无线局域网安全问题

4.3　无线局域网安全问题

随着无线局域网应用的日益广泛，其安全问题也越来越受到人们的关注。无线局域网相对于有线局域网而言，其所增加的安全问题主要来源于其采用了公共的电磁波作为载体来传输数据信号，而其他各方面的安全问题两者是相同的。对于有线网络，数据通过电缆传输到特定的目的地，通常在物理链路遭到破坏的情况下，数据才有可能泄露;而无线局域网中，数据是在空中传播，只要在无线接入点(AP)覆盖的范围内，终端都可以接收到无线信号，无线接入点(AP)不能将信号定向到一个特定的接收设备，因此无线局域网的安全问题显得尤为突出。无线局域网的安全问题始终是影响无线网络应用发展的最大问题。

4.3.1　无线局域网安全问题产生的原因

无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用，但由于它传送的数据利用无线电波在空中传播，无线电波能够穿透墙壁和隔板，发射的数据可能到达预期之外的接收设备，使黑客有机会截获电波并进入未受保护的公司局域网。因而WLAN存在着网络信息容易被窃取的问题。

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息，任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。攻击者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。

在有线网络中，您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同，理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密，则完全有可能被窃听、浏览、窃取机密信息。为了使授权电脑可以访问网络而非法用户无法截取网络通信，无线网络安全就显得至关重要。

无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。

无线网络可以通过简单配置就可快速地接入网络主干，这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。一旦攻击者进入无线网络，它将成为进一步入侵内网其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部很可能会有一些系统，没有很好的安全措施。

4.3.2　无线局域网的攻击手段

由于无线网络只是在传输方式和介质上与传统的有线网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的。此外WLAN的流行主要是由于它为使用者带来方便，然而正是这种便利性引出了有线网络中不存在的安全问题。目前无线局域网中存在如下几种攻击:

(1)嗅探

网络嗅探就是从通信中捕获数据，加以分析，获取信息。嗅探可以在不易被察觉的情况下将网络中的数据全部记录下来，从而取得账号口令、机密信息，甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性，运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息，它不会跟其他的主机交换信息，也不修改在网络中传输的信息包，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。尽管它没有对网络进行主动攻击和破坏的危害明显，但由它造成的损失也是不可估量的。

(2)拒绝服务攻击

无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，攻击者不是为了网络中的数据，而是为了使网络瘫痪，从而导致正常的用户无法使用网络，这是一种后果严重的攻击方式。如果攻击者有足够功率的无线电收发器，就能够很容易地产生干扰信号，以至于无线局域网无法使用这个无线电信道。如果信号来源是无目的的，称之为干扰，反之有目的的，称之为攻击。也可以对网内某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常称为能源消耗攻击。

(3)非授权访问

外部人员可以在公司外部或者内部进入网络，通过无线网络绕过公司防火墙，对内部网络进行非授权存取。首先，进入网络，浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击内网其他系统的跳板。第三，入侵者对移动终端发动攻击，浏览窃取移动终端上的信息，或通过被入侵移动设备访问网络。第四，内部员工可以设置无线网卡为P2P模式与外部人员连接，相互勾结，通过无线交换数据。

(4)其他问题

无线局域网中还有一种比较特别的置信攻击，攻击者可以将自己伪造成基站。因为移动设备通常将自己切换到信号最强的网络，如果失败则尝试下一个网络。如果攻击者拥有一个很强的发送设备，就可以让移动设备尝试登录到攻击者的网络，通过分析找出密钥和口令。除此之外，无线局域网也很容易受到一些针对系统缺陷的攻击，例如安全协议的漏洞，软件BUG，配置错误和硬件失败等。

4.3.3　无线局域网的安全技术

尽管无线局域网不是100%安全，面临诸多问题，但是有许多安全技术能够提供保护措施，如信息过滤、数据加密、安全协议以及虚拟专用网(VPN)等，所有这些安全技术都使无线网络使用者能够安心地使用无线网，而不必牺牲安全性。

4.3.3.1　信息过滤技术

常用的过滤机制有两种:MAC地址过滤、SSID过滤。

(1)物理地址(Media Access Controller，MAC)过滤

绑定MAC地址是最常见最简单的方法，每块无线网卡都拥有惟一的一个MAC地址，该物理地址编码方式类似于以太网物理地址，是48位，通过AP设置与网卡MAC地址的绑定来实现加密。可以在AP中手工维护一组允许访问的或不允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必须随时更新，但可扩展性差，无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证，只适用于对信息安全要求不高的家庭用户。

(2)服务集标识符(Service Set ID，SSID)过滤

通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的安全;而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。

4.3.3.2　数据加密

最高级别的安全措施就是在网络上整体使用数据加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。加密又可细分为两种类型:数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的，而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。好的加密算法还应该保证数据完整性和不可否认性。所谓数据完整性，是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。不可否认性是防止发送方或接收方抵赖所传输的消息的一种安全服务。

