无线网络的安全问题及预防犯罪策略

唐剑刚

(云南警官学院，云南·昆明 650223)

无线网络的安全问题及预防犯罪策略

唐剑刚

(云南警官学院，云南·昆明 650223)

无线网络WLAN作为有线网络的补充，弥补了有线网络不足。随着无线网络的广泛应用，出现了许多安全问题:网络设备未设防;WLAN覆盖设计不合理;无线网络监听技术的存在;WLAN中合法终端因素等。要预防无线网络导致犯罪，需禁用DHCP服务器;过滤物理地址 (MAC);使用网络通信加密技术;布设防火墙、入侵检测系统;设置高强度的登陆密码;隐藏甚至关闭SSID等。

无线网络;安全问题;预防犯罪;策略

一、网络犯罪概述

计算机网络犯罪是犯罪嫌疑人运用计算机作为主要工具，通过非法入侵网络对用户的信息或系统的安全实施攻击，并破坏或利用网络实施其他犯罪行为，依据现行法律承担刑事责任的犯罪行为。

随着笔记本、智能手机等各种形式的无线终端设备的广泛运用，无线网络 (WLAN)的应用也急剧增长，无线网络作为有线网络的补充，弥补了有线网络在全方位覆盖、不可移动方面的缺点。无线网络带来便捷的同时，安全威胁也在不断升级，引发的相关犯罪案件也频频发生，导致用户信息泄漏、账号密码被盗、私密信息被公开、非法言论无源头等。

二、无线网络存在的安全问题

由于入侵无线网络的方式各异，除了应当对无线网络进行周密防范外，也建议用户经常检测网络可能存在的安全隐患。在司法实践中，无线网络的安全隐患主要有以下几方面。

(一)网络设备未设防

无经验、粗心大意的无线网络管理员在构建WLAN网络过程中，未对设备的基本设置作修改，而是继续沿用设备的出厂默认设置。如果无线路由器、AP未进行配置修改，黑客只要进入到WLAN的覆盖范围，通过尝试设备的默认配置参数就能顺利入侵该网络。另外，目前常用的各种操作系统具有不限连接零配置功能，如Windows、Linux、IOS等，其能够自动搜索周围Wi－Fi信号自动尝试连接的功能，因此，当无线终端只要进入WLAN的覆盖范围，就能自动建立连接，黑客就容易入侵目标网络，获取全面的用户信息。

(二)WLAN覆盖设计不合理

在无线网络设计初期应合理选择无线AP的发射功率和天线增益性能。虽然无线AP、高增益能提高WLAN的覆盖范围，但是如果无线AP的布局、位置设计不合理，就可能导致无线信号超出需求的范围，从而引发信息外泄，给犯罪分子可乘之机。

(三)无线网络监听技术的存在

网络监听技术设计的目的本来是方便网络管理员对数据通信进行监控，并及时发现网络异常和不安全因素，但是，非法入侵者变相将其作为获取信息的手段，黑客通过运行混杂模式 (Promiscuous Mode)网卡实施网络监听活动，并从中截获账号、口令等信息。黑客通过网络监听取得WLAN中合法终端信息，包括MAC地址、DNS、IP信息等，使用这些合法的MAC地址实施APR欺骗攻击，导致合法终端无法正常使用WLAN。

(四)WLAN中合法终端因素

危胁无线网络安全的因素有的是间接导致的，如网络中合法终端异常而引起WLAN网络拥塞甚至瘫痪。其中计算机病毒、木马危害是造成网络不能正常运行的主要隐患，其影响范围也最广;其次是拒绝服务式攻击——攻击者通过各种技术手段使目标服务器所提供的服务被暂停甚至死机。网中有线、无线终端若是感染病毒、木马后，该终端会发送大量的无用数据或广播，占用核心网络带宽造成网络拥塞，具体表现是正常终端无法正常使用WLAN。

(五)早期无线网络标准不完善

无线网络通信标准协议也有一个逐步完善的过程，在早期制定的标准协议机制本身就存在安全缺陷，导致黑客利用这些安全缺陷，采用特殊的技术手段入侵无线网络，进而实施犯罪行为。

WEP(Wired Equivalent Privacy)是无线网络最初的802．11b标准里定义的用于无线局域网的一种安全性协议，所有Wi－Fi认证过的设备需支持该协议。由于WEP采用64位或128位加密密钥的RC4加密算法，WEP的破解为利用加密体制缺陷，通过网络嗅探收集足够的数据包，使用分析密算法还原出密码明文。研究人员和黑客几年前就已找到了破译WEP标准的方法。

WPA(Wi－Fi Protected Access)即无线保护接人的安全机制。WPA标准是代替WEP的无线安全标准协议，多用于高级别的无线网络部署，WPA避免了WEP中存在的24位初始化向量lv(Initialization vector，IV)过短、密钥管理过于简单和对消息完整性没有有效保护等缺陷。它仍然采用比较薄弱的RC4加密算法，所以黑客只要监听到足够的数据包，借助高性能计算设备，即使在TKIP的保护下也能被破解。

