無(wú)線(xiàn)局域網(wǎng)中的安全措施

WLAN是Wireless LAN的簡(jiǎn)稱(chēng)，即無(wú)線(xiàn)局域網(wǎng)。所謂無(wú)線(xiàn)網(wǎng)絡(luò )，顧名思義就是利用無(wú)線(xiàn)電波作為傳輸媒介而構成的信息網(wǎng)絡(luò )，由于WLAN產(chǎn)品不需要鋪設通信電纜，可以靈活機動(dòng)地應付各種網(wǎng)絡(luò )環(huán)境的設置變化。

1、 引言

WLAN是Wireless LAN的簡(jiǎn)稱(chēng)，即無(wú)線(xiàn)局域網(wǎng)。所謂無(wú)線(xiàn)網(wǎng)絡(luò )，顧名思義就是利用無(wú)線(xiàn)電波作為傳輸媒介而構成的信息網(wǎng)絡(luò )，由于WLAN產(chǎn)品不需要鋪設通信電纜，可以靈活機動(dòng)地應付各種網(wǎng)絡(luò )環(huán)境的設置變化。

WIAN技術(shù)為用戶(hù)提供更好的移動(dòng)性、靈活性和擴展性，在難以重新布線(xiàn)的區域提供快速而經(jīng)濟有效的局域網(wǎng)接入，無(wú)線(xiàn)網(wǎng)橋可用于為遠程站點(diǎn)和用戶(hù)提供局域網(wǎng)接入。但是，當用戶(hù)對WLAN的期望日益升高時(shí)，其安全問(wèn)題隨著(zhù)應用的深入表露無(wú)遺，并成為制約WLAN發(fā)展的主要瓶頸。

2、 威脅無(wú)線(xiàn)局域網(wǎng)的因素

首先應該被考慮的問(wèn)題是，由于WLAN是以無(wú)線(xiàn)電波作為上網(wǎng)的傳輸媒介，因此無(wú)線(xiàn)網(wǎng)絡(luò )存在著(zhù)難以限制網(wǎng)絡(luò )資源的物理訪(fǎng)問(wèn)，無(wú)線(xiàn)網(wǎng)絡(luò )信號可以傳播到預期的方位以外的地域，具體情況要根據建筑材料和環(huán)境而定，這樣就使得在網(wǎng)絡(luò )覆蓋范圍內都成為了WLAN的接入點(diǎn)，給入侵者有機可乘，可以在預期范圍以外的地方訪(fǎng)問(wèn)WLAN，竊聽(tīng)網(wǎng)絡(luò )中的數據，有機會(huì )入侵WLAN應用各種攻擊手段對無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)行攻擊，當然是在入侵者擁有了網(wǎng)絡(luò )訪(fǎng)問(wèn)權以后。

其次，由于WLAN還是符合所有網(wǎng)絡(luò )協(xié)議的計算機網(wǎng)絡(luò )，所以計算機病毒一類(lèi)的網(wǎng)絡(luò )威脅因素同樣也威脅著(zhù)所有WLAN內的計算機，甚至會(huì )產(chǎn)生比普通網(wǎng)絡(luò )更加嚴重的后果。

因此，WLAN中存在的安全威脅因素主要是：竊聽(tīng)、截取或者修改傳輸數據、置信攻擊、拒絕服務(wù)等等。

IEEE 802.1x認證協(xié)議發(fā)明者VipinJain接受媒體采訪(fǎng)時(shí)表示：“談到無(wú)線(xiàn)網(wǎng)絡(luò )，企業(yè)的IT經(jīng)理人最擔心兩件事：首先，市面上的標準與安全解決方案太多，使得用戶(hù)無(wú)所適從;第二，如何避免網(wǎng)絡(luò )遭到入侵或攻擊?無(wú)線(xiàn)媒體是一個(gè)共享的媒介，不會(huì )受限于建筑物實(shí)體界線(xiàn)，因此有人要入侵網(wǎng)絡(luò )可以說(shuō)十分容易。”因此WLAN的安全措施還是任重而道遠。

