WLAN簡(jiǎn)介及其安全性分析

1、無(wú)線局域網(wǎng)簡(jiǎn)介及其通信安全問(wèn)題分析【摘要】隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，無(wú)線局域網(wǎng)得到越來(lái)越廣泛的應(yīng)用。無(wú)線局域網(wǎng)以它的方便、快捷贏得了大量用戶。但它在給用戶帶來(lái)方便的同時(shí)也帶來(lái)了新的安全問(wèn)題。由于其自身的特點(diǎn)，使得它比有線網(wǎng)絡(luò)更易遭到黑客攻擊、病毒感染等。用戶信息安全是否能得到有效的保障，關(guān)系到無(wú)線網(wǎng)絡(luò)的進(jìn)一步發(fā)展應(yīng)用。于是針對(duì)這個(gè)日益嚴(yán)峻，備受關(guān)注的無(wú)線局域網(wǎng)安全問(wèn)題展開(kāi)探討。并對(duì)無(wú)線局域網(wǎng)的標(biāo)準(zhǔn)及面臨的問(wèn)題做了簡(jiǎn)要分析，給出了解決無(wú)線局域網(wǎng)安全問(wèn)題的防范措施?！娟P(guān)鍵詞】無(wú)線局域網(wǎng)；IEEE 802.11；網(wǎng)絡(luò)安全；服務(wù)攻擊；WEP加解密0 引言無(wú)線局域網(wǎng)是在有線網(wǎng)絡(luò)上發(fā)展起來(lái)的， 是無(wú)線傳輸

2、技術(shù)在局域網(wǎng)技術(shù)上的運(yùn)用， 而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無(wú)線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢(shì)， 因此對(duì)無(wú)線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學(xué)者研究的熱點(diǎn)。無(wú)線局域網(wǎng)具有組網(wǎng)靈活、接入簡(jiǎn)便和適用范圍廣泛的特點(diǎn)，但由于其基于無(wú)線路徑進(jìn)行傳播，因此傳播方式的開(kāi)放性特性給無(wú)線局域網(wǎng)的安全設(shè)計(jì)和實(shí)現(xiàn)帶來(lái)了很大的問(wèn)題。目前無(wú)線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11，但其存在設(shè)計(jì)缺陷，缺少密鑰管理，存在很多安全漏洞。1 無(wú)線局域網(wǎng)常用技術(shù)標(biāo)準(zhǔn)1.1 IEEE802.11NIEEE802.11n1技術(shù)通過(guò)物理層和MAC 層的優(yōu)化來(lái)充分提高WLAN 網(wǎng)絡(luò)的吞吐量， 使帶寬從802.11a/g 的54Mb

3、ps 提升到600Mbps。其不僅能夠提供更高的接入速率，同時(shí)還具備很好的向下兼容型可兼容802.11a/b/g 標(biāo)準(zhǔn)。因此，在目前WLAN 網(wǎng)絡(luò)建設(shè)中802.11n 已經(jīng)成為主流。1.2 Bluetooth藍(lán)牙技術(shù)是另外一種廣受業(yè)界關(guān)注的近距無(wú)線連接技術(shù)。它是一種無(wú)線數(shù)據(jù)與語(yǔ)音通信的開(kāi)放性全球規(guī)范，是一種支持設(shè)備短距離通信（一般10m 內(nèi)）的無(wú)線電技術(shù)。能在包括移動(dòng)電話、PDA、無(wú)線耳機(jī)、筆記本電腦、相關(guān)外設(shè)等眾多設(shè)備之間進(jìn)行無(wú)線信息交換。利用“藍(lán)牙”技術(shù)，能夠有效地簡(jiǎn)化移動(dòng)通信終端設(shè)備之間的通信，也能夠成功地簡(jiǎn)化設(shè)備與因特網(wǎng)Internet 之間的通信， 從而數(shù)據(jù)傳輸變得更加迅速高效，為無(wú)

4、線通信拓寬道路。1.3 HiperLAN2除了IEEE，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）也在針對(duì)歐洲市場(chǎng)，制訂名為“HiperLAN”2的無(wú)線接入標(biāo)準(zhǔn)。所制訂的標(biāo)準(zhǔn)有4 個(gè)：HiperLAN1、HiperLAN2、HiperLink 和Hiperccess。其中HiperLink 用于室內(nèi)無(wú)線主干系統(tǒng)，HiperAccess 用于室外對(duì)有線通信設(shè)施提供固定接入，HiperLAN1 和HiperLAN2 則用于無(wú)線局域網(wǎng)接入。相比之下，IEEE802.11 的一系列協(xié)議都只能由以太網(wǎng)作為支撐，不如HiperLAN2靈活。1.4 HomeRFHomeRF 無(wú)線標(biāo)準(zhǔn)是由HomeRF 工作組開(kāi)發(fā)的， 旨在