WPA的认证机制根据用户网络的需要有两种可选方案，第一种是802．1x+EAP认证体系，合法提供认证需要的凭证，如账户的登陆密码，当经过专用认证服务器的确认后即可接入WLAN，应用在大型企业网络中。第二种是WPA简化认证方式，由于不需要专门的认证服务器，主要应用在中小型企业或者家庭。

WPA2是WPA的第二代标准，Wi－Fi联盟通过对WPA修订，推出基于IEEE 802．11i标准的无线安全解决方案，通过采用符合 (美国)国家标准技术研究所 (NIST)FIPS140－2的AES加密算法和基于802．1x的身份验证。

三、预防无线网络犯罪的策略

预防无线网络犯罪，一方面需要通过制定和完善相关法律法规，依靠法律保障网络安全。不断完善相关的法律法规体系，铸就安全的法律防火墙［1］。同时，利用各种媒体宣传计算机网络方面的法律法规，提高自我防范意识，做到依法依规上网。另一方面，由于无线通信数据传输方式的特殊性决定非法入侵者只要能进入到信号覆盖区域范围、提高嗅探数据包用的网卡灵敏度，就能够监听到有效的通信数据，进而盗窃信息或篡改数据，危害合法用户的安全。要提高无线网络设备的安全性及完善安全策略来防范网络犯罪，需要采用必要的安全策略来保障无线通信数据的安全。

(一)禁用DHCP服务器

由于无线AP会自动分配给合法终端访问网络所需要的相关信息，如IP地址、MAC地址、子网掩码、DNS等，黑客获取到这些信息后，就可以确定其攻击目标，导致无线AP暴露。网络管理员通过对合法终端采取分配静方式，可以避免这种不安全因素的出现。因此，禁用无线接入设备的DHCP服务，可提高WLAN的安全性能，预防网络犯罪行为。

(二)物理地址 (MAC)过滤

MAC是每一个网卡唯一的48位物理地址，是数据包在网络中传输必须的门牌号，通过在无线AP、防火墙中配置合法用户MAC地址过滤表，实现限制非法网卡登陆，但是，这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而网卡的 MAC地址并不难修改［2］。通过设置MAC地址过滤规则能够在一定程度上提高网络的安全性，若黑客通过网络嗅探，也可盗用合法用户的MAC地址来接入WLAN，所以采用MAC地址过滤的方式不是对有效的身份认证机制，需要其他技术手段的结合来保障无线网络的安全。

(三)使用网络通信加密技术

目前大量使用的无线路由器和无线AP，其设置中都具有无线加密方式的选项，若设备配置了无线加密功能后，客户端必须凭正确的密码方可接入 WLAN。WEP、WPA、WPA2和 WPAPSK、WPA2－PSK这几种加密方式在通常的无线设备的加密方式的选项中都有，其中早期的WEP加密方式由于其本身设计存缺陷，造成安全性能差，加密密码或通信数据包十分容易被非法获取，因此建议采用安全级别相对高的其他加密方式保护，如WPA－PSK/WPA2－PSK加密方式就可以极大增强无线网络的安全性，预防网络犯罪行为。

(四)布设防火墙、入侵检测系统

防火墙是一种协助确保信息安全的安全软件，有软件防火墙和硬件防火墙之分，防火墙是按照设定特定的规则，实现允许或限制传输数据通过的功能。入侵检测系统是一种对目标网络传输实施即时监视的系统，当其发现可疑传输时会引发警报或主动采取反应措施的网络安全设备。由于构建WLAN时并没有加入必要的网内安全防护，故用户在使用网络时会非常危险，通过部署防火墙及入侵检测系统，可以保障用户本地数据的安全，达到预防网络入侵导致的犯罪行为。

(五)设置高强度的登陆密码

对应无线网络设备的登陆密码、Wi－Fi密码采用大小写英文字母、数字及其他特殊字符的组合提高密码强度，并定期进行更换，无线路由器、无线AP等网络设备的管理名称、登陆密码也必须修改，不能沿用原来的初始化配置。通过设置高强度的密码，能极大地提高应对黑客采取暴力破解手段的难度，确保网络安全。

