无线网络安全浅析

钟文基　董英

摘要：随着移动互联技术的兴起，无线网络以其灵活性强、可扩展性好等优势得到了快速的发展。但由于无线网络选择了通过特定的无线电波来传送，开放性强，使其比有线网络更容易入侵。该文围绕无线网络面临的安全问题和防护措施进行了简单探讨。

关键词：无线网络；威胁；防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）14-0052-01

无线网络技术是新时代计算机通讯技术发展的趋势，摆脱了传统有线网络传输的束缚，极大的方便了人们的生活。无线局域网的覆盖范围从几米到几百米，在这样的范围内，无线终端可以自由移动，非常适合于移动性低的应用环境，并且无线局域网成本低速度快，迅速的成为了无线移动互联技术的主流。然而，由于无线局域网开放性强，数据传播范围很难控制，存在着很多安全隐患，无形中威胁着使用者的财产安全，需要管理者加以重视。

1无线网络潜在的安全问题

在计算机网络中，无线网络的传输采用空间电磁波实现了数据的通信，传输的载体不再是网线和光纤，而是电磁波信号，电磁波穿透能力很强，能穿过墙体、玻璃、楼板等物体，使得无线用户终端在较远距离也能接受到无线信号，实现移动通信。当然，也带来了安全的隐患，黑客能借助无线网络接收到通信的数据信号，容易对数据进行干扰或窃听，给网络安全带来隐患和威胁。

无线局域网所面临的安全威胁主要有：

1）无线网络密码破解

互联网中，有很多无线网络密码破解软件，通过抓取用户的无线区域内的数据包，就可以进行密码的破解。例如：BT3里自带的spoonwep2可以轻松地对WEP加密的无线路由密码进行破解。对于WPA2方式进行加密的无线网络，只要抓取到足够的“握手包”和“信息包”，也可以通过Linux下安装无线密码破解软件minidwep-gtk，利用词典的方式进行猜解。

2）数据嗅探

网络中明文传送的数据，都有可能被黑客进行嗅探，并还原出通信内容。在无线网络中，无线路由器、无线接人点信号覆盖范围内，传输的数据有可能被黑客监听和篡改，数据安全很难保障。

3）网卡物理地址欺骗

对于设置了网卡物理地址过滤的无线路由器，黑客通过修改计算机无线网卡的物理地址，伪装成合法用户进入网络。

4）无线网络钓鱼攻击

无线网络钓鱼是有线钓鱼的延伸，通过伪造用户经常访问的网站，截取DNS请求使其访问虚假网站，获取用户各种上网信息与数据。

2无线安全防护方法

1）隐藏无线SSID。SSID是无线网络的标识，通过隐藏设备的SSID，这样能够减少无线网络被发现的可能性，增加探测难度。

21使用WPA/WPA2方式进行加密并设置复杂的密码，传统的WEP加密方式容易被攻击者通过监听一次成功的认证，就可以猜解出WEP的密钥，非常的不安全。WPA/WPA2使用的是强壮的加密算法，使得无线局域网的安全程度大大提高。

3）设置复杂的密码并定期更换密码，设置字母、数字、符号的复杂密码，增加破解的难度，且密码需要定期更好，因为随着时间的发展，一个从不更换密钥的无线网络安全性会大打折扣，定期更换无线的秘钥可以提高安全性。

4）设置网卡MAC地址过滤，由于每个网卡物理地址（MAC）都是不相同且全球唯一，通过把受信任的主机网卡物理地址添加进来，只有得到授权的计算机才能访问无线网络。网卡物理地址过滤简化了访问控制，接受或拒绝预先设定的用户，被过滤了的计算机物理地址不能进行访问，提供了2层的防护功能。

5）采用Hotspot或Public WLAN，通过采用Web认证和AP无线客户二层隔离的安全措施，一定程度上加强了安全防护。

3不同类型用戶的无线安全方案

不同类型的用户，网络功能特点不同，对无线安全的要求不尽相同，防护的技术手段也不一致。本文针对不同类型的用户，简单进行介绍：

1）SOHO、个人和家庭用户

SOHO、个人和家庭用户，无线终端少，访问量不大，可采用WPA-PSK/WPA2-PSK方式进行密码加密、网卡物理地址过滤，隐藏无线SSID等方法进行简单防护。

2）企业用户

企业用户处理采用包括网卡物理地址过滤，隐藏无线SSID，采用WPA/WPA2方式进行加密，MAC地址过滤，VPN协议等，也可以采用网页热点认证和无线客户二层隔离的安全措施。在企业的办公区域，有着各个部门，如研发部、工程部、市场部、财务部等等。这是支撑整个企业业务发展的重要部门，但是各个部门间的工作不一样，各部门都有各自的保密文档，所以在无线网络上需要设定不同的SSID来划分不同的VLAN，使得各个部门都再同一个VLAN下工作，又不影响登陆外网的需求。

3）政府机关

政府机关单位不仅需要处理大量的办公信息，同时还提供日常公众服务，作为国家职能机构，对于信息安全还有较高的要求。故此，进行政府机关单位无线网络规划的时候，不仅要考虑满足内部办公、公众开放，还需要考虑权限管控、安全策略等更深层次的问题。保证办公带宽，内外网隔离，有效的权限管控，健全的安全防护体系，管理、维护简便。可以灵活为办公人员、访客来宾及公众市民等设置不同的接入认证方式，以满足不同身份群组、使用人群的需求。如针对内部办公人员可使用802.1X、CA证书认证等高级认证方式，正对来访及公众可采用短信认证、微信认证等，且通过进行账号与MAC地址绑定，支持用户分组、办公网和访客网隔离，保障内网信息安全。对用户的上网行为进行管控和审计，遏制非法访问，记录上网行为。

总的来说，无线网络安全的防护并不是绝对可靠的，需要根据不同用户的特点，选择适合的安全防范手段，通过制度的保障和技术上的不断加强才能构建安全的无线网络环境。