浅谈无线网络安全威胁及应对措施

陈瑞

（山西广播电视大学，山西 太原 030027）

1 引言

纵观无线网络的整个发展历程，其已从业务网络转化为涵盖各种无线通信技术的智能化通信系统，提供了丰富多样的业务。但是在此过程中，受多重因素影响，无线网络所面临的安全威胁问题日益严峻，包括非法侵入、拒绝服务、地址欺骗以及拓扑变化等，是限制其应用普及的重要因素。

2 无线网络安全威胁

基于无线网络应用，各类信息传播与交互更加便捷，但在电磁波覆盖的范围内，任何接入的用户都可能成为安全威胁因素。相较于有线信道，无线信道的带宽较小，开放性更强，因而更容易遭受窃听、干扰或篡改等攻击。目前而言，无线网络安全威胁主要表现在以下几方面：

2.1 非法侵入

根据802.11标准规定，无线链路主要采用开放式系统与共享密钥两种身份认证方式。其中，在开放式系统身份认证的无线网络环境下，任何在电磁波覆盖范围内的用户均可接入，并未有设置传输数据保护机制。相比之下，共享密钥身份认证的安全性体验更高，它是基于接入方与AP之间的密钥共享，实现对接入方的身份认证，但是由于其保密性较差，并不足以被完全信赖。在无线网络应用相当普及的时代，黑客技术也在不断更新发展，任何具有黑客知识的人，在少量装备的加持下，如无线网卡、密码破解软件等，即可成功入侵网络，甚至可能会获取一定权限，进而盗窃、篡改敏感信息，

给用户信息安全造成威胁。时至今日，黑客攻击已然成为无线网络安全威胁的重要因素。

2.2 拒绝服务

所谓拒绝服务即是指恶性攻击者通过占用大量无线网络资源，导致合法用户无法访问网络的现象。无线网络是基于电磁波应用的新型信息载体，其在运行过程中，攻击者与合法用户同处于一个频率的电磁波环境下，继而干扰合法用户的无线信号传播，导致无法访问网络问题，甚至网络瘫痪，给攻击留有进一步作用的空隙。同时，攻击者还可通过向AP频繁发送身份验证请求，导致其无法正常工作，未能及时处理正常数据包，即泛洪攻击。另外，4G网络应用时代，攻击者还可应用移动模式，对无线网络系统中的某个节点进行集中攻击，使之不停地转发数据包，导致网络传输速度缓慢或者停滞，被称为消耗攻击。拒绝服务是当前无线网络安全遭受最多的威胁之一。

2.3 地址欺骗

在无线网络运行系统中，接入站站点通过向接入点发起链路认证的方式进行安全防护，决定是否接受访问，其凭据就是自身的MAC地址。但是，无线网络接入站站点地址可以通过第三方应用软件进行修改，使得接入点错误地认为该链接是合法的，或者经过网络设备同意，进而形成欺骗攻击。现阶段而言，最容易达成欺骗攻击目的的方法是，重新定义无线网络MAC地址。以当前的无线网络发展来看，由于传输控制协议和网际协议设计缺陷，无法有效避免MAC地址欺骗，同时源于巨大的管理任务负担，此种安全方案极少被采用。在此过程中，为了防护无线网络安全，唯有通过智能事件记录和监控日志才能治理已经发生的欺骗行为。事实上，单纯地通过重新提交AP身份认证，并非能发挥良好的无线网络安全防护功能。

2.4 拓扑变化

基于无线网络管理理念导向，可对不同用户群体的访问权限进行审查和限制，可起到一定的安全防护作用。在有线网络应用环境下，可通过虚拟局域网和网络访问控制列表的双重作用，实现对安全威胁的避除。而在无线网络应用环境下，客户端的移动性特点，导致网络拓扑变化相当频繁，甚至每时每刻都在发生，一定程度上增加了网络管理的难度。相比较而言，对不同无线网络用户群体进行差异化访问权限应用实非易事。在这种情况下，为了维护无线网络安全及稳定，管理者需要耗费大量时间和精力，同时，由于地理位置变化而造成的身份重新认证，亦影响了用户服务体验。因此，拓扑变化无疑给无线网络安全造成了威胁，稍有处置不当，可能会增加用户信息泄露风险。

3 无线网络安全威胁的应对措施

在现代化创新科技发展背景下，解决问题的办法永远比问题多，这亦是社会进步的根本意义。人们在享受无线网络带来的便捷性服务的同时，也面临着比有线网络更加复杂的安全风险，直接损害了其自身利益。基于上述分析，结合实际情况，针对性地提出了以下几种无线网络安全威胁应对措施：

