論無線局域網安全措施

郭 力

(廣東省理工職業技術學校,廣東@廣州@510500)

摘要:無線局域網的應用擴展了網絡用戶的自由,可提供無線覆蓋范圍內的全功能漫游服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。分析了無線局域網常見的安全問題,并提供了相應的對策。

關鍵詞:無線;局域網;安全;措施

1無線局域網中常見的安全問題

1.12.5GHz方面

目前,用于無線局域網的IEEE 802.11b以及IEEE 802.11g標準使用的都是2.5GHz的無線電波進行網絡通信,沒有使用授權的限制。而且通常IEEE 802.11b標準的無線產品覆蓋范圍在100～300米之間,還可以穿透墻壁。所以,任何人都可以通過一臺安裝了無線網卡的電腦在無線覆蓋范圍內進行監聽,網絡數據很容易被泄漏,特別是在公司內部很容易發生。

1.2WEP脆弱性

雖然常見的IEEE 802.11b和IEEE 802.11g標準使用了WEP加密,但也是不安全的。因為,WEP一般采用40位(10個數字)的密鑰,這樣采用了WEP加密的無線網卡和無線AP之間的連接很容易被破解。更嚴重的安全隱患在于默認情況下通過Windows XP創建的無線網絡連接以及無線路由器禁用WEP加密。

1.3拒絕服務攻擊與干擾

在有線局域網中我們可以通過防火墻阻止DoS(拒絕服務)攻擊,但是攻擊者可以通過無線局域網繞過防火墻,對公司或其他網絡實施攻擊。另外,雖然無線局域網使用了擴頻技術,但是惡意攻擊者還可以通過干擾器來進行信號干擾,而且干擾源又不容易被查出來。

1.4服務集標識符(SSID)

如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。

2無線局域網安全防范措施

2.1端口訪問控制技術(802.1x)

該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉發給Radius服務器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。

2.2加密無線網絡

在無線局域網中,為了保證網絡連接的安全性,通?？梢圆扇EP加密技術。目前,該加密技術一般可以提供64/128位長度的密鑰機制,有的產品甚至支持256位的密鑰機制。要啟用WEP加密功能,首先可以打開無線路由器的“基本設置”頁面,默認情況WEP是處于禁用狀態的。接著,在WEP處選擇“開啟”選項,點擊“WEP密鑰設置”按鈕,在密鑰設置頁面中,可以創建64位或128位的密鑰。例如,我們要創建一個64位的密鑰,那么可以點擊“創建”按鈕來創建4個密鑰,記下這些密鑰,點擊“應用”按鈕。

2.3連線對等保密(WEP)

在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。

2.4綜合預防

(1)許多安全問題都是由于無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到墻外。(2)將信號天線問題處理好之后,再將其加一層“保護膜”,即一定要采用無線加密協議(WEP)。(3)建議禁用DHCP和SNMP設置。從禁用DHCP對無線網絡而言,這很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。(4)使用訪問列表(也稱之為訪問控制列表)。為了進一步保護你的無線網絡,建議選用此項特性,但請注意,并不是所有的無線訪問點都支持。因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議 TFTP,定期下載更新的列表,非常有用。(5)綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全的策略能夠最大限度提高安全水平。