5、家庭范圍內(nèi)， 使計(jì)算機(jī)與其他電子設(shè)備之間實(shí)現(xiàn)無(wú)線通信的開(kāi)放性工業(yè)標(biāo)準(zhǔn)。HomeRF 是IEEE802.11 與DECT 的結(jié)合，使用這種技術(shù)能降低語(yǔ)音數(shù)據(jù)成本。與前幾種技術(shù)一樣，使用開(kāi)放的2.4GHz 頻段。采用跳頻擴(kuò)頻（FHSS）技術(shù)，跳頻速率為50 跳/秒, 共有75 個(gè)帶寬為1MHz 的跳頻信道，室內(nèi)覆蓋范圍為45 米。調(diào)制方式為恒定包絡(luò)的FSK 調(diào)制，分為2FSK 與4FSK 兩種，采用調(diào)頻調(diào)制可以有效地抑制無(wú)線環(huán)境下的干擾和衰落。2FSK 方式下，最大數(shù)據(jù)的傳輸速率為1Mbps；4FSK 方式下，速率可達(dá)2Mbps。2 無(wú)線局域網(wǎng)的結(jié)構(gòu)根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同， 無(wú)線局域

6、網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)實(shí)現(xiàn)互聯(lián)。常用的具體有如下幾種。2.1 網(wǎng)橋連接型不同的局域網(wǎng)之間互聯(lián)時(shí)，由于物理上的原因，若采取有線方式不方便，則可利用無(wú)線網(wǎng)橋的方式實(shí)現(xiàn)二者的點(diǎn)對(duì)點(diǎn)連接， 無(wú)線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接， 還為兩個(gè)網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。2.2 基站接入型當(dāng)采用移動(dòng)蜂窩通信網(wǎng)接入方式組建無(wú)線局域網(wǎng)時(shí)，各站點(diǎn)之間的通信是通過(guò)基站接入、數(shù)據(jù)交換方式來(lái)實(shí)現(xiàn)互聯(lián)的。各移動(dòng)站不僅可以通過(guò)交換中心自行組網(wǎng)， 還可以通過(guò)廣域網(wǎng)與遠(yuǎn)地站點(diǎn)組建自己的工作網(wǎng)絡(luò)。2.3 Hub 接入型利用無(wú)線Hub 可以組建星型結(jié)構(gòu)的無(wú)線局域網(wǎng)，具有與有線Hub 組網(wǎng)方式相類似的優(yōu)點(diǎn)。在該

7、結(jié)構(gòu)基礎(chǔ)上的WLAN， 可采用類似于交換型以太網(wǎng)的工作方式，要求Hub 具有簡(jiǎn)單的網(wǎng)內(nèi)交換功能。2.4 無(wú)中心結(jié)構(gòu)要求網(wǎng)中任意兩個(gè)站點(diǎn)均可直接通信。此結(jié)構(gòu)的無(wú)線局域網(wǎng)一般使用公用廣播信道，MAC層采用CSMA 類型的多址接入?yún)f(xié)議。 無(wú)線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過(guò)無(wú)線Hub、無(wú)線接入站（AP）、無(wú)線網(wǎng)橋、無(wú)線Modem 及無(wú)線網(wǎng)卡等來(lái)實(shí)現(xiàn)，其中以無(wú)線網(wǎng)卡最為普遍，使用最多。3 無(wú)線局域網(wǎng)的優(yōu)點(diǎn)（1）可移動(dòng)性：由于沒(méi)有線纜的限制，用戶可以在不同的地方移動(dòng)工作，網(wǎng)絡(luò)用戶不管在任何地方都可以實(shí)時(shí)地訪問(wèn)信息。（2）布線容易：由于不需要布線，消除了穿墻或過(guò)天花板布線的瑣工作，因此安裝容易，建網(wǎng)時(shí)間可

8、大大縮短。（3）組網(wǎng)靈活：無(wú)線局域網(wǎng)可以組成多種拓?fù)浣Y(jié)構(gòu)，可以十分容易地從少數(shù)用戶的點(diǎn)對(duì)點(diǎn)模式擴(kuò)展到上千用戶的基礎(chǔ)架構(gòu)網(wǎng)絡(luò)。（4）成本優(yōu)勢(shì)：這種優(yōu)勢(shì)體現(xiàn)在用戶網(wǎng)絡(luò)需要租用大量的電信專線進(jìn)行通信的時(shí)候， 自行組建的WLAN 會(huì)為用戶節(jié)約大量的租用費(fèi)用。在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)的投資更有回報(bào)。4 無(wú)線局域網(wǎng)的缺點(diǎn)（1）性能：無(wú)線局域網(wǎng)是依靠無(wú)線電波進(jìn)行傳輸?shù)摹＿@些電波通過(guò)無(wú)線發(fā)射裝置進(jìn)行發(fā)射，而建筑物、車輛、樹(shù)木和其它障礙物都可能阻礙電磁波的傳輸，所以會(huì)影響網(wǎng)絡(luò)的性能。（2）速率：無(wú)線信道的傳輸速度與有線信道相比要低很多。目前，無(wú)線局域網(wǎng)的最大傳輸速率為1Gbit/s，只適合于

9、個(gè)人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。（3）安全性：本質(zhì)上無(wú)線電波不要求建立物理的連接通道，無(wú)線信號(hào)是發(fā)散的。從理論上講，很容易監(jiān)聽(tīng)到無(wú)線電波廣播范圍內(nèi)的任何信號(hào)，造成通信信息泄漏。5 無(wú)線局域網(wǎng)中不安全因素5.1 信號(hào)更容易被截獲和跟蹤無(wú)線網(wǎng)絡(luò)的電磁輻射難以精確的控制在某個(gè)范圍之內(nèi)攻擊者只需架設(shè)一座天線即可獲取信息。與有線網(wǎng)絡(luò)相比，信息更易被截獲和跟蹤，而且難以發(fā)現(xiàn)。一個(gè)公司內(nèi)部通常采用VLAN組網(wǎng)，為了方便管理，一般對(duì)無(wú)線路由器設(shè)置成自動(dòng)獲取IP地址。這樣本來(lái)通過(guò)VLAN隔離的不同部門就會(huì)失去保護(hù)功能。入侵者可以訪問(wèn)到本不能訪問(wèn)的信息。5.2 中間人攻擊無(wú)線竊聽(tīng)是一種常見(jiàn)的MiM攻擊方式。借助802.

