浅谈实现无线网络安全的途径和方法

0  引言

　　如今，无线网络技术已经广泛应用到多个领域，然而，无线网络的安全性也是令人担忧的，经常成为入侵者的攻击目标。《无线网络安全》为网络管理员提供了实用的无线网络安全解决方案。详细介绍了无线网络的历史与现状、无线设备的漏洞、无线网络非法接人点的探测和处理、利用RADIUS进行VLAN接入控制、无线网络的架构和设计等内容。无线技术是指在不使用物理线缆的前提下，从一点向另一点传递数据的方法，包括无线电、蜂窝网络、红外线和卫星等技术。

　　公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络，从而将雇员、的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是，随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法，有线网络和无线网络面临的威胁差距越来越小。

1  无线网络威胁

　　无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，这包括：

　　插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。

　　漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。

　　欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。

　　双面恶魔攻击：这种攻击有时也被称为“无线钓鱼”，双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。

　　窃取网络资源：有些用户喜欢从邻近的无线网络访问互联网，即使他们没有什么恶意企图，但仍会占用大量的网络带宽，严重影响网络性能。

　　对无线通信的劫持和监视：正如在有线网络中一样，劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况，一是无线数据包分析，即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的初部分，而其数据一般会包含用户名和口令。

　　当然，还有其它一些威胁，如客户端对客户端的攻击（包括拒绝服务攻击）、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。

3  实现无线网络安全的三大途径和六大方法

　　关于封闭网络，如一些家用网络和单位的网络，常见的方法是在网络接入中配置接入限制。

　　对于商业提供商、热区、大型组织，为人喜爱的方案一般是采用开放的、加密的网络，但要求是完全隔离的无线网络。用户一开始并不能连接到互联网或任何本地的网络资源。

　　无线网络的安全性与有线网络相差无几。在许多办公室中，入侵者可以轻易地访问并挂在有线网络上，并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。

　　正因为无线网络为攻击者提供了许多进入并危害企业网络的机会，所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性：

　　具体来说，有如下几种保护方法：

　　防火墙：　　所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企图。

　　安全标准：早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。

　　加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的加密和身份验证技术。WPA2和802.11i都提供了对AES（加密标准）的支持，这项规范已为许多政府机构所采用。

　　漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。

　　降低功率：一些无线路由器和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。

　　教育用户：企业要教育雇员正确使用无线设备，要求雇员其检测到或发现的任何不正常或可疑的活动。

　　当然，不能说这些保护方法是全面而深入的，因为无线网络的弱点是动态的，还有很多，如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。