1、無線局域網絡通信安全問題和策略探討1 簡介無線局域網具有組網靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進行傳播，因此傳播方式的開放性特性給無線局域網的安全設計和實現帶來了很大的問題。目前無線局域網的主流標準為IEEE802.11，但其存在設計缺陷，缺少密鑰管理，存在很多安全漏洞。2 無線局域網的結構2.1 網橋連接型不同的局域網之間互聯時，由于物理上的原因，若采取有線方式不方便，則可利用無線網橋的方式實現二者的點對點連接，無線網橋不僅提供二者之間的物理與數據鏈路層的連接，還為兩個網的用戶提供較高層的路由與協議轉換。2.2 基站接入型當采用移動蜂窩通信網接入方式組建無線局域網時，各

2、站點之間的通信是通過基站接入、數據交換方式來實現互聯的。各移動站不僅可以通過交換中心自行組網，還可以通過廣域網與遠地站點組建自己的工作網絡。2.3 HUB接入型利用無線Hub可以組建星型結構的無線局域網，具有與有線Hub組網方式相類似的優點。在該結構基礎上的WLAN，可采用類似于交換型以太網的工作方式，要求Hub具有簡單的網內交換功能。2.4 無中心結構要求網中任意兩個站點均可直接通信。此結構的無線局域網一般使用公用廣播信道，MAC層采用CSMA類型的多址接入協議。無線局域網可以在普通局域網基礎上通過無線Hub、無線接入站（AP）、無線網橋、無線Modem及無線網卡等來實現，其中以無線網卡最為

3、普遍，使用最多。3 無線局域網的安全現狀及安全性缺陷3.1 靜態密鑰的缺陷靜態分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網絡。除非用戶及時告知管理員，否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新發布新的密鑰可以避免此問題，但當用戶少時，管理員可以定期更新這個靜態配置的密鑰，而且工作量也不大。但是在用戶數量可觀時，即便可以通過某些方法對所有AP（接入點）上的密鑰一起更新以減輕管理員的配置任務，管理員及時更新這些密鑰的工作量也是難以想像的。3.2 訪問控制機制的安全缺陷3.2.1 封閉網絡訪問控制機制幾個管理消息中都

4、包括網絡名稱或SSID，并且這些消息被接入點和用戶在網絡中廣播，并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網絡名稱，獲得共享密鑰，從而連接到受保護;的網絡上。3.2.2 以太網MAC地址訪問控制表MAC地址很容易的就會被攻擊者嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數的無線網卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網卡中，從而偽裝一個有效地址，越過訪問控制。4 無線局域網安全保障策略4.1 SSID訪問控制通過對多個無線接人點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許

5、不同群組的用戶接人，并對資源訪問的權限進行區別限制。4.2 MAC地址過濾每個無線客戶端網卡都有唯一的一個物理地址，因此可以通過手工的方式在在AP中設置一組允許訪問的MAC地址列表，實現物理地址過濾。4.3 使用移動管理器使用移動管理器可以用來增強無線局域網的安全性能，實現接入點的安全特性。移動管理器可以提高無線網絡的清晰度，當網絡出現問題時，它能產生告警信號通知網絡管理員，使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險，網絡管理員設置一個網絡行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置，可以防止入侵者通過改變接入點配置而連接到

6、網絡上。4.4 運用VPN技術VPN技術的運用可以為無線網絡的安全性能提供保障。VPN技術通過三級安全保障：用戶認證、加密和數據認證來實現無線網絡的安全性保證。用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。數據認證確保在無線網絡上傳輸的數據的完整性，保證所有業務流都是來自已經得到認證的設備。4.5 采用802.1x 基于端口的認證協議802.1x為接入控制搭建了一個新的框架，使得系統可以根據用戶的認證結果決定是否開放服務端口。基于802.1x認證體系結構，其認證機制是由用戶端設備、接入設備

7、、后臺RADIUS認證服務器三方完成。接入設備用來傳送用戶與后臺RADIUS服務器之間的會話數據包。這種認證機制的好處是方便了管理，可以更容易地與現有的資源融合，802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，更適合公共無線接入解決方案。在采用802.1x的WLAN中，無線用戶端安裝802.1x客戶端軟件，無線AP內嵌802.1x認證代理，同時它還作為RADIUS服務器的客戶端，負責用戶與RADIUS服務器之間認證信息的轉發。當無線客戶端登錄到無線訪問AP點后，是否可使用AP的服務取決于802.1x的認證結果。如果認證通過，則AP為客戶端打開這個邏輯端口，否則不允許用戶上網。5 結論無線網絡的出現就是為了解決有線網絡無法克服的困難。雖然無線網絡有諸多優勢，但與有線網絡相比，無線局域網也有很多不足。無線網絡速率較慢、價格較高，因而它主要面向有特定需求的用戶。目前無線局域網還不能完全脫離有線網絡，無線網絡與有線網絡是互補的關系，而不是競爭，目前還只是有線網絡的補充，而不是替換。但也應該看到，近年來，無線局域網產品的價格正逐漸下降，相應軟件也逐漸成熟。此外，無線局域網已能夠通過與廣域網相結合的形式提供移動互聯網的多媒體業務。相信在未來，無線局域網將以它的高速傳輸能力和靈活性發揮更加重要的作用。參考文獻【1】張仕斌.網絡安全技術.