10、11分析器，黑客可以捕捉到連接會(huì)話數(shù)據(jù)，這部分?jǐn)?shù)據(jù)往往包含用戶名及口令。黑客在監(jiān)聽(tīng)無(wú)線數(shù)據(jù)的同時(shí)，也可偽裝成合法用戶修改數(shù)據(jù)，例如修改目的IP地址等，即所謂的會(huì)話劫持。還有一種MiM攻擊就是基站偽裝。黑客將具有強(qiáng)信號(hào)且未授權(quán)的設(shè)備置于無(wú)線網(wǎng)絡(luò)中，偽裝成合法的AP，用戶與其通信將不可避免的泄露用戶信息。5.3 不同的DOS攻擊無(wú)線局域網(wǎng)的帶寬是有限的，這個(gè)有限的帶寬被AP上所有的用戶所共享，入侵者可以產(chǎn)生大量的數(shù)據(jù)包，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓，或者造成網(wǎng)絡(luò)永久中斷，使系統(tǒng)不能正常工作。此外，無(wú)線局域網(wǎng)比有線網(wǎng)絡(luò)更易遭受IP重定向攻擊、TCP響應(yīng)攻擊等。3.2 無(wú)線局域網(wǎng)協(xié)議及安全隱患無(wú)線局

11、域網(wǎng)協(xié)議標(biāo)準(zhǔn)有IEEE 的802.11、802.11b、802.11a、802.11g及最新標(biāo)準(zhǔn)802.11n等。802.11基本已被淘汰。802.11b繼承了802.11的無(wú)線信號(hào)頻率標(biāo)準(zhǔn)，采用2.4GHz直接序列擴(kuò)頻。支持最高11Mbps的數(shù)據(jù)傳輸速率。802.11a提供的最高數(shù)據(jù)傳輸速率為54Mbps，工作在5GHz頻段上。這一更高的頻率也就意味著802.11a的信號(hào)更容易受到墻壁或者其他障礙物的影響。由于802.11a的成本較高，所以它主要應(yīng)用在商業(yè)領(lǐng)域，而802.11b則主要用在家庭場(chǎng)所。802.11g結(jié)合了802.11a和802.11b二者的優(yōu)點(diǎn)，既能適應(yīng)傳統(tǒng)的802.11b標(biāo)準(zhǔn)，

12、在2.4GHz頻率下提供11Mbit/s數(shù)據(jù)傳輸率，也符合802.11a標(biāo)準(zhǔn)，在5GHz頻率下提供56Mbit/s數(shù)據(jù)傳輸率?，F(xiàn)在筆記本電腦多數(shù)都配有802.11g標(biāo)準(zhǔn)的網(wǎng)卡。802.11n是IEEE推出的最新標(biāo)準(zhǔn)。通過(guò)采用智能天線技術(shù)，可以將WLAN的傳輸速率由目前802.11a及802.11g提供的54Mbps、108Mbps，提供到300Mbps甚至是600Mbps。5.4 拒絕服務(wù)攻擊（Denial of Service Dos） 在這種方式下，黑客的目的不是獲取信息，而是試圖使用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)服務(wù)。802.11b已成為當(dāng)前WLAN的主流標(biāo)準(zhǔn)，被多數(shù)廠商所采用，所推出的產(chǎn)品廣泛應(yīng)用于辦

13、公室、家庭、賓館、車站、機(jī)場(chǎng)等眾多場(chǎng)合。但802.11b使用的是2.4GHz的ISM開(kāi)放頻段，沒(méi)有使用授權(quán)的限制，家用微波爐、藍(lán)牙芯片和無(wú)繩電話等也都使用這個(gè)頻段，所以給無(wú)線網(wǎng)絡(luò)帶來(lái)了潛在威脅。5.5 MAC地址欺騙由于在AP服務(wù)范圍內(nèi)的任何無(wú)線設(shè)備都可以接收到無(wú)線局域網(wǎng)的信號(hào)，所以通過(guò)非常簡(jiǎn)單的方法，攻擊者就可以輕易獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址。然后把自己網(wǎng)卡的MAC地址設(shè)置成網(wǎng)絡(luò)中的合法MAC地址，攻擊者從而繞過(guò)了訪問(wèn)控制列表，使用合法的身份竊取網(wǎng)絡(luò)信息。無(wú)線網(wǎng)卡MAC地址的修改要比普通網(wǎng)卡簡(jiǎn)單得多。5.6 偽造認(rèn)證攻擊在無(wú)線加密協(xié)議中，Challenge質(zhì)詢（128位隨機(jī)數(shù)）為明文傳輸

