无线局域网安全措施分析

(朔黄铁路肃宁分公司 神港站，天津 塘沽 300452)
摘 要：文章通过对危害无线局域网的一些因素的叙述， 给出了一些应对的安全措施，以保证无线局域网能够安全，正常的运行。
关键词：WLAN；WEP；SSID；DHCP；安全措施
中图分类号：TP393.1  文献标识码：A  文章编 号：1007—6921(2009)04—0072—02

WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作 为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各 种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新 布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域 网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并 成为制约WLAN发展的主要瓶颈。
1 威胁无线局域网的因素

首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在 着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情 况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为WLAN的接入点，给入侵 者有机可乘，可以在预期范围以外的地方访问WLAN，窃听网络中的数据，有机会入侵WLAN应 用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。

其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素 同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。

因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝 服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示：“谈到无线网络，企业的IT经 理人最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；其次 如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线， 有人要入侵网络可以说十分容易。”因此说加强WLAN的安全措施还是任重而道远。
2 无线局域网的安全措施
2.1 采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用 WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设 备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用 无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证 服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份( SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP 大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线 网络被发现的可能。

但是目前IEEE 802.11标准中的WEP安全解决方案，在15min内就可被攻破，已被广泛证实不 安全。所以如果采用支持128位的WEP，破解128位的WEP是相当困难的，同时也要定期地更 改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我 们庆幸的是，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个 密 钥”。同时，应该使用IPSec，VPN，SSH或其他WEP的替代方法。不要仅使用WEP来保护数据 。
2.2 改变服务集标识符并且禁止SSID广播

SSID是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由 通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101” 。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的 每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话，还应该禁止你的SSID向 外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你 的网络不可用，只是它不会出现在可使用网络的名单中。
2.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来 说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个 合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分 配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大 大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑 定的MAC地址，相当于两重关卡。设置方法如下：

首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各 电脑的“名称”(即Windows系统属陆里的“计算机描述”)，以后要固定使用的IP地址，其 网卡的MAC地址都如实填写好，最后点“执行”就可以了。
2.4 VPN技术在无线网络中的应用

对于高安全要求或大型的无线网络，VPN方案是一个更好的选择。因为在大型无线网络中维 护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络，基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。V PN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，VPN在不 可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点 的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，VPN技术 可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成 无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网 )，但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网 络隔离出来。VPN服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC 地址过滤接入不同，VPN方案具有较强的扩充、升级性能，可应用于大规模的无线网络。
2.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检 测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的 一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的 类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入 侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统 还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入 侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还 提供无线入侵检测系统的解决方案。
2.6 采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP 关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验 证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如 果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表 示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个W EP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的 响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时 截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证／授权机制。 使用802.1x，VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击 者几乎无法获得访问权限。 
2.7 其他安全措施

除了以上叙述的安全措施手段以外，我们还可以采取一些其他的技术，例如设置附加 的 第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等的方 法来加强WLAN的安全性。
3 结论

无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN 的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传 输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生 产的设备的功能不一样，所以现在笔者介绍的一些安全措施也许在不同的设备上会有些 不一样，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安 全性和保密性，有效地维护无线局域网的安全。
［参考文献］
［1］ 李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施［J］.现代电子 技术，2007, (5):91～94.
［2］ 王秋华,章坚武.浅析无线网络实施的安全措施［J］.中国科技信息，2005, (1 7):18.
［3］ 边锋.不得不说无线网络安全六种简单技巧［J］.计算机与网络，2006, (20): 6.
［4］ 冷月.无线网络保卫战［J］.计算机应用文摘，2006,(26)：79～81.
［5］ 宋涛.无线局域网的安全措施［J］. 电信交换，2004, (1):22～27.