無(wú)線(xiàn)網(wǎng)絡(luò )安全性設計

1 引言
傳統的有線(xiàn)網(wǎng)絡(luò )受設計或環(huán)境條件的制約，在物理、邏輯等方面普遍存在著(zhù)一系列問(wèn)題，特別是當涉及到網(wǎng)絡(luò )移動(dòng)和重新布局時(shí)，它無(wú)法滿(mǎn)足人們對靈活的組網(wǎng)方式的需要和終端自由聯(lián)網(wǎng)的要求。在這種情況下，傳統的計算機網(wǎng)絡(luò )由有線(xiàn)向無(wú)線(xiàn)、由固定向移動(dòng)的發(fā)展已成為必然，無(wú)線(xiàn)局域網(wǎng)技術(shù)應運而生。作為對有線(xiàn)網(wǎng)絡(luò )的一個(gè)有益的補充，無(wú)線(xiàn)網(wǎng)絡(luò )同樣面臨著(zhù)無(wú)處不在的完全威脅，尤其是當無(wú)線(xiàn)網(wǎng)絡(luò )的安全性設計不夠完善時(shí)，此問(wèn)題更加嚴重。
2 無(wú)線(xiàn)網(wǎng)絡(luò )所面臨的安全威脅
安全威脅是指某個(gè)人、物或事件對某一資源的保密性、完整性、可用性或合法使用所造成的危險。安全威脅可以分為故意的和偶然的，故意的威脅又可以進(jìn)一步分為主動(dòng)的和被動(dòng)的。被動(dòng)威脅包括只對信息進(jìn)行監聽(tīng)，而不對其進(jìn)行修改。主動(dòng)威脅包括對信息進(jìn)行故意的篡改。無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )相比只是在傳輸方式上有所不同，所有常規有線(xiàn)網(wǎng)絡(luò )存在的安全威脅在無(wú)線(xiàn)網(wǎng)絡(luò )中也存在，因此要繼續加強常規的網(wǎng)絡(luò )安全措施，但無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )相比還存在一些特有的安全威脅，因為無(wú)線(xiàn)網(wǎng)絡(luò )是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò )連接及傳輸的開(kāi)放式物理系統?？傮w來(lái)說(shuō)，無(wú)線(xiàn)網(wǎng)絡(luò )所面臨的威脅主要表現下在以下幾個(gè)方面。
（1）信息重放：在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN 等保護措施也難以避免。中間人攻擊則對授權客戶(hù)端和AP 進(jìn)行雙重欺騙，進(jìn)而對信息進(jìn)行竊取和篡改。
（2）W E P 破解：現在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著(zhù)一些非法程序，能夠捕捉位于A(yíng)P 信號覆蓋區域內的數據包，收集到足夠的WEP 弱密鑰加密的包，并進(jìn)行分析以恢復W E P 密鑰。根據監聽(tīng)無(wú)線(xiàn)通信的機器速度、W L A N 內發(fā)射信號的無(wú)線(xiàn)主機數量，最快可以在兩個(gè)小時(shí)內攻破W E P 密鑰。
（3）網(wǎng)絡(luò )竊聽(tīng)：一般說(shuō)來(lái)，大多數網(wǎng)絡(luò )通信都是以明文（非加密）格式出現的，這就會(huì )使處于無(wú)線(xiàn)信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀?。┩ㄐ?。由于入侵者無(wú)需將竊聽(tīng)或分析設備物理地接入被竊聽(tīng)的網(wǎng)絡(luò )，所以，這種威脅已經(jīng)成為無(wú)線(xiàn)局域網(wǎng)面臨的最大問(wèn)題之一。
（4）假冒攻擊：某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )，即所謂的假冒攻擊。這是侵入某個(gè)安全防線(xiàn)的最為通用的方法。在無(wú)線(xiàn)網(wǎng)絡(luò )中，移動(dòng)站與網(wǎng)絡(luò )控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接，移動(dòng)站必須通過(guò)無(wú)線(xiàn)信道傳輸其身份信息，身份信息在無(wú)線(xiàn)信道中傳輸時(shí)可能被竊聽(tīng)，當攻擊者截獲一合法用戶(hù)的身份信息時(shí)，可利用該用戶(hù)的身份侵入網(wǎng)絡(luò )，這就是所謂的身份假冒攻擊。