14、，質(zhì)詢響應(yīng)使用WEP加密，RC4IV，SK=CP，攻擊者可以得到使用特定N的密鑰流RC4（IV，SK），攻擊者擁有全部用于認(rèn)證的必要信息，而無(wú)需知道WEP共享密鑰SK。然后在某個(gè)時(shí)刻偽裝成合法用戶重放鑒權(quán)請(qǐng)求，從而欺騙AP通過(guò)身份認(rèn)證。5.7 WEP加解密的同步問(wèn)題RC4算法的加密過(guò)程是使用偽隨機(jī)數(shù)發(fā)生器（PRNG）生成隨機(jī)密鑰流，隨機(jī)密鑰流與明文進(jìn)行異或運(yùn)算生成密文，密鑰流的生成與明文相互獨(dú)立，因此屬于同步密碼。在加密端，密鑰序列發(fā)生器產(chǎn)生密鑰流序列。在解密端，另一個(gè)密鑰序列發(fā)生器產(chǎn)生相同的密鑰流序列。特點(diǎn)是提供了一定的安全性能、自同步且易于用軟硬件實(shí)現(xiàn)，但也存在一定的問(wèn)題。作為流加密算法，

15、如果在接收時(shí)丟失了一個(gè)比特，則后續(xù)的每一個(gè)比特都不能正確解密。6 無(wú)線局域網(wǎng)環(huán)境下的釣魚攻擊案例分析隨著WiFi在手機(jī)、Pad、個(gè)人電腦等設(shè)備上的普及，給人們的工作和生活帶來(lái)了更多的便利，但無(wú)線網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)。這些移動(dòng)終端上承載著越來(lái)越多的個(gè)人生活、娛樂(lè)、工作等方面的信息，其中包含大量的個(gè)人隱私甚至商業(yè)秘密信息，這些信息的重要性不言而喻。由于移動(dòng)終端的信息交互基本都離不開(kāi)無(wú)線網(wǎng)絡(luò)連接，而無(wú)線信號(hào)是空氣中是無(wú)處不在的，人們很自然會(huì)產(chǎn)生這樣的憂慮：我的隱私是否會(huì)隨著無(wú)線信號(hào)飛來(lái)飛去？無(wú)線網(wǎng)絡(luò)安全該如何保證？ 最近，無(wú)線釣魚所造成的隱私泄露是經(jīng)常被提及的一個(gè)話題，讓人們談“無(wú)線”色

16、變，那么無(wú)線釣魚的危害到底如何？是否真的會(huì)導(dǎo)致個(gè)人隱私或商業(yè)秘密的泄露？我們先了解一下無(wú)線釣魚攻擊的原理和危害。通常來(lái)說(shuō)，發(fā)起無(wú)線釣魚攻擊的黑客會(huì)采取以下步驟：1、獲取無(wú)線網(wǎng)絡(luò)的密鑰對(duì)于采用WEP或WPA認(rèn)證的無(wú)線網(wǎng)絡(luò)，黑客可以通過(guò)無(wú)線破解工具，或者采用社會(huì)工程的方法，來(lái)竊取目標(biāo)無(wú)線網(wǎng)絡(luò)的密鑰，對(duì)于未加密的無(wú)線網(wǎng)絡(luò)則可以省略這一步驟，使得無(wú)線釣魚攻擊更容易得手。2、偽造目標(biāo)無(wú)線網(wǎng)絡(luò)用戶終端在接入一個(gè)無(wú)線網(wǎng)絡(luò)之前，系統(tǒng)會(huì)自動(dòng)掃描周圍環(huán)境中是否存在曾經(jīng)連接過(guò)的無(wú)線網(wǎng)絡(luò)。當(dāng)存在這樣的網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)自動(dòng)連接該無(wú)線網(wǎng)絡(luò)，并自動(dòng)完成認(rèn)證過(guò)程；當(dāng)周圍都是陌生的網(wǎng)絡(luò)時(shí)，需要用戶手工選擇一個(gè)無(wú)線網(wǎng)絡(luò)，并輸入該網(wǎng)

17、絡(luò)的密鑰，完成認(rèn)證過(guò)程。而黑客在偽造該無(wú)線網(wǎng)絡(luò)時(shí)，只需要在目標(biāo)無(wú)線網(wǎng)絡(luò)附近架設(shè)一臺(tái)相同或近似SSID的AP，并設(shè)置上之前竊取的無(wú)線網(wǎng)絡(luò)密鑰。這臺(tái)AP一般會(huì)設(shè)置成可以橋接的軟AP，因此更加隱蔽，不容易被人發(fā)現(xiàn)。這樣，黑客偽造AP的工作就完成了，由于采用了相同的SSID和網(wǎng)絡(luò)密鑰，對(duì)用戶來(lái)說(shuō)基本上難辨真?zhèn)?，并且由于偽造AP使用了高增益天線，附近的用戶終端會(huì)接收到比較強(qiáng)的無(wú)線信號(hào)，因此用戶會(huì)發(fā)現(xiàn)，在自己終端上的無(wú)線網(wǎng)絡(luò)列表中，這個(gè)偽造的AP居然排名非?？壳埃媸橇钊朔啦粍俜?。到這里，可能有些比較大意的用戶就會(huì)上鉤了，掉入這個(gè)精心構(gòu)造的陷阱中。對(duì)于那些幸免的用戶終端，黑客會(huì)采取進(jìn)一步的行動(dòng)，以達(dá)到獲取

