浅谈WLAN无线网络的安全策略

     摘要: 无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性，可以立竿见影地提高生产率，在各行业的广泛应用中取得了令人瞩目的成果，展示了极为广阔的市场前景，它将创造崭新的生活和工作风尚。然而，由于种种原因，无线网络信息存在着诸多不安全因素。文中主要讨论了无线局域网的优越性、无线网络面临的风险，并详细说明了无线网络的安全防护和应对无线网络安全的策略。

　　0、引言

　　现在，组建无线网络来访问因特网已经成为一个趋势，然而这个趋势背后隐藏着许多的网络安全问题。原理上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，攻击者只要在无线路由器或中继器的有效范围内，就可以进入内部网络访问资源，如果内部网络传输的数据并未加密的话，则有可能被窥探到数据隐私。

　　此外，无线网络的发展历史不如有线网络长，其安全理论和解决方案远远没有完善。所有的这些都将导致无线网络的安全性较有线网络差 。

　　1 　WLAN无线网络的优势

　　近些年来随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。

　　无线局域网的特点使得原来有线网络遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。

　　只要在有线网络的基础上通过无线接入点、无线网桥、无线网卡等无线设备使无线通信得以实现。

　　在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。无线局域网把个人从办公桌边解放了出来，可以随时随地获取信息，提高了办公效率。一般而言，对比于传统的有线网络，无线局域网的应用价值体现在以下几方面:

　　(1) 可移动性

　　由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户在任何地方都可以实时访问信息。

　　(2) 布线容易

　　由于不需要布线，消除了穿墙或过天*板布线的繁琐工作，因此安装容易，建网时间可大大缩短。

　　(3) 组网灵活

　　无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。

　　(4) 成本优势

　　这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN 会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。

　　无线局域网的特点使无线网络通信范围不受环境条件的限制，室外可以传输几十公里、室内可以传输数十、几百米。在网络数据传输方面也拥有与有线网络等效的安全加密措施。

　　2 　WLAN无线网络面临的风险和安全性分析

　　WLAN 无线网络面临的风险有如下几点:

　　(1) 网络资源容易暴露

　　因为任何人的计算机都可以通过自己购买的AP ，不经过授权而连入网络。很多部门未通过公司IT 中心授权就自建无线局域网，用户通过非法AP 接入给网络带来很大安全隐患。一旦某些别有用心的人通过无线到你的WLAN ，他们就与那些直接连接到你LAN 交换机上的用户一样，对整个网络有一定的访问权限。在这种情况下，除非你事先已采取了措施，限制不明用户访问网络中的资源和共享文档，否则入侵者能够操作授权用户所能做的任何事情。在你的网络上，文件、目录或者整个的驱动器能够被复制或删除，更坏的情况是那些诸如键盘记录、特洛伊、间谍程序被安装到你的系统中，并且通过网络被那些入侵者所操纵工作，这样的后果就可想而知了。

　　(2) 容易受到攻击

　　由于802. 11 无线局域网对数据帧不进行操作，攻击者可以通过非常简单的方法轻易获得网络中站点的MAC 地址，这些地址可以被用在恶意攻击时使用。

　　(3) WEP 协议局限性

　　WEP 存在的问题由两个方面造成:一是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部，一个访问节点只连接几台PC 的话还可以，但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法，无疑在宣告WLAN 根本没有加密。

　　二是基于WEP 的加密信息容易被破译。虽然WEP有着种种的不安全，但是很多情况下，许多访问节点甚至在没有激活WEP 的情况下就开始使用网络了，这好像在敞开大门迎接敌人一样。然而，一半以上的用户在使用AP 时只是在其默认的配置基础上进行很少的修改，几乎所有的AP 都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。

　　3 　WLAN无线网络防护和对策

　　在了解了无防护的WLAN 所面临的种种问题后，就应该在问题发生之前做好应对措施，而不要等到发生严重的后果后才意识到安全的网络维护是多么重要。要保护无线网络，必须要做到三点:信息加密、身份验证和访问控制。以下的内容就是介绍针对各种不同层次的入侵方式所采取的应对策略。

　　(1) 正确配置AP

　　①不依赖WEP :使用IPSec 、VPN、SSH 或其它代用的WEP ，不要单独使用WEP 保护数据，因为它会被破坏。

　　②接受另外的/ 授权机制:使用802 . 11x 、VPN 或来鉴别和批准你的无线网用户证书，使用用户证书几乎能让攻击者不可能获得访问 。

　　③分割无线网络:从防止基于网络的入侵来说，把网络用户从对他们不适宜的地方隔离开来，尽管这样仍然允许来自因特网的访问，但基于NA T 的路由器能够被用来建立有防火墙功能的LAN 分段。有VLAN 功能的交换机和路由器也可用来分隔LAN 用户，在许多“Smart”或可管理的交换机上都有VLAN功能，但对不可管理交换机和消费级别的路由器来说一般都很难有这样的功能。

　　④阻止物理入侵:在Ap s 上使用方向天线限制信号的方向，也可防护建筑物或设备受到电磁干扰。

　　(2) 使用加密

　　所有的无线网络都提供某些形式的加密。攻击端电脑只要在无线路由器/ 中继器的有效范围内的话，就有很大机会可访问到该无线网络，一旦攻击者访问该内部网络时，该网络中所有传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也不容易被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备应该选取同一个加密技术。

　　(3) 修改默认的服务区标识符(SSID)

　　通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候需要有一个相同的SSID ，否则将被“拒之门外”。路由器/ 中继器设备制造商都在他们的产品中设置了一个默认的相同的SSID。例如linksys 设备的SSID 通常是“linksys”。如果一个网络，不为其指定一个SSID 或者只使用默认SSID 的话，那么任何无线客户端都可以进入该网络。这无疑为黑客的入侵网络打开了方便之门。

　　(4) 设置MAC 地址过滤

　　众所周知，基本上每个网络接点设备都有一个的标识称之为物理地址或MAC 地址，当然无线网络设备也不例外。路由器/ 中继器等路由设备都会跟踪所有经过他们的数据包源MAC 地址。通常，许多这类设备都提供对MAC 地址的操作，这样我们可以通过建立自己的准通过MAC 地址列表，来防止非法设备(主机等) 接入网络。

　　(5) 为网络设备分配静态IP

　　通过为网络成员设备分配固定的IP 地址，然后再在路由器上设定允许接入设备IP 地址列表，从而可以有效地防止非法入侵，保护你的网络。

　　(6) 确定位置，隐藏好你的路由器或中继器

　　无线网络路由器或中继器等设备都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出现有的无线网络范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话，黑客可能很容易在你无线网络范围外登录到无线网络。一旦发生这种情况，就需要为无线路由器或中继器设置一个不同于邻居网络的频段。根据现有的无线网络范围，选择好合适有效范围的路由器或中继器，并选择好其安放的位置。

　　4 　小　结

　　无线网络给我们提供了方便，但必须采取一些措施来保证它的安全。目前，还没有哪一项单独的措施能使我们完全免受攻击，况且面对一些“顽固”的入侵者，完善的保护是难以达到的。但无线网络也不是不堪一击，布署严密的保护措施，应用的安全技术，还是能够充分保护网络免于来自内部与外部的攻击。