（5）M A C 地址欺騙：通過(guò)網(wǎng)絡(luò )竊聽(tīng)工具獲取數據，從而進(jìn)一步獲得AP 允許通信的靜態(tài)地址池，這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網(wǎng)絡(luò )。
（6）拒絕服務(wù)：攻擊者可能對A P 進(jìn)行泛洪攻擊，使AP 拒絕服務(wù)，這是一種后果最為嚴重的攻擊方式。此外，對移動(dòng)模式內的某個(gè)節點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數據包轉發(fā)，使其能源耗盡而不能繼續工作，通常也稱(chēng)為能源消耗攻擊。
（7）服務(wù)后抵賴(lài)：服務(wù)后抵賴(lài)是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務(wù)中常見(jiàn)。
3 保證無(wú)線(xiàn)網(wǎng)絡(luò )安全的機制與技術(shù)措施
涉及到無(wú)線(xiàn)網(wǎng)絡(luò )的安全性設計時(shí)，通常應該從以下幾個(gè)安全因素考慮并制定相關(guān)措施。
（1）身份認證：對于無(wú)線(xiàn)網(wǎng)絡(luò )的認證可以是基于設備的，通過(guò)共享的WEP密鑰來(lái)實(shí)現。它也可以是基于用戶(hù)的，使用EAP來(lái)實(shí)現。無(wú)線(xiàn)EAP認證可以通過(guò)多種方式來(lái)實(shí)現，比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無(wú)線(xiàn)網(wǎng)絡(luò )中，設備認證和用戶(hù)認證都應該實(shí)施，以確保最有效的網(wǎng)絡(luò )安全性。用戶(hù)認證信息應該通過(guò)安全隧道傳輸，從而保證用戶(hù)認證信息交換是加密的。因此，對于所有的網(wǎng)絡(luò )環(huán)境，如果設備支持，最好使用EAP-TTLS或PEAP。
（2）訪(fǎng)問(wèn)控制：對于連接到無(wú)線(xiàn)網(wǎng)絡(luò )用戶(hù)的訪(fǎng)問(wèn)控制主要通過(guò)AAA服務(wù)器來(lái)實(shí)現。這種方式可以提供更好的可擴展性，有些訪(fǎng)問(wèn)控制服務(wù)器在802.1x的各安全端口上提供了機器認證，在這種環(huán)境下，只有當用戶(hù)成功通過(guò)802.1x規定端口的識別后才能進(jìn)行端口訪(fǎng)問(wèn)。此外還可以利用SSID和MAC地址過(guò)濾。服務(wù)集標志符（SSID）是目前無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)采用的識別字符串，該標志符一般由設備制造商設定，每種標識符都使用默認短語(yǔ)，如101 即指3COM 設備的標志符。倘若黑客得知了這種口令短語(yǔ)，即使沒(méi)經(jīng)授權，也很容易使用這個(gè)無(wú)線(xiàn)服務(wù)。對于設置的各無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)來(lái)說(shuō)，應該選個(gè)獨一無(wú)二且很難讓人猜中的SSID并且禁止通過(guò)天線(xiàn)向外界廣播這個(gè)標志符。由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有唯一的物理地址，所以用戶(hù)可以設置訪(fǎng)問(wèn)點(diǎn)，維護一組允許的MAC 地址列表，實(shí)現物理地址過(guò)濾。這要求AP 中的MAC 地址列表必須隨時(shí)更新，可擴展性差，無(wú)法實(shí)現機器在不同AP 之間的漫游；而且MAC 地址在理論上可以偽造，因此，這也是較低級的授權認證。但它是阻止非法訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )的一種理想方式，能有效保護網(wǎng)絡(luò )安全。