淺談無線網絡安全的現狀及其相關解決方案

馮　棟

摘要：隨著信息技術的飛速發展，人們對網絡通信的需求不斷提高，對Internet訪問的持續性、移動性和適應性等方面取得很大進展，近年來無線網絡已經成為一種較為普及的網絡訪問方式，并且在一些領域已經占據了主流的地位。本文對現階段的無線網絡安全現狀進行了分析，并提出了幾項措施可以對無線網絡起到很好的保護。

關鍵詞：無線網絡；網絡安全；安全防范

隨著移動辦公的普及，無線網絡技術也得到飛速發展，采用無線局域網辦公，能夠擺脫龐雜的網絡聯線的束縛，極大的提高辦公效率，而且讓辦公室看起來更加整齊。無線技術給人們帶來的影響是無可爭議的，但由于無線技術的迅速發展，“催生”了大量的家用和商用協議，每一種技術都有其適應的市場及其專用的設備，不好的是每一種技術都在推廣它自己專用的軟件協議，這就導致了他們之間不兼容的情況。由于無線局域網采用公共的電磁波作為載體，因此對越權存取和竊聽的行為也更不容易防備，使得它的安全性更加難以保證，網絡將面臨著嚴重的威脅，我們需要無線網絡帶來的便捷和高效，更需要無線網絡能夠給我們帶來足夠的信息安全性。

無線技術給人們帶來的影響是無可爭議的，如今每一天大約有幾十萬人成為新的無線用戶，全球范圍內的無線用戶數量目前已經超過4億，但由于無線局域網采用公共的電磁波作為載體，因此對越權存取和竊聽的行為也更不容易防備，Security在英國倫敦進行的一項調查表明，67％的WLAN毫無安全可言。自從1999年9月份IEEE(電子和電氣工程師協會)批準了802.11b標準以來，WEP(WiredEquivalent Privacy，有線對等保密)就成為無線局域網上應用的主要的加密機制，對無線局域網上的數據流進行加密。不過目前許多企業并沒有啟動WEP，主要是因為WEP的密鑰管理和配置起來過于繁瑣，盡管META Group已經承認了一些與WEP有關的漏洞，不過最近報道的一些攻擊行為證明，該保密機制的漏洞要比想象中的還要多。所以企業用戶必須依據使用環境的機密程度，對使用的應用軟件進行評估。切入點是從無線局域網的連接上開始，考慮三個基本的安全服務：審計、認證和機密性。

從短期的解決方案來看，用戶應該對已存在的WLAN的安全性重新進行評估。一些企業用戶已經推遲或終止了在WLAN上WEP的開發和應用，在完整的解決方案出臺之前，企業用戶最好是配置附加的解決方案(例如使用防火墻和虛擬私有網VPN)，來保證網絡安全。在今后的一段時期內，企業的WLAN將會通過特定的網關，集成為一個新的網絡，其目標就是來解決安全、管理、漫游和服務質量(QOS)問題。

第1步：審計。網絡安全在WLAN上尤其顯得重要，這是因為它很容易在網絡內部增加新的訪問節點。保護WLAN的第一步就是完成網絡審計，實現對內部網絡的所有訪問節點都做審計，確定欺騙訪問節點，建立規章制度來約束它們，或者完全從網絡上剝離掉它們。從短期來看，企業應該使用一些能檢測WLAN網絡流量(以及WLAN訪問節點)的網絡監控產品或工具，例如Sniffer Technologies和WildPackets廠家的產品。不過，采取的這些措施能達到的安全程度畢竟還是有限的，因為它要求網絡管理員要根據WLAN的信號來檢測網絡流量，知道網絡內部的數據流量情況。目前，wLAN的提供商們(例如3Corn，Avaya，Cisco，Enterasys和Symb01)已開發出新的能夠檢測遠程訪問節點的網絡管理工具。企業用戶應該形成一個管理政策，保證網絡審計成為一個規范化的行為(至少每三個月檢測一次)，來限制具有欺騙訪問行為的站點恣意進入WLAN。

第2步：認證。因為基于WEP標準的WLAN安全協議并不是可信的，用戶必須考慮到提供商可能會留有“后門”，企業應該增加對WLAN用戶的認證功能(例如使用RADI-US)。提供商們已把IEEE 802.1x用戶認證標準融入到WLAN產品中，成為解決基于WEP漏洞的一種替代方式。企業用戶也可以配置入侵檢測系統(IDS)，做為一種檢測欺騙訪問站點的前期識別方式。入侵檢測系統還能幫助管理員識別特定的、可能存在安全漏洞的訪問點或網段，能夠幫助絡管理員發現入侵者的物理位置。