(六)隐藏甚至关闭SSID

SSID指的是一个局域网的名称，运用SSID方式可以将一个无线局域网划分成多个需独立身份验证的子网络，只有连接相同SSID的电脑才能互相通信，未被授权的用户是无法接入该子网网络的。早期的无线设备出厂时，同厂家同型号设备的SSID相同的;非法入侵者便可通过尝试各种设备的默认SSID值连接网络，这就有可能试出目标网络的SSID号，进而建立数据通信链路，从而给WLAN中的合法终端造成威胁;为了避免这种情况，现在大部分无线AP、无线路由器采取组合的SSID号，该SSID号由固定厂家的路由器名前缀加上当前设备的MAC值的末6位的十六进制值组合而成的字符串，在一定程度上增强了暴力尝试SSID的情况。由于这些参数事先通过无线AP广播出去的，那么只要禁止了SSID广播功能，漫游用户在不知道无线AP的SSID标识的情况下是无法接入的。只要知道无线网络的SSID，黑客就可以轻松接入目标无线网络，为了保障企业无线网络的安全，在使用AP设备组建无线网络时，需要修改其SSID标识，并建议关闭设备的SSID广播功能，防止犯罪分子通过SSID直接搜索到目标网络。

(七)WPS漏洞的解决方案

从技术上看，目前没有一个根本的应对措施能够封堵WPS漏洞。大多数的无线路由器、AP设备本身不具备限制密码出错次数的功能，这就导致该安全漏洞暴露出来。通常大多数人还没意识到它的严重性，因此建议对仍在使用WPS功能的无线加密的设备，在网络密码还没被攻击破解之前，立即禁用WPS功能，并修改加密密码，使用WPA2等更为安全的加密方式，同时禁用通用即插即用功能来保护无线网络的安全，预防无线网络被入侵导致的网络犯罪行为。

(八)及时更新网络设备软件版本

无线网络设备包含有很多方面的安全防护配置功能，网络管理员可以根据需要进行选配和设置。当前使用的无线设备，是最普通的家庭SOHO级无线宽带路由器，也提具备软件版本升级功能。网络管理员需要定期对无线设备的管理软件进行升级，进一步保障WLAN的安全，不给网络犯罪分子可乘之机。

(九)使用802．11i无线网络标准

为进一步提高无线网络的安全，无线联盟制定了新的安全标准IEEE802．11i，能提供政府级安全保护［3］，从根源上彻底解决了IEEE 802．11协议的安全问题，IEEE802．11i标准协议通过对原有标准进行了身份认证、完整性校验、数据加密、密钥协商等方面的改进，从理论上讲，该协议可以从根本上解决无线网络协议本身的安全问题，彻底解决黑客通过无线网络方式实施的犯罪行为。

(十)将WLAN划分多个VLAN

通过VLAN(Virtual Local Area Network)的划分，将通信流量控制在各个VLAN中，不同VLAN的之间是不能直接通信的，这也可以有效提高网络的安全性。由于LAN是一个广播域，VLAN中只要有一个应用终端发送广播，该广播数据包就会送至交换机的每一个接口，当LAN中终端总量较多时，广播信息所消耗网络带宽是非常巨大的，通过对WLAN进行VLAN的划分，也就避免了这种情况，相应地提高了WLAN带宽的利用率，并且保障了WLAN通信的畅通。

无线网络利用无线通信技术代替有线媒介实现WLAN的构建和数据传输，在经济性、便捷性等方面均凸显优势，无线网络带来便利与丰富体验的同时，引发无线网络犯罪。要保障无线网络的安全，预防网络犯罪的发生，不仅需要通过制定和完善相关法律法规，采用新一代的无线技术标准、多层次的技术手段，从认证、加密、完整性检测等手段，结合入侵检测系统、网络行为管理系统、防火墙等工具来保障无线网络安全;也需要网络管理部门采取各种安全措施，完善的无线网络设置方案，加强网络安全管理，提高用户自身的防范意识，从技术、管理层面防范无线网络犯罪全面预防网络入侵。

［1］王艳．［M］．山西政法管理干部学院学报，2012，(25)3．

［2］赖剑辉．无线网络的构建和安全策略研究 ［J］．中国新通讯，2012，(5)

［3］张丽敏．无线网络安全防范技术研究 ［N］．福建电脑，2009，(5)

(编辑 高 翔)

On Problems of W ireless Local Area Network Security and Crime Prevention Strategies

Tang Jiangang
(Yunnan Police Officer Academy，Kunming，Yunnan 650223)

As a supplementofwired network，Wireless Local Area Network(WLAN)has covered the defect of wired network．Along with the popularization ofWLAN，however，more and more problems concerning security have emerged，for example，network without firewall;unreasonable WLAN coverage design;the existence ofWLANmonitoring;factors of verified ends;and etc．．To prevent crime caused byWLAN，following strategies shall be adopted:disabling the DHCP server;media access control(MAC);using network communication encryption technology;setting firewall and Intrusion Detection System(IDS);setting log－in password of advanced encryption standard;hiding or even terminating SSID;and etc．

Wireless Local Area Network;Security Problem;Crime Prevention;Strategy

D917.6

A

1672—6057(2014)01－110－04

2013－11－05

唐剑刚，男，湖南东安人，云南警官学院信息网络安全学院讲师，研究方向:计算机网络安全。