18、信息的最大化。3、干擾合法無(wú)線網(wǎng)絡(luò)對(duì)于那些沒(méi)有自動(dòng)上鉤的移動(dòng)終端，為了使其主動(dòng)走進(jìn)布好的陷阱，黑客會(huì)對(duì)附近合法的網(wǎng)絡(luò)發(fā)起無(wú)線DoS攻擊，使得這些無(wú)線網(wǎng)絡(luò)處于癱瘓狀態(tài)。這時(shí)，移動(dòng)終端會(huì)發(fā)現(xiàn)原有無(wú)線網(wǎng)絡(luò)不可用，重新掃描無(wú)線網(wǎng)絡(luò)，并主動(dòng)連接附近同一個(gè)無(wú)線網(wǎng)絡(luò)中信號(hào)強(qiáng)度最好的AP。由于其他AP都不可用，并且黑客偽造的釣魚AP信號(hào)強(qiáng)度又比較高，移動(dòng)終端會(huì)主動(dòng)與偽造的AP建立連接，并獲得了IP地址。至此，無(wú)線釣魚的過(guò)程就已經(jīng)完成了，剩下的就是黑客如何處理網(wǎng)中的這些“魚”了。4、截獲流量或發(fā)起進(jìn)一步攻擊無(wú)線釣魚攻擊完成后，移動(dòng)終端就與黑客的攻擊系統(tǒng)建立了連接，由于黑客采用了具有橋接功能的軟AP，可以將移動(dòng)終

19、端的流量轉(zhuǎn)發(fā)至Internet，因此移動(dòng)終端仍能繼續(xù)上網(wǎng)，但此時(shí)，所有流量已經(jīng)被黑客盡收眼底。黑客會(huì)捕獲流量并進(jìn)一步處理，如果使用中間人攻擊工具，甚至可以截獲采用了SSL加密的Gmail郵箱信息，而那些未加密的信息更是一覽無(wú)余。更進(jìn)一步，由于黑客的攻擊系統(tǒng)與被釣魚的終端建立了連接，黑客可以尋找可利用的系統(tǒng)漏洞，并截獲終端的DNS/URL請(qǐng)求，返回攻擊代碼，給終端植入木馬，達(dá)到最終控制用戶終端的目的。此時(shí)，那些存儲(chǔ)在終端上的資料已經(jīng)是黑客囊中之物。由此可見(jiàn)，無(wú)線釣魚攻擊確實(shí)是移動(dòng)終端的一大威脅，移動(dòng)終端的數(shù)據(jù)泄露風(fēng)險(xiǎn)也遠(yuǎn)高于傳統(tǒng)設(shè)備，隱私很可能會(huì)隨風(fēng)飛走，被人窺視。因此做好無(wú)線釣魚攻擊的防范，顯

20、得尤為重要。啟明星辰的無(wú)線網(wǎng)絡(luò)安全研究人員建議，在無(wú)線網(wǎng)絡(luò)部署、無(wú)線終端使用等環(huán)節(jié)都要考慮安全性配置，從而將無(wú)線信息泄露風(fēng)險(xiǎn)降至最低。7 無(wú)線局域網(wǎng)安全策略802.11 協(xié)議提供的無(wú)線安全性能可以很好地抵御一般性網(wǎng)絡(luò)攻擊，但是仍有少數(shù)黑客能夠入侵無(wú)線網(wǎng)絡(luò)，從而無(wú)法充分保護(hù)包含敏感數(shù)據(jù)的網(wǎng)絡(luò)。為了更好的防止未授權(quán)用戶接入網(wǎng)絡(luò)，需要實(shí)施一種性能高于802.11 的高級(jí)安全機(jī)制。H3C的WLAN安全完全實(shí)現(xiàn)了IEEE802.11 協(xié)議以及WPA規(guī)定的服務(wù)的安全標(biāo)準(zhǔn)，而且可以配合的端口安全特性使用，提供更安全的接入保護(hù)、更靈活的服務(wù)應(yīng)用組合以適應(yīng)各種網(wǎng)絡(luò)需要。7.1鏈路認(rèn)證方式7.1.1. 開(kāi)放系統(tǒng)認(rèn)

21、證（Open system authentication）開(kāi)放系統(tǒng)認(rèn)證是缺省使用的認(rèn)證機(jī)制，也是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開(kāi)放系統(tǒng)認(rèn)證，則所有請(qǐng)求認(rèn)證的客戶端都會(huì)通過(guò)認(rèn)證。開(kāi)放系統(tǒng)認(rèn)證包括兩個(gè)步驟：第一步是請(qǐng)求認(rèn)證，第二步是返回認(rèn)證結(jié)果。7.1.2. 共享密鑰認(rèn)證（Shared key authentication）共享密鑰認(rèn)證是除開(kāi)放系統(tǒng)認(rèn)證以外的另外一種認(rèn)證機(jī)制。共享密鑰認(rèn)證需要客戶端和設(shè)備端配置相同的共享密鑰。共享密鑰認(rèn)證的認(rèn)證過(guò)程為：客戶端先向設(shè)備發(fā)送認(rèn)證請(qǐng)求，無(wú)線設(shè)備端會(huì)隨機(jī)產(chǎn)生一個(gè)Challenge 包（即一個(gè)字符串）發(fā)送給客戶端；客戶端會(huì)將接收到字符串拷貝到新

