人員要不斷地開發(fā)新的領(lǐng)域，這樣才能與黑客做斗爭，保護(hù)人們的信息安全。

[1]褚麗莉.無線局域網(wǎng)安全分析[J].通信技術(shù)，2009.

[2]趙偉艇，史玉珍.基于802.11i的無線局域網(wǎng)安全加密技術(shù)研究[J].計(jì)算機(jī)工程設(shè)計(jì)，2010.

[3]陳偉，歐陽宏基.無線局域網(wǎng)安全技術(shù)研究[J].福建電腦， 2009.

[4]馬建峰.無線局域網(wǎng)安全-方法與技術(shù)[M].機(jī)械工業(yè)出版社，2005.

[5]張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社，2006.