論無線網絡的安全威脅及對策

黃錦敬

摘要：無線網絡是通過無線電波在空中傳輸數據，只要在覆蓋范圍內都可以傳輸和接收數據。因此，無線網絡存在著訪問控制和保密的安全性問題。主要在介紹無線網絡存在的有線等價保密性、搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網絡接管與篡改、拒絕服務攻擊以及用戶設備等安全威脅的基礎上，提出無線網絡應該采用的七項安全技術和八項應對安全措施。

關鍵詞：無線網絡；安全威脅；安全技術；安全措施

中圖分類號：TP393.08文獻標識碼：A文章編號：1672-3198(2009)06-0257-03

無線網絡的應用擴展了網絡用戶的自由，然而，這種自由同時也帶來了安全性問題。無線網絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。

1無線網絡存在的安全威脅

無線網絡一般受到的攻擊可分為兩類：一類是關于網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊；另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環境下也會發生?？梢?，無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。

1.1有線等價保密機制的弱點

IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學會)制定的802.11標準中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網絡中功能等效的安全措施，防止出現無線網絡用戶偶然竊聽的情況出現。然而，WEP最終還是被發現了存在許多的弱點。

(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數太短和初始化復位設計，常常出現重復使用現象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，容易被黑客攻破。此外，用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck，循環冗余校驗)只能確保數據正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗碼。

(2)密鑰管理復雜。802.11標準指出，WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網絡的部署者可以通過外部管理系統控制方式減少IV的沖突數量，使無線網絡難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網絡的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱的，經不起黑客的攻擊。

1.2進行搜索攻擊

進行搜索也是攻擊無線網絡的一種方法，現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的，或即使加密功能是處于活動狀態，如果沒有關閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具，如AiroPeek和TCPDump來監聽和分析通信量，從而識別出可以破解的信息。

1.4無線網絡身份驗證欺騙

欺騙這種攻擊手段是通過騙過網絡設備，使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協議/網際協議)的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。

1.5網絡接管與篡改

同樣因為TCP/IP設計的原因，某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP，那么所有來自無線網的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續接管連接，而不容易被別人發現。

1.6拒絕服務攻擊

無線信號傳輸的特性和專門使用擴頻技術，使得無線網絡特別容易受到DoS(DenialofService，拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設備使用相同的頻率，從而造成無線頻譜內出現沖突；②攻擊者發送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當的目的地，那么所有的網絡用戶都將無法使用網絡。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者，可以通過發送多達無線AP無法處理的通信量進行攻擊。

1.7用戶設備安全威脅

由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰，因此只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID及密鑰。

2無線網絡采用的安全技術

采用安全技術是消除無線網絡安全威脅的一種有效對策。無線網絡的安全技術主要有七種。

2.1擴展頻譜技術

擴頻技術是用來進行數據保密傳輸，提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。

一些無線局域網產品在ISM波段為2.4～2.483GHz范圍內傳輸信號，在這個范圍內可以得到79個隔離的不同通道，無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發送到每一個通道上，并在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統外的站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾，因而不用擔心網絡上的數據被其他用戶截獲。

2.2用戶密碼驗證

為了安全，用戶可以在無線網絡的適配器端使用網絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶，所以嚴格的密碼策略等于增加一個安全級別，這有助于確保工作站只被授權用戶使用。

2.3數據加密

數據加密技術的核心是借助于硬件或軟件，在數據包被發送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數據。此技術常用在對數據的安全性要求較高的系統中，例如商業用或軍用的網絡，能有效地起到保密作用。

此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價格的第三方產品，為用戶提供最好的性能、服務質量和技術支持。

2.4WEP配置

WEP是IEEE802.11b協議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權用戶訪問網絡；對數據進行加密，防止數據被攻擊者竊聽；防止數據被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。

2.5防止入侵者訪問網絡資源

這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線網絡的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

2.6端口訪問控制技術

端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合于公司的無線接入解決方案。

2.7使用VPN技術

VPN(VirtualPrivateNetwork，虛擬專用網)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。因此，在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。

3無線網絡采取的安全措施

要排除無線網絡的安全威脅，另一種對策是采取如下八項安全措施。

3.1網絡整體安全分析

網絡整體安全分析是要對網絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時，要納入網絡的規劃計劃，及時采取措施，排除無線網絡的安全威脅。

3.2網絡設計和結構部署

選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值；把基站看作RAS(RemoteAccessServer，遠程訪問服務器)；指定專用于無線網絡的IP協議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權用戶和入侵者的影響；在網絡上，針對全部用戶使用一致的授權規則；在不會被輕易損壞的位置部署硬件。

3.3啟用WEP機制

要正確全面使用WEP機制來實現保密目標與共享密鑰認證功能，必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數據的完整性，防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流；二是必須在每個客戶端和每個AP上實現WEP才能起作用；三是不使用預先定義的WEP密鑰，避免使用缺省選項；四是密鑰由用戶來設定，并且能夠經常更改；五是要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

3.4MAC地址過濾

MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規模的無線網絡也是非?？尚械倪x項。一是把MAC過濾器作為第一層保護措施；二是應該記錄無線網絡上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網絡，阻止非信任的MAC訪問網絡；三是可以使用日志記錄產生的錯誤，并定期檢查，判斷是否有人企圖突破安全措施。

3.5進行協議過濾

協議過濾是一種降低網絡安全風險的方式，在協議過濾器上設置正確適當的協議過濾會給無線網絡提供一種安全保障。過濾協議是個相當有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網絡管理協議)訪問無線設備來修改配置的網絡用戶，還可以防止使用較大的ICMP協議(InternetControlMessageProtocol，網際控制報文協議)數據包和其他會用作拒絕服務攻擊的協議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網絡，避免隨時可能發生的無效連接。把必要的客戶端配置信息安全地分發給無線網絡用戶。

3.7有效管理IP分配方式

分配IP地址有靜態地址和動態地址兩種方式，判斷無線網絡使用哪一個分配IP的方法最適合自己的機構，對網絡的安全至關重要。靜態地址可以避免黑客自動獲得IP地址，限制在網絡上傳遞對設備的第三層的訪問；而動態地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。

3.8加強員工管理

加強單位內部員工的管理，禁止員工私自安裝AP；規定員工不得把網絡設置信息告訴單位外部人員；禁止設置P2P的Adhoc網絡結構；加強員工的學習和技術培訓，特別是對網絡管理人員的業務培訓。

此外，在布置AP的時候要在單位辦公區域以外進行檢查，通過調節AP天線的角度和發射功率防止AP的覆蓋范圍超出辦公區域，同時要加強對單位附近的巡查工作，防止外部人員在單位附近接入網絡。

參考文獻

[1]鐘章隊.無線局域網[M].北京：科學出版社，2004.

[2]王樂.中國標準撼動Wi-Fi[J].電腦報，2003，(49).

[3]賴慶.無線網絡安全對策和技術[J].科技資訊，2006，(19).