摘 要
知识经济时代,人们对信息数据传输的便捷性、实效性要求越来越高。随着计算机网络的发展,无线局域网以其方便快捷、灵活廉价等特性,被广泛应用于各个领域,加速了社会信息化发展。但是,无线局域网由于传输介质高度的开放性,较之有线网络应用环境更加复杂,面临着严重的安全威胁。现阶段,关于无线局域网安全方面的研究备受关注。本文在对无线局域网安全技术相关作出简介的基础上,探析了无线局域网面临的安全威胁因素,并就提高无线局域网安全性能的策略进行了研究。
【关键词】无线局域网 安全威胁 安全技术 安全策略
无线局域网作为一种无线接入技术,通过无线信号进行近距离通信,实现了人们的移动通信梦想,是现代信息化社会的重要标识。在这个信息主流的时代,无线宽带犹如异军突起,一经投入市场立即引起了广大用户的强烈反响,并逐渐成为现代生活中不可或缺的一部分。但是,随之而来的无线局域网安全问题时刻困扰着广大用户,严重影响了他们的网络服务体验,已然发展成时代性课题。
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物,满足了人们愈加复杂化和多样化的通信需求,与有线网络相搭配,为用户提供了更加便捷的信息服务体验。在这样的环境下,无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下,随着电子政务及电子商务的快速发展,越来越多的人选择网络传输和处理数据信息。在此过程中,无线局域网安全问题不断暴露出来,安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是,安全性能亦是广大用户对无线局域网效果的最高追求,而且缘于其本身特性,它还面临着更大、更多的安全风险。例如,有线网络的线缆作为一种物理防御屏障,当攻击者无法连接网络线路时,则切断了其窃取网络信息的路径。然而,无线局域网则有所不同,它是通过无线电波实现信息传播的,任何人都可能成为攻击者。除此之外,一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱,容易造成数据传输中断或丢失,因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中,人们为了追求信息数据传输便利,对无线局域网的依赖性越来越高,同时也面临着严重的安全威胁。因此,无线局域网安全技术发展备受社会各界关注,同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中,合法用户可以通过无线连接的方式共享计算机资源信息。因此,如何确认合法用户身份,是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统,可支持对用户开放式以及共享密钥的认证服务。其中,开放式认证技术只要求用户提供正确的SSID,但是根据系统默认值设置,该SSID会在AP信标力广播,即使面临关闭的情况,黑客或入侵者依然可以探测到SSID的相关信息,从而危险无线局网安全。相比于前者,共享密钥认证技术的应用较为安全,用户需要正确使用AP发送的challenge包,并返回给AP,进而进入无线局域网络,但这种虽然操作较为复杂,但依然存在黑客攻击的危险。在此基础上,EAP认证技术在一定程度上弥补了上述认证技术的不足,并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求,在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理,无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的,静态WEP密钥是所有的设备拥有一样的WEP密钥,这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中,而且如果带有WEP密钥的设备丢失或者被盗时,黑客可能会通过这个设备侵入无线局域网,这时管理员是很难发现的。即使管理员发现了并想要阻止,就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时,这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥,管理员也毫不知情。在现行更安全的方案中采取的是动态密钥,动态密钥是在EAP认证时,RADIUS服务器将与客户生成会话密钥并将密钥发送给AP,客户和AP同时激活密钥开始会话直到超时,超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性,无线局域网本身就具有更大的脆弱性,同时还侵受着外部的恶意威胁。从某种意义上而言,无线局域网面临的安全威胁取决于其承载的信息资产价值,大致可以分为以下几种因素,具体表述如下:
2.1 非法介入
对于广大用户而言,内部无线局域网上流转的数据包含着十分宝贵的信息资產,关系到自己的切身利益,一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说,无线局域网非法介入可能会导致客户信息泄露,有损自身品牌信誉,同时还给客户带来了不可挽回的经济损失。近年来,关于电信诈骗的案件报道比比皆是,为社会大众所恐慌。以现有的技术条件和水平,无线局域网的电磁辐射还很难精准地控制在某一范围之内,攻击者只需架设一座天线即可截获部分数据信息,而且用户很难发现。在现实生活中,某些恶作剧者常常热衷于寻找“免费”无线网络资源,并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上,所有AP用户共享,攻击者可产生大量数据包,从而耗尽网络资源,导致网络中断或瘫痪,影响了合法用户的正常网络体验。此外,与有线网络相比,无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重,攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外,攻击者往往利用这些假冒的网络诱使合法的用户进入访问,进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如(DNS或DHCP服务器)引导用户进入到其不想进入的网络,比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击,与其他形式的攻击差异体现为,它的目的在于破坏计算机或无线局域网络正常服务。