第3步：機密性。許多企業并不會要求擁有第二步中提到的其它安全防護層。已經完成了WLAN機密性評估的企業用戶就可以決定使用特定的網段來傳輸那些沒有商業價值和不要求加密的信息(例如從貨倉中掃描來的條形碼數據等)。在這種情況下，使用基本的WEP功能就能完全滿足需要，因為這是一種低級加密與低價值信息的結合。不過當用戶在WIAN上交換機密商業信息，或者傳送個人信息時，VPN(虛擬私有網)就成為保證隱私的最可信賴的方法了。META Group提醒企業用戶每個季度對網絡使用情況進行一次評估，以決定根據網絡流量來改變網絡中機密性要求。

許多企業已經擁有VPN，為遠程訪問提供連接。但是配置VPN并不是一個簡單或者僅僅依靠經驗的事情，而且，目前制約VPN迅速發展的一個重要因素就是其可擴展性，當使用802.1lb標準時，VPN網關就很難進行擴展。當前的VPN設備都能承受40Mbps至100Mbps的IPSec(互聯網安全協議)流量(運行3DES加密和SHA－1的哈稀函數)——足夠滿足遠程拔號用戶或者DSL用戶的使用。對于802.11a來說，每個用戶的流量僅能提供1Mbps到10Mbps。對于使用802.11b的網絡來說，如果要實現基本的網絡服務(例如提供電子郵件和HTTP服務)，企業在每個100Mbps的VPN網段上最多允許有300到500個用戶。當應用軟件帶寬增加，或者訪問點有802.11a節點時，就會降低到每個100M的VPN網段上只能承擔100到200個用戶。VPN的一些不足：昂貴的網關缺乏普遍存在的客戶支持，有限的漫游功能(這由終端設備決定)，沒有管理控制(因為有隧道流量)。主要的WLAN提供商目前正忙于提供WEP漏洞的解決方案，包括WEP的后門漏洞、防火墻、入侵檢測系統和VPN性能等，但這方面的產品還是不成熟的。

隨著無線網絡產品的普及和應用范圍的不斷擴大，會出現更多針對無線網絡的攻擊事件，筆者借鑒了相關資料，列舉了無線網絡安全隱患的幾種主流技術，大家不妨參考一下，牢牢把握網絡安全的主動權，做到有備無患。

服務集標識符(SSID)

是通過對多個無線接入點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權限進行區別限制，但這只是一個簡單的口令方式，只能提供一定的安全，而且如果配置AP向外廣播其SSID，那么安全程度還將下降。

物理地址(MAC)過濾

每個無線客戶端網卡都有唯一的一個物理地址，因此可以通過手工的方式在AP中設置一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證，這種方式要求AP的MAC地址列表必需隨時更新，而且，必須是人工親自輸入。如果用戶增加或減少，就必須去修改MAC地址表，這樣就很煩瑣，網絡的擴展能力就會很差，而MAC地址在理論上可以偽造，因此這也是較低級別的授權認證，只能適合于極小型的網絡辦公環境。

有線等效保密(WEP)

IEEES0211.b標準規定了一種被稱為有線等效保密(WEP)的可選加密方案，其目的是為WIAN提供與有線網絡相同級別的安全保護。但WEP是采用靜態的有線等同保密密鑰的基本安全方式。靜態WEP密鑰是一種在會話過程中不發生變化也不針對各個用戶而變化的密鑰，網絡管理員可以設置一個40位或者128位的靜態WEP密鑰，用于身份認證和加密，WEP在鏈路層采用RC4對稱加密技術，從而防止非授權用戶的監聽以及非法用戶的訪問，靜態WEP密鑰對于WLAN上的所有用戶都是通用的。

除此之外還有Wj-Fi保護接入(WPA)、國家標準(WAPI)、端口訪問控制技術(802.1x)等多種技術能夠起到保護無線局域網的作用。

隨著科技的發展。網絡不僅在傳輸帶寬上得到了飛速的提升，連接方式也有了極大的改變，網絡不再是有線媒介一統天下，無線通訊模式已經成了目前世界上發展最迅猛的一種網絡連接方式，就象現今如日中天的手機一樣，無線網絡也正逐漸成為人們流行追逐的目標和企業完善網絡部署的最佳選擇方案。只要我們在使用過程中能夠多加注意，就一定會更好地感受到無線網絡帶給我們的便捷和高效。