三、无线局域网的安全

        1、无线局域网安全状况

　　由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外，无线就意味着会让人接触到数据。与此同时，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。

　　因此，虽然无线网络和无线局域网的应用扩展了网络用户的自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能漫游服务。然而，这种自由也同时带来了新的挑战，这些挑战其中就包括安全性。而安全性又包括两个方面，一是访问控制，另一个就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。由上述可见，真正需要重视的是数据保密性，但访问控制也不可忽视，如果没有在安全性方面进行精心的建设，布署无线局域网将会给黑客和网络犯罪开启方便之门。 无线局域网必须考虑的安全威胁有以下几种：

        ●所有常规有线网络存在的安全威胁和隐患都存在；

        ●外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；

        ●无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；

        ●无线网络易被拒绝服务攻击（DOS）和干扰；

        ●内部员工可以设置无线网卡为P2P模式与外部员工连接；

        ●无线网络的安全产品相对较少,技术相对比较新。

        下面将针对上面内容进行分析：

        1）常规安全威胁分析

　　由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。

        2）非授权访问威胁分析

　　无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络，第四，入侵者和公司员工勾结，通过无线交换数据。

        2、无线局域网安全存在的主要问题及安全技术

        事实上，无线网络受大量安全风险和安全问题的困扰，其中主要包括：

 1）来自网络用户的进攻。

 2）未认证的用户获得存取权。

 3）来自公司的窃听泄密等。

        针对以上威胁问题，常规的无线网络安全技术有以下几种：

        ●服务集标识符（SSID，Service Set ID）

　　通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的安全；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。

        ●物理地址（MAC，Media Access Controller）过滤

　　由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。

        ●连线对等保密（WEP，Wired Equivalent Protection）

　　在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。

        ●虚拟专用网络（VPN，Virtual Private Network）

　　VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义；但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。

        ●端口访问控制技术（802.1x）

　　该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于无线接入解决方案。

        3、无线网络安全对策

        针对以上无线网络安全性应采用如下对策：

        ●扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据；

        ●采取网络隔离及网络认证措施；

        ●设置严密的用户口令及认证措施，防止非法用户入侵；

        ●设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；

        ●解决来自公司内部员工的泄密破坏。

        1）扩展频谱技术

　　扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种，最常用的两种是直接序列和跳频序列。

        2）用户认证—口令控制

　　我们推荐在无线网的站点上使用口令控制—-当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。

        3）数据加密

　　假如单位的数据要求极高的安全性，譬如说是商用网或军用网上的数据，那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。如果需要全面的安全保障，加密是最好的方法，一些网络操作系统具有加密能力，基于每个用户或服务器、价位较低的第三方加密产品也可以胜任，并可为用户提供最好的性能、质量服务和技术支持。

        4）加强企业内部管理制度

　　对于内部员工主动泄密的情况，没有十分好的安全策略，只能通过管理制度进行限制。采用的安全方法如下：

        ●采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问。

        ●对于密度等级高的网络采用VPN进行连接。

        ●布置AP的时候要在公司办公区域以外进行检查，通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。

        ●禁止员工私自安装AP，通过笔记本配置无线网卡和无线扫描软件可以进行扫描。

        ●制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Ad hoc网络结构

        ●跟踪无线网络技术，特别是安全技术（如802.11i规范了TKIP和AES），对网络管理人员进行知识培训。

        本文所用的有关术语说明如下：

        AP（Access Point）无线访问接入，类似于有线网络集线器的设备。

        P2P（peer-to-peer）对等联网

        802.11i规范了TKIP和AES技术说明：

        TKIP（Temporal Key Integrity Protocol） 临时密钥完整性协议，

        AES（Advanced Encryption Standard） 高级加密标准。