目前,802.11b已经成为了无线局域网市场的主流标准,在各类用户中的应用十分广泛,适用于家庭、车站、办公等多个场所。但是,这种无线局域网络安全技术也存在一定的弊端,即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段,而且没有限制授权,因而很容易受其他生活设备的干扰,其中存在很大的潜在威胁。在合适的设备和工具支持下,攻击者完全可以对无线局域网发起flooding攻击,实现非法业务在无线网络有效频段上的覆盖,进而阻止用户正常接收合法业务数据,最终导致整个网络系统瘫痪。在实际的运行系统中,拒绝服务攻击是最难做好预控和处理的,既要求全面考虑设计构成要素,又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日,无线局域网安全关乎国计民生,是和谐社会主义构建的重要歷程。作者结合上文的分析,有针对性地提出了以下几种提高无线局域网安全性能的策略,以供参考和借鉴。
3.1 资源保护
在无线局域网应用中,两个及以上的设备可以实现多种方式的数据通信,可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险,但是如果把无线信号承载的数据信息转化成密文,并且保证其强度够高的情况下,这种安全威胁发生的几率则会大大降低。除却这些,无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此,用户可以在无线局域网承载的数据中,融入部分只有内部人员才得以掌握的冗余数据,从而精准地检测这些数据是否被更改,在这种情况下基本可以确定无线信号的安全性。同时,值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性,为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障,通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中,密码设置强度一般分为三个等级,并且保证在八个字符以上。根据无线局域网密码破解测试结果显示,用户应适当提高密码破解难度,如增加字符长度或增加特殊字符等,并按照需求定时进行更换。关于无线局域网密钥管理,现行的还有一种WEP标准方法,通过动态变化来避免密钥重用。但是,WEP本身对无线局域网的加密保护作用是非常脆弱的,很容易被黑客攻击和破解,基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同,WAP又分为个人版、企业版,它采用TKIP协议,使用预共享密钥,解决了小型无线局域网环境安全威胁。与之相对应的,WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址,存在于每一台主机当中,它是一种采用十六进制数标示,由六个48位字节构成的物理地址,例如00-28-4E-DA-FC-6A。在OSI模型中,数据链路层负责MAC地址,第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能,可以在接入设备中进行MAC地址过滤设置,只准许特定合法MAC地址接入无线局域网,从而防护攻击者的非法侵入。现阶段,地址绑定已然成为了无线局域网常用的安全策略之一。此外,在每一个无线局域网创建中,都存在专属的服务集标识符即SSID,它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击,应将SSID修改成难以被外人辨识的字符串,同时对其进行隐藏处理,降低被黑客检测到的几率,保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展,市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此,用户可以在主机系统上加装合适的查杀软件或病毒卡,实时检测系统异常,并对木马数据及非法AP等进行清理,以免给自身造成更大的经济损害。对于拒绝服务攻击,用户可以在无线局域网运行的系统上增加一个网关,使用数据包过滤或其他路由设置有效拦截恶意数据,隐藏无线局域网接入设备IP地址,降低安全风险。事实表明,无线局域网安全威胁不仅仅存于外界,还可能受到内部攻击,针对此类状况,应加强审计分析,通过有效安全检测手段确定内部攻击来源,并辅以其他管理机制,防治无线局域网安全。此外,对于硬件丢失威胁,应基于用户身份完成认证,并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之,无线局域网安全技术发展势在必行。由于个人能力有限,加之无线局域网环境复杂多变,本文作出的相关研究可能存在不足之处。因此,作者希望业界更多学者和专家持续关注无线局域网技术发展,全面解析无线局域网应用中存在的安全隐患,并充分利用无线局域网安全技术,有针对性地提出更多提高无线局域网安全性能的策略,从而净化无线局域网应用环境,为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护,2014(02):68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风,2014(15):190.
[3]颜军,田祎.探析无线局域网的安全技术及应用[J].福建电脑,2013(01):36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷,2016(04):35.
[5]黄祖海.无线局域网安全分析与入侵检测技术研究[J].科技经济导刊,2016(12):27-28.
作者简介
张烜(1987-),男,湖南省宁乡县人。硕士学位。研究方向为网络技术、网络安全、信息安全技术。
作者单位
中国南方电网有限责任公司超高压输电公司 广东省广州市 510700