(1)WEP:IEEE 802.11安全标准

WEP即有线对等保密(Wired Equivalent Privacy)，它本是一种数据加密算法，用于提供等同于有线局域网的保护能力，但它绝不等同于有线网的安全性。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，采用RC4流密码进行加密。这种加密方法是基于这样一个系统的:流经无线网络的数据是用随机生成的密钥加密的。但是，后来的研究表明，RC4密钥算法有内在设计缺陷，WEP用以生成这些密钥的方法很快就被发现并可以预测出来，这使得潜在的入侵者很容易就可截取并破译这些密钥。最典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。

虽然WEP已被证明是陈旧低效的，它仍然受到现代的大量无线访问点和路由器的支持。不仅如此，它还是现在许多个人甚至是许多公司保障其安全的最常用的方法。

(2)WPA:IEEE 802.11i安全标准

对WEP缺陷的直接反应就是Wi-Fi Protected Access(WPA)，即Wi-Fi保护访问。WPA与WEP的基本工作原理是相同的，不过它不存在后者的缺点。WPA能够以两种方式工作。多数家庭和小型办公用户会使用WPA-Personal来实现安全，它仅仅基于单一的加密密钥。在这种设置中，你的访问点和无线客户共享一个密钥，此密钥是由临时密钥完整性协议(Temporal Key Integrity Protocol，TKIP)或高级加密标准(Advanced Encryption Standard，AES)方法加密的。虽然这听起来有点像WEP，不过，WPA中的加密方法是截然不同的，并且更加复杂且难于攻克。WPA实现的另外一种方法是将WPA加密密钥与802.1x验证的使用结合起来。WPA是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和TKIP。

4.3.3.3　IEEE 802.1x安全协议

802.1x认证是采用IEEE 802.1x协议的认证方式的总称。IEEE 802.1x协议是一种基于端口的访问控制协议(Port Based Network Access Control Protocol)，能够实现对局域网设备的安全认证和授权，它创建一个从无线客户端到访问点的虚拟端口，以用于通信。如果通信被认为是未授权的，那么这个端口就不可用并且通信被停止。802.1x协议的基础在于扩展认证协议EAP(Extensible Authentication Protocol)，即IETF提出的PPP协议的扩展，被用于与802.1x一起协作完成用于无线连接的验证方法。这包括要求用户的证据信息(口令或证书)、所使用的协议(WPA、WEP等等)、密钥生成的支持等。EAP消息包含在IEEE 802.1x消息中，被称为EAPOL(EAP over LAN)。IEEE 802.1x协议的体系结构包括三个重要的部分，客户端、认证系统和认证服务器，其设计目的是支持有线和无线网络身份验证的改进方式，虽然其主要运用在无线网络中。它们并不是基于密码技术的，而是作为一种额外的资源来提供附加的安全性。

基于802.1x/EAP的无线安全特别适用于多数公司级的无线网络。一些小型网络可以将802.1x安全与一个标准的加密协议结合起来，一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的验证结合起来。

4.3.3.4　中国无线局域网安全标准:WAPI

WAPI，即无线局域网鉴别和保密基础结构(WLAN Authentication and Privacy Infrastructure)是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护，旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN(Public Wireless Local Area Network)运营。

4.3.3.5　虚拟专用网络

VPN(Virtual Private Network)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义。但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。VPN是目前市场上最安全的解决方案，能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息。这种技术已经获得了广泛的使用，其安全性可以方便地转换到无线网络中。

在一个WLAN客户端使用一个VPN隧道时，数据通信保持加密状态直到它到达VPN网关，此网关位于无线访问点之后。这样一来，入侵者就被阻止，使其无法截获未加密的网络通信。因为VPN对从PC到位于公司网络核心的VPN网关之间的整个链接加密，所以PC和访问点(AP)之间的无线网络部分也被加密。VPN连接可以借助于多种凭证进行管理，包括口令、证书、智能卡等。可以看出，这是保证企业级无线网络安全的又一个重要方法。

企业还可以部署VPN来支持鉴权和加密要求。通常的做法是将无线局域网设置成单独的局域网部分，并通过VPN网关将该部分连接到公司局域网上。利用VPN，所有无线用户在得到许可访问公司局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此黑客将无法破解这些数据包的内容。这些安全措施需要额外的程序(如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序)。

4.3.3.6　加强安全管理制度

目前很大一部分安全问题，来源于人们对网络安全问题的认识不足。通常人们将网络系统作为一个纯粹的技术或工程来实施，缺乏统一的安全管理策略和专门的网络安全管理人员。很少有人去研究网络安全状态，考虑实际存在的风险和低效率。因此，加强安全管理制度，也是提高无线局域网安全性的一个重要的措施。为此，应当不断提高网络安全管理技术水平，加强对安全技术的学习，包括密码保管、密码设置、信息保密的必备知识以及防止人为破坏系统和篡改数据的有关技术。提高上网者自身的思想觉悟，做好网络安全教育工作。同时建立健全网络安全相关的法律条文、企业安全管理体系，引进网络管理系统，密切关注网络安全的态势与技术发展，做好信息系统的运行维护与安全防护工作等等。