3、無(wú)線(xiàn)局域網(wǎng)的安全措施

3.1采用無(wú)線(xiàn)加密協(xié)議防止未授權用戶(hù)

保護無(wú)線(xiàn)網(wǎng)絡(luò )安全的最基本手段是加密，通過(guò)簡(jiǎn)單的設置AP和無(wú)線(xiàn)網(wǎng)卡等設備，就可以啟用WEP加密。無(wú)線(xiàn)加密協(xié)議(WEP)是對無(wú)線(xiàn)網(wǎng)絡(luò )上的流量進(jìn)行加密的一種標準方法。許多無(wú)線(xiàn)設備商為了方便安裝產(chǎn)品，交付設備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能利用無(wú)線(xiàn)嗅探器直接讀取數據。建議經(jīng)常對WEP密鑰進(jìn)行更換，有條件的情況下啟用獨立的認證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問(wèn)題就是用于標識每個(gè)無(wú)線(xiàn)網(wǎng)絡(luò )的服務(wù)者身份(SSID)，在部署無(wú)線(xiàn)網(wǎng)絡(luò )的時(shí)候一定要將出廠(chǎng)時(shí)的缺省SSID更換為自定義的SSID?，F在的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，否則應該禁用SSID廣播，這樣可以減少無(wú)線(xiàn)網(wǎng)絡(luò )被發(fā)現的可能。

但是目前IEEE 802.11標準中的WEP安全解決方案，在15分鐘內就可被攻破，已被廣泛證實(shí)不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相當困難的，同時(shí)也要定期的更改WEP，保證無(wú)線(xiàn)局域網(wǎng)的安全。如果設備提供了動(dòng)態(tài)WEP功能，最好應用動(dòng)態(tài)WEP，值得我們慶幸的，Windows XP本身就提供了這種支持，您可以選中WEP選項“自動(dòng)為我提供這個(gè)密鑰”。同時(shí)，應該使用IPSec，VPN，SSH或其他WEP的替代方法。不要僅使用WEP來(lái)保護數據。

3.2 改變服務(wù)集標識符并且禁止SSID廣播

SSID是無(wú)線(xiàn)接人的身份標識符，用戶(hù)用它來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標識符是由通信設備制造商設置的，并且每個(gè)廠(chǎng)商都用自己的缺省值。例如，3COM 的設備都用“101”。因此，知道這些標識符的黑客可以很容易不經(jīng)過(guò)授權就享受你的無(wú)線(xiàn)服務(wù)。你需要給你的每個(gè)無(wú)線(xiàn)接入點(diǎn)設置一個(gè)唯一并且難以推測的SSID。如果可能的話(huà)。還應該禁止你的SSID向外廣播。這樣，你的無(wú)線(xiàn)網(wǎng)絡(luò )就不能夠通過(guò)廣播的方式來(lái)吸納更多用戶(hù).當然這并不是說(shuō)你的網(wǎng)絡(luò )不可用.只是它不會(huì )出現在可使用網(wǎng)絡(luò )的名單中。

3.3 靜態(tài)IP與MAC地址綁定

無(wú)線(xiàn)路由器或AP在分配IP地址時(shí)，通常是默認使用DHCP即動(dòng)態(tài)IP地址分配，這對無(wú)線(xiàn)網(wǎng)絡(luò )來(lái)說(shuō)是有安全隱患的，“不法”分子只要找到了無(wú)線(xiàn)網(wǎng)絡(luò )，很容易就可以通過(guò)DHCP而得到一個(gè)合法的IP地址，由此就進(jìn)入了局域網(wǎng)絡(luò )中。因此，建議關(guān)閉DHCP服務(wù)，為家里的每臺電腦分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定，這樣就能大大提升網(wǎng)絡(luò )的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關(guān)卡。設置方法如下：

首先，在無(wú)線(xiàn)路由器或AP的設置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能，把各電腦的“名稱(chēng)”(即Windows系統屬陸里的“計算機描述”)，以后要固定使用的IP地址，其網(wǎng)卡的MAC地址都如實(shí)填寫(xiě)好，最后點(diǎn)“執行”就可以了。