3.1 端口访问控制

基于802.1x端口访问控制技术，集合了RADIUS认证和MAC地址认证的双重优势特点，是一种有效增强无线网络安全性能的解决方案。在该运行系统中，申请者、认证者和认证服务器共同组成一个新的架构，由申请者发起身份认证，并通过认证服务器对密钥加密转换后发给申请者，在确认合法之后可成功接入无线网络。当无线网络用户与AP关联后，由802.1x认证结果决定是否可以使用AP服务，如果通过，则可向申请者打开AP服务端口，如若不然则会禁止用户上网，最终实现高效的安全防护功能。同时，基于802.1x端口访问控制技术，还能够提供安全防护之外的计费服务。时至今日，端口访问控制已然成为有效应对无线网络安全威胁的重要措施。

3.2 使用WPA2算法加密

无线加密协议WEP是保护无线网络信息安全的体制，在传统规制下，其密钥多采用16或32位的加密方式，虽在一定时期内发挥了重要的安全防护功能，但是很容易被当下网络上的非法软件破译，并且用时非常短。对此，建议采用128位的WPA2密钥认证方案，WPA2是在原有WEP算法的基础上发展而来，其通过技术改进很好地消除了原有WEP算法在安全性能等方面存在的不足与缺陷，对于网络安全的保护而言至关重要。具体来讲，在密钥的选择上，WPA2算法使用了最为先进的动态密钥管理办法，在系统升级的过程中会自动对密钥进行动态更新。在具体的操作过程中，还需在每一帧中加入校验和，以保证信息数据完整性，有效防止数据流中插入已知文本进而破解密钥的攻击行为。这些措施的实施都有效保障了无线网络的信息安全，使得不法分子对于无线网络的攻击无从下手，降低了无线网络安全威胁事件的发生率。

3.3 实现地址过滤

常规来说，无线路由器或AP在进行IP地址分配时，均是默认选用动态IP地址分配，一旦不法分子找到了无线网络，即可通过DHCP获取合法的IP地址，增加了无线网络的安全风险。对此，可采用静态IP与MAC地址绑定的方式，关闭DHCP服务，减少由此带来的无线网络安全风险。在此过程中，可为局域网内的每台电脑分配固定IP地址，并确认其合法，只准许合法地址访问无线网络，达到安全防护的目的。同时，仔细辨别日志记录中的错误，继而断定是否存在无线网络安全隐患，针对性地采取有效应对措施。目前，市面上的无线网络入侵检测系统越发专业，其功能设定使之能够自行判断、分析入侵行为，通过流量异常检测其是否合法，一旦确认非法入侵即会发出警报，并禁止用户访问网络。

3.4 无线漫游技术

由于无线网络终端的流动性特点，给管理者造成了极大的工作难度，传统分层管理模式已然难以适应现实需求。同时，无线应用区域变化，需要用户不断刷新登录新的AP，影响了他们的便捷性信息服务体验。而基于无线漫游技术的无线网络系统，可以实现无论用户处于哪个AP覆盖范围，皆可进行网络分组管理，很大程度上减轻了管理人员的工作负担。同时，该种应用模式下，用户只需登录一次，即可持续使用无线网络，大大提升了其灵活性和安全性。

3.5 加强人才培育

知识经济时代，人才是推动社会可持续发展的核心资源和动力。在当下的无线网络应用环境下，加强人才培育是改善安全环境的重要方式。在具体的过程中，各级应用单位，如学校、企业等，应完善内部管理机制，禁止员工私自安装AP和对外透露网络设置信息，以免增加无线网络的安全风险。同时，应用单位还需加强员工培训教育工作，宣传无线网络安全意识，及时更新他们的技术技能架构，尤其对于网络管理人员，更需加强其专业化水平建设，积极引入先进科技装备，并使之有效掌握和应用。另外，国家应从法制层面上规范网络行为，坚决打击恶性攻击，并采取必要的惩处手段，提高全民网络安全建设意识，维护社会稳定和谐。

4 结语

总而言之，无线网络在为用户带来诸多便捷性信息服务体验的同时，亦增加了用户信息安全威胁，因此，其有效应对至关重要。随着无线网络技术的不断发展革新，需要结合实际情况，综合分析无线网络的安全威胁，并针对性地提出更多有效应对措施。