浅析构建无线网络安全体系

1、浅析构建无线网络平安体系 浅析构建无线网络平安体系 摘 要：随着智能 、平板电脑等无线通信设备的广泛使用，无线网络的推广应用具有重要的意义。但无线网络的平安技术比有些网络更复杂，难度也更大。本文阐述了无线网络的类型、无线网络的搭建方法，探讨了无线网络的平安风险和平安技术措施。 关键词：无线网络；平安技术 广义上的无线网络是相对有线网络而言的，所有利用无线电波作为信息传输媒介所构成的网络都可称之为无线网络。无线网络的种类【1】有：无线广域网、无线城域网、无线局域网、无线个域网、无线体域网。WBAN主要用于医疗监控、娱乐等方面，WPAN典型应用就是蓝牙通信，WLAN用于办公局域网、校园网的无线接入

2、，WMAN主要用于移动数据通信、移动宽带接入等，WWAN通过通信卫星进行数据通信。从WBAN到WWAN覆盖范围由小到大，WBAN最多传输2m，WWAN那么可覆盖全球。狭义的无线网络通常是指WLAN，本文也主要讨论这种无线网络的平安技术。 一、 WLAN无线网络的搭建 1. WLAN的技术标准。目前，WLAN的主要技术标准是IEEE 802.11系列、HomeRF和HiperLAN等几个标准体系。IEEE 802.11是国际电工电子工程学会制定的无线局域网标准，已先后推出了802.11、802.11b、802.11a、802.11g、802.11n等多项标准，其中802.11g的传输速率到达54

3、Mb/s，802.11n又提高到300 Mb/s。HomeRF是美国家用射员会组织提出的WLAN标准。HiperLAN是欧洲推出的无线局域网标准，有HiperLAN/1和HiperLAN/2两种规格。目前，IEEE 802.11系列标准中应用较多的是802.11b/g/n。 2. WLAN的连接方法与拓扑结构。WLAN的连接方法主要有点对点的对等无线网络和集中控制的无线网络两种模式。虽然Ad Hoc非常简单和经济，只需每台无线设备拥有无线网卡，即能组网，但平安性较差，容易受到窃听和攻击。Infrastructure需要通过无线AP或无线路由器进行网络连接，与Ad Hoc相比平安性和扩展能力更强

4、。 采用Infrastructure组网一般需要无线网卡、无线AP或无线路由器，组建大中型网络还需要无线局域网控制器、无线网桥等设备。图1是小型无线网络的拓扑图。通过Modem可接入互联网，路由器将局域网和互联网连接起来，无线AP也称作无线接入点或无线访问节点，其相当于有线网络的交换机，将网络信号转化为无线电讯号发射出去，实现无线网络的覆盖。可以使用WLAN不仅有笔记本电脑、PDA，目前不少智能 也可利用WLAN上网。 图1 小型WLAN局域网拓扑图 二、 WLAN无线网络的平安技术 1. 无线网络的平安风险。无线网络的开放性使组网更方便和灵活，但也更容易受到窃听和主动攻击，因而其平安风险比有

5、线网络更大一些，具体表现在以下几个方面：无线网络容易搜索。由于无线网络的开放性和无边界性，使得任何一个进入网络覆盖范围的人都可以搜索到无线AP，借助移动设备和GPS定位系统不仅能标记该AP的地理位置，在禁用SSID播送的情况下也能获取SSID的信息、速率、默认配置等。窃听难度小。当窃听者接收到网络信号，轻那么对没有设置密码的网络或者平安防护强度较低的网络破解进入后“蹭网未授权使用效劳，重那么窃取用户数据、恶意注入信息等，如进行拒绝效劳攻击。跟踪攻击者难度较大。无线网络的移动性增加了平安管理的难度，由于移动节点没有物理防护结构，在较大范围内对处于移动状态的攻击者进行精确定位是非常困难的；在已被入

6、侵节点进行内部攻击破坏性很大，但更难检测。平安方案实施难度大。由于无线网络拓扑结构是动态变化的，缺乏集中管理机制，平安技术更复杂，因而平安方案实施难度较大。 2. 提高无线网络平安性的技术措施 2.1 采用更可靠的无线加密方式。目前无线网络的加密方式主要有WEP、WPA/WPA2、WAPI等几种。WEP采用由数字、英文字母组成的密钥字符串，长度一般64位、128位或256位。由于网络中所有AP、访问接入设备等都使用相同密钥，而且没有身份验证机制，容易被破解，平安性较低。为了免受攻击，需要频繁更换密钥，故应采用以下平安性更高的加密方式。 WPA/WPA2采用更复杂的加密算法，每次访问与AP建立连

7、接，都会产生新的动态密钥，因而破解WPA需要花费更长的时间要，成功率也低得多。WPA2是WPA的更新版本，采用了AES加密算法。 WAPI是我国以IEEE 802.11协议为根底开发的加密方式，采用国家管理密码机构批准的两种算法，即公开密钥体制的椭圆曲线密码算法以及秘密密钥体制的分组密码算法，是平安认证可靠性很高的一种保密机制。 2.2 重新配置SSID并禁用SSID播送。SSID是无线接入点的效劳集标识，相当于为无线网络所起的名字。如果访问者没有SSID将不能访问网络，但SSID在设备出厂时有默认设置，于是黑客可以利用默认SSID入侵网络，所以首先应更改SSID值，使入侵者难以推测；其次禁止

8、SSID播送，使黑客不知道SSID值。 2.3 建立MAC地址列表。由于网卡地址的唯一性，故可通过设置MAC地址列表提高平安性，操作方法是先启用IP地址过滤功能，使无线AP或无线路由器只允许已设在MAC地址列表中的设备能访问网络。但这种方法是靠手工输入，如果无线接入设备数量很大的话，工作量不小，此时可利用TFTP协议定期自动更新列表。 2.4其他一些平安措施。其他平安措施，如禁用动态主机配置协议和SNMP协议，将IP地址与MAC地址绑定等，都可提高平安性。 三、结语 随着无线设备的广泛使用，无线网络的应用必将越来越广泛，但无线网络的平安风险比有线网络更大，因而无线网络的平安问题需要受到更高程度重视。本文介绍的几种平安技