基于无线局域网的安全防护的研究

万宁坤 王媛 穆文联

（邯郸供电公司，河北 邯郸 056000）

1 概述

1.1 课题背景

网络是信息化的基础，网络设施的完善和网络技术的进步，对信息网络化起到积极的推动作用。进入20世纪90年代以来，随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端的广泛应用，使得人们对网络通信的需求也随之不断提高，希望打破不同的地域或客观条件的制约，使任何人在任何时间、任何地点均能够实现数据通信的目标。

无线局域网（Wireless Local Area Networks；WLAN）是20世纪90年代计算机网络与无线通信技术相结合的产物。以无线媒体或介质，利用射频的技术，取代旧式的双绞铜线所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到“信息随身化、便利走天下”的理想境界。WLAN已在教育、医院、金融行业、旅游酒店行业等各方面有了广泛应用，具有安装便捷、使用灵活、经济节约、扩展容易等显着特点。

1.2 无线局域网的发展趋势

从2001年开始，无线局域网完成了从室外到室内的大飞跃。大企业无线应用的普及与无线网进入家庭，同时热点地区宽带无线接入成为电信运营商看好的市场。2001年至今，用户已经对无线局域网有了一个很好的认知，供货商也在不断增加，技术的普及使得各网络厂商均有生产无线局域网产品的实力。

无线局域网的国家标准是从符合我国国情的角度出发，全面考虑了市场现状和产业未来发展的前景。我国出台了自己的无线局域网安全标准，势必将对无线局域网技术在我国的应用起到推动作用，一旦成为国际标准更将具有划时代的意义。

2 无线局域网安全分析与防范对策

2.1 安全隐患分析

导致网络设计和建设时埋下的安全隐患主要有以下几个方面：

①弱密码问题：弱密码，即非常容易猜测到的密码。黑客可以通过猜测、使用弱密码字典进行暴力破解等方式破解出密码。

②非法AP问题：无线局域网易于访问和配置简单的特性，使得任何人不经过授权而连入网络。一是企事业单位的工作人员为了工作上的便利，私自搭建无线局域网。二是黑客获取用户的信息，采用各种手段瘫痪、摧毁用户接入的无线局域网，伪造一个类似的无线局域网，以引入诈骗用户接入，间接截获传输的信息。

③容易入侵问题：无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。

④MAC地址访问问题：MAC地址很容易的就会被非法用户探查到，一旦激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，非法用户可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。

⑤数据传输问题：一是静态WEP密钥的安全缺陷，二是访问控制机制的安全缺陷。

2.2 全防护措施

对WLAN存在的安全性隐患，研究相应的改进措施，对 WLAN技术的使用、研究和发展都有着深远的影响。

①升级Wi-Fi加密

Aruba Network公司战略营销主管Michael Tennefoss说：“Wi-Fi将会使用基于身份的安全，在Wi-Fi网络中，安全策略与用户关联，而不是与端口关联的，这样的好处是用户可以在家，办公场所，酒店，分支机构和公共场所移动，安全性不会受到影响”。我们应选择更加先进的WPA2加密技术。

②修改SSID

通常每个无线网络都有一个服务区标识符（SSID），无线客户端加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，任何无线客户端都可以进入该网络，这就方便了黑客入侵网络。通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。

③隐藏SSID

SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。无线路由器一般都会提供“允许SSID广播”功能，如果不想让自己的无线网络被别人通过SSID名称搜索到，出于安全考虑最好“禁止SSID广播”，你的无线网络仍可使用，只是不会出现在其他人所搜索到的可用网络列表中。

④MAC地址过滤

无线MAC地址过滤功能是通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址，因此可以通过手工的方式在AP中设置一组允许访问的MAC地址列表，实现物理地址过滤。

⑤VPN技术

VPN（Virtual Private Network，虚拟专用网络）是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，是在现有的网络上组建的虚拟的、加密的网络。VPN技术通过三级安全保障：用户认证、加密和数据认证来实现无线网络的安全性保证[9]。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号，没有充足的时间和精力也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性，保证所有业务流都是来自已经得到认证的设备。

⑥防止非法AP接入

无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度，任何人都可以通过自己购买的AP,不经过授权而连入网络，因此给无线局域网带来很大的安全隐患。（1）通过入侵检测系统防止非法AP接入，可以分为查找非法AP和消除非法AP。（2）通过检测设备防止非法AP的接入。

⑦布置防火墙

防火墙的布置在局域网和外网的交界处，用来阻止来自外部网络的入侵，用于保障内部网络安全。仅仅依靠单一层次安全措施并不足以抗拒所有的安全风险，增加安全策略将有效的防止间谍软件和恶意软件的侵袭。两个重要的安全层次就是路由器防火墙和PC防火墙。保证激活内置防火墙，与内置的禁止匿名访问网络机制使用效果很好。这一步将会帮助你在网络上隐身，这样就会保护你的网络。

结语

现如今，无线网络技术的快速发展，使得无线网络必定会成为将来网络发展的一大趋势，正因如此，无线网络面临着更大的安全威胁。在无线局域网的未来发展中，安全问题仍将是一个最重要、迫切需要解决的问题，但这并不能限制无线局域网的迅猛发展，未来的无线网络安全将面临着更大的挑战和机遇。尽管现在用于网络安全的产品有很多，但是仍然有很多黑客的非法入侵。我们要根据不同的安全需要，对无线网络的特性和结构进行透彻的分析，在不同的层面采取恰当的措施，将黑客入侵的可能降至最小，从而保护无线网络信息安全。随着技术的成熟和无线网络应用商业化进程的加快，研究者需对无线局域网安全投入更多的关注，并加强管理，为用户提供速率更快、安全性更高的无线局域网技术标准。在不久的将来，我们相信无线设备将更加安全，加密技术会更加强大，我们会建立更加完善的网络环境。

[1]Alexander,Bruce E.802.11 wireless network site surveying and installation,Bruce E. Alexander.[M]Indianapolis,Ind.Cisco Press,c2005.

[2]Mauler，Thomas.A field guide to wireless LANs：for administrators and powerUs ers/Thomas Mauler.[M]，Upper Saddle Rive r，NJ：Prentice Hall.2004.

[3][美]JimGeier著，王群等译.无线局域网[M].人民邮电出版社，2008：48-186.

[4]王茂才.无线局域网的安全性研究[J].计算机应用研究，2007（01）：31-32.

[5]马晓艳，韩忠东，马华，孙静.无线局域网安全检测系统研究[J].中国科技信息，2008（01）.