22、的消息中，用密鑰加密后再發(fā)送給無(wú)線設(shè)備端；無(wú)線設(shè)備端接收到該消息后，用密鑰將該消息解密，然后對(duì)解密后的字符串和最初給客戶端的字符串進(jìn)行比較。如果相同，則說(shuō)明客戶端擁有無(wú)線設(shè)備端相同的共享密鑰，即通過(guò)了Shared Key認(rèn)證；否則Shared Key 認(rèn)證失敗。7.2. WLAN 服務(wù)的數(shù)據(jù)安全相對(duì)于有線網(wǎng)絡(luò)，WLAN 存在著與生俱來(lái)的數(shù)據(jù)安全問(wèn)題。在一個(gè)區(qū)域內(nèi)的所有的WLAN 設(shè)備共享一個(gè)傳輸媒介，任何一個(gè)設(shè)備可以接收到其他所有設(shè)備的數(shù)據(jù)，這個(gè)特性直接威脅到WLAN 接入數(shù)據(jù)的安全。802.11 協(xié)議也在致力于解決WLAN 的安全問(wèn)題，主要的方法為對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特定的設(shè)備可以對(duì)

23、接收到的報(bào)文成功解密。其他的設(shè)備雖然可以接收到數(shù)據(jù)報(bào)文，但是由于沒(méi)有對(duì)應(yīng)的密鑰，無(wú)法對(duì)數(shù)據(jù)報(bào)文解密，從而實(shí)現(xiàn)了WLAN數(shù)據(jù)的安全性保護(hù)。目前支持四種安全服務(wù)。(1) 明文數(shù)據(jù)該種服務(wù)本質(zhì)上為無(wú)安全保護(hù)的WLAN服務(wù)，所有的數(shù)據(jù)報(bào)文都沒(méi)有通過(guò)加密處理。(2) WEP 加密WEP（Wired Equivalent Privacy，有線等效加密）用來(lái)保護(hù)無(wú)線局域網(wǎng)中的授權(quán)用戶所交換的數(shù)據(jù)的機(jī)密性，防止這些數(shù)據(jù)被隨機(jī)竊聽(tīng)。WEP 使用RC4 加密算法來(lái)保證數(shù)據(jù)的保密性，通過(guò)共享密鑰來(lái)實(shí)現(xiàn)認(rèn)證，理論上增加了網(wǎng)絡(luò)偵聽(tīng)，會(huì)話截獲等的攻擊難度，雖然WEP104 在一定程度上提高了WEP 加密的安全性，但是受到

24、RC4 加密算法、過(guò)短的初始向量和靜態(tài)配置密鑰的限制，WEP 加密還是存在比較大的安全隱患。WEP 加密方式可以分別和Open system、Shared key 鏈路認(rèn)證方式使用。采用 Open system authentication 方式：此時(shí)WEP 密鑰只做加密，即使密鑰配的不一致，用戶也是可以上線，但上線后傳輸?shù)臄?shù)據(jù)會(huì)因?yàn)槊荑€不一致被接收端丟棄。采用 Shared key authentication 方式：此時(shí)如果雙方密鑰不一致，客戶端就不能通過(guò)Shared key 認(rèn)證，無(wú)法上線。也就是說(shuō)，當(dāng)WEP 和Shared key 認(rèn)證方式配合使用時(shí)，WEP 也可以作為一種認(rèn)證方法。(

25、3) TKIP 加密TKIP 是一種加密方法，用于增強(qiáng)pre-RSN 硬件上的WEP 協(xié)議的加密的安全性，其加密的安全性遠(yuǎn)遠(yuǎn)高于WEP。WEP 主要的缺點(diǎn)在于，盡管IV（Initial Vector，初始向量）改變但在所有的幀中使用相同的密鑰，而且缺少密鑰管理系統(tǒng)，不可靠。TKIP 和WEP 加密機(jī)制都是使用RC4 算法，但是相比WEP 加密機(jī)制，TKIP 加密機(jī)制可以為WLAN 服務(wù)提供更加安全的保護(hù)。首先，TKIP 通過(guò)增長(zhǎng)了算法的IV 長(zhǎng)度提高了WEP 加密的安全性。相比WEP 算法，TKIP 將WEP 密鑰的長(zhǎng)度由40 位加長(zhǎng)到128 位，初始化向量IV 的長(zhǎng)度由24 位加長(zhǎng)到48 位

26、；其次，TKIP 支持密鑰的動(dòng)態(tài)協(xié)商，解決了WEP 加密需要靜態(tài)配置密鑰的限制。TKIP使用一種密鑰構(gòu)架和管理方法，通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來(lái)取代單個(gè)靜態(tài)密鑰，雖然TKIP 采用的還是和WEP 一樣的RC4 加密算法，但其動(dòng)態(tài)密的特性很難被攻破；另外，TKIP 還支持了MIC 認(rèn)證（Message Integrity Check，信息完整性校驗(yàn)）和Countermeasure 功能。當(dāng)MIC 發(fā)生錯(cuò)誤的時(shí)候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時(shí)，可以采取一系列的對(duì)策，來(lái)阻止黑客的攻擊。(4) CCMP 加密CCMP(Counter mode with CBC-MAC P

27、rotocol，計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議)加密機(jī)制是基于AES（Advanced Encryption Standard，高級(jí)加密標(biāo)準(zhǔn)）加密機(jī)制的CCM（Counter-Mode/CBC-MAC，區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼）方法。CCM 結(jié)合CTR（Counter mode，計(jì)數(shù)器模式）進(jìn)行機(jī)密性校驗(yàn)，同時(shí)結(jié)合CBC-MAC（區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼）進(jìn)行認(rèn)證和完整性校驗(yàn)。CCM 可以保護(hù)了MPDU 數(shù)據(jù)段和IEEE 802.11 首部中被選字段的完整性。CCMP 中所有的AES 處理進(jìn)程都使用128 位的密鑰和128 位的塊大小。CCM 中每個(gè)會(huì)話都需要一個(gè)新的臨

28、時(shí)密鑰。對(duì)于每個(gè)通過(guò)給定的臨時(shí)密鑰加密的幀來(lái)說(shuō)，CCM同樣需要確定唯一的隨機(jī)值（nonce）。CCMP使用48位的PN（packet number）來(lái)實(shí)現(xiàn)這個(gè)目的。對(duì)于同一個(gè)臨時(shí)密鑰，重復(fù)使用PN 會(huì)使所有的安全保證無(wú)效。7.3 用戶接入認(rèn)證(1) PSK 認(rèn)證PSK 認(rèn)證需要實(shí)現(xiàn)在無(wú)線客戶端和設(shè)備端配置相同的預(yù)共享密鑰，如果密鑰相同，PSK 接入認(rèn)證成功；如果密鑰不同，PSK 接入認(rèn)證失敗。(2) MAC 接入認(rèn)證MAC 地址認(rèn)證是一種基于端口和MAC 地址對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行控制的認(rèn)證方法。通過(guò)手工維護(hù)一組允許訪問(wèn)的MAC 地址列表，實(shí)現(xiàn)對(duì)客戶端物理地址過(guò)濾，但這種方法的效率會(huì)隨著終端

29、數(shù)目的增加而降低，因此MAC 地址認(rèn)證適用安全需求不太高的場(chǎng)合，如家庭、小型辦公室等環(huán)境。MAC 地址認(rèn)證分為以下兩種方式：本地 MAC 地址認(rèn)證：當(dāng)選用本地認(rèn)證方式進(jìn)行MAC 地址認(rèn)證時(shí)，需要在設(shè)備上預(yù)先配置允許訪問(wèn)的MAC 地址列表，如果客戶端的MAC 地址不在允許訪問(wèn)的MAC 地址列表，將被拒絕其接入請(qǐng)求。通過(guò) RADIUS 服務(wù)器進(jìn)行MAC 地址認(rèn)證：當(dāng)MAC 接入認(rèn)證發(fā)現(xiàn)當(dāng)前接入的客戶端為未知客戶端，會(huì)主動(dòng)向RADIUS 服務(wù)器發(fā)起認(rèn)證請(qǐng)求，在RADIUS服務(wù)器完成對(duì)該用戶的認(rèn)證后，認(rèn)證通過(guò)的用戶可以訪問(wèn)無(wú)線網(wǎng)絡(luò)以及相應(yīng)的授權(quán)信息。(3) 802.1x 認(rèn)證802.1x 協(xié)議是一種基

30、于端口的網(wǎng)絡(luò)接入控制協(xié)議，該技術(shù)也是用于WLAN 的一種增加網(wǎng)絡(luò)安全的解決方案。當(dāng)客戶端與AP 關(guān)聯(lián)后，是否可以使用AP 提供的無(wú)線服務(wù)要取決于802.1x 的認(rèn)證結(jié)果。如果客戶端能通過(guò)認(rèn)證，就可以訪問(wèn)WLAN 中的資源；如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)WLAN 中的資源。對(duì)于小型企業(yè)和家庭用戶而言，無(wú)線接入用戶數(shù)量比較少，一般沒(méi)有專業(yè)的IT 管理人員通常情況下不會(huì)配備專用的認(rèn)證服務(wù)器，對(duì)于這種對(duì)網(wǎng)絡(luò)安全性的要求相對(duì)較低的無(wú)線環(huán)境下，可采用“WPA-PSK+接入點(diǎn)隱藏”的安全策略來(lái)保證安全。在倉(cāng)庫(kù)物流、醫(yī)院、學(xué)校等環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及客戶端數(shù)量，AP和無(wú)線客戶端的數(shù)量必將大大增加，安全隱

31、患也相應(yīng)增加，此時(shí)簡(jiǎn)單的WPA-PSK已經(jīng)不能滿足此類用戶的需求，可以采用表1中的中級(jí)安全方案。使用支持IEEE 802.1x認(rèn)證技術(shù)的AP作為無(wú)線網(wǎng)絡(luò)的安全核心，并通過(guò)Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶接入。在各類公共場(chǎng)合以及網(wǎng)絡(luò)運(yùn)營(yíng)商、大中型企業(yè)、金融機(jī)構(gòu)等環(huán)境中，有些用戶需要在熱點(diǎn)公共地區(qū)（如機(jī)場(chǎng)、咖啡店等）通過(guò)無(wú)線接入Internet，因此用戶認(rèn)證問(wèn)題就顯得至關(guān)重要。如果不能準(zhǔn)確可靠地進(jìn)行用戶認(rèn)證，就有可能造成服務(wù)盜用，這種服務(wù)盜用會(huì)對(duì)無(wú)線接入服務(wù)提供商造成不可接受的損失，表1中的專業(yè)級(jí)解決方案可以較好地滿足用戶需求，通過(guò)用戶隔離技術(shù)、IEEE802.1i、R

32、adius用戶認(rèn)證以及計(jì)費(fèi)方式確保用戶的安全。8 無(wú)線局域網(wǎng)安全問(wèn)題防范措施無(wú)線局域網(wǎng)雖然帶來(lái)了新的安全問(wèn)題，但只要采取適當(dāng)?shù)陌踩婪洞胧?，不僅可以保證網(wǎng)絡(luò)的安全，還能盡情享受它帶來(lái)的方便。對(duì)于目前使用的無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，可以通過(guò)以下幾方面的設(shè)置來(lái)改進(jìn)無(wú)線局域網(wǎng)的安全。8.1 關(guān)閉非授權(quán)接入保證無(wú)線接入點(diǎn)安全的關(guān)鍵是禁止非授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)。也就是說(shuō)，安全的接入點(diǎn)對(duì)非授權(quán)用戶是關(guān)閉的。這個(gè)措施可以與訪問(wèn)控制列表相結(jié)合。無(wú)線接入點(diǎn)的位置設(shè)置使無(wú)線接入點(diǎn)保持封閉的第一步是正確放置天線，從而限制能夠到達(dá)天線有效范圍的信號(hào)量。不要把天線放在靠近窗戶的地方，因?yàn)椴ＡР荒茏钃鯚o(wú)線信號(hào)。天線的理想位置是目標(biāo)覆蓋區(qū)

33、域的中心，并使泄露到墻外的信號(hào)盡可能的少。以免超出物理管轄范圍，給竊聽(tīng)者提供更廣闊的自由竊聽(tīng)空間。8.2 使用無(wú)線加密協(xié)議無(wú)線加密協(xié)議（WEP）是無(wú)線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法。激活WEP、改變?nèi)笔EP密鑰，經(jīng)常改變WEP密鑰或使用動(dòng)態(tài)密鑰來(lái)避免密鑰重用, 其配置見(jiàn)圖2。圖28.3 改變服務(wù)集標(biāo)識(shí)符（SSID） 改變服務(wù)集標(biāo)識(shí)符（SSID）并禁止其廣播SSID是無(wú)線接入的身份標(biāo)識(shí)符，用戶用此來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的，并且每個(gè)廠商都用自己的缺省值。更改缺省的SSID使之不易被猜測(cè)到，關(guān)閉定期廣播功能，這樣雖然客戶機(jī)必須發(fā)送探測(cè)幀詢問(wèn)SSID，但竊聽(tīng)者要

34、獲得探測(cè)幀，就必須借助一些無(wú)線數(shù)據(jù)包捕獲及分析工具。圖38.4 禁用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP） 通過(guò)這個(gè)策略，你將迫使黑客去破解你的IP地址、子網(wǎng)掩碼和其它必需的TCP/IP參數(shù)。即使黑客可以使用你的無(wú)線接入點(diǎn)，但還必須知道你的IP地址，才能訪問(wèn)你的網(wǎng)絡(luò)。 圖 48.5 禁用或修改簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）如果你的無(wú)線接入點(diǎn)支持SNMP，那么你需要禁用SNMP或者修改默認(rèn)的公共和私有的標(biāo)識(shí)符。否則，黑客將可以利用SNMP獲取關(guān)于你網(wǎng)絡(luò)的重要信息。在支持該功能的無(wú)線接入點(diǎn)設(shè)置訪問(wèn)列表。利用MAC地址通過(guò)訪問(wèn)控制列表可以限制非授權(quán)人員對(duì)WLAN的訪問(wèn)，經(jīng)常查看AP日志，及時(shí)發(fā)現(xiàn)攻擊者。對(duì)企業(yè)用

35、戶來(lái)說(shuō)，需要增加防火墻或網(wǎng)絡(luò)隔離等措施或者用SSH、SSL、IPSec等加密技術(shù)來(lái)加強(qiáng)數(shù)據(jù)的安全性。其配置如圖5所示。圖 59 結(jié)論無(wú)線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無(wú)法克服的困難。雖然無(wú)線網(wǎng)絡(luò)有諸多優(yōu)勢(shì)，但與有線網(wǎng)絡(luò)相比，無(wú)線局域網(wǎng)也有很多不足。無(wú)線網(wǎng)絡(luò)速率較慢、價(jià)格較高，因而它主要面向有特定需求的用戶。目前無(wú)線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)， 無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補(bǔ)的關(guān)系，而不是競(jìng)爭(zhēng)，目前還只是有線網(wǎng)絡(luò)的補(bǔ)充，而不是替換。但也應(yīng)該看到，近年來(lái)，無(wú)線局域網(wǎng)產(chǎn)品的價(jià)格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無(wú)線局域網(wǎng)已能夠通過(guò)與廣域網(wǎng)相結(jié)合的形式提供移動(dòng)互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來(lái)，無(wú)線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。參考文獻(xiàn)1 張仕斌.網(wǎng)絡(luò)安全技術(shù)M.北京:清華大學(xué)出版社，2014.2 陳鶴,曹科.無(wú)線局域網(wǎng)技術(shù)研究與安全管理J.現(xiàn)代機(jī)械,2013,(04).3 王茂才等.無(wú)線局域網(wǎng)的安全性研究J.計(jì)算機(jī)應(yīng)用研究,2014(1).4 趙