無線局域網(wǎng)在為用戶提供便捷高效的網(wǎng)絡(luò)部署方式時，也為黑客入侵創(chuàng)造了一條高速通路，因此無線網(wǎng)絡(luò)設(shè)置多層防御措施迫在眉睫。

一位美國休斯頓的電腦安全分析師曾入侵哈里斯縣地方法院辦公處的無線計算機系統(tǒng)，迫使該縣的無線局域網(wǎng)在啟動一個月后被迫關(guān)閉，而且花費了5萬美元才得以修復(fù)。無線局域網(wǎng)在為公眾帶來便捷的同時，也為黑客的入侵創(chuàng)造了一條高速通路。當企業(yè)使用沒有安全防護的無線局域網(wǎng)技術(shù)時，即使一些初級黑客都有可能利用容易得到的廉價設(shè)備對企業(yè)網(wǎng)絡(luò)進行攻擊。安全問題已經(jīng)成為阻礙WLAN進入信息化應(yīng)用領(lǐng)域的最大障礙。

無線網(wǎng)絡(luò)技術(shù)的安全

可以從以下幾個方面來保障無線網(wǎng)絡(luò)的安全性:

1. 控制訪問設(shè)備的合法性

控制訪問設(shè)備的合法性可以從 MAC地址訪問控制、SSID的設(shè)置、合理選擇接入點位置和禁用 DHCP四個方面加以考慮。

(1)MAC地址訪問控制:

可以通過限制接入終端的MAC地址來確保只有經(jīng)過登記的設(shè)備才可以接入無線網(wǎng)絡(luò)。由于每一塊無線網(wǎng)卡擁有唯一的MAC地址，在接入點（AP: Access Point）內(nèi)部可以建立一張“MAC地址控制表”，只有在表中列出的MAC地址才是合法可以連接的無線網(wǎng)卡，否則將會被拒絕連接。

雖然有可能出現(xiàn)MAC地址欺騙，即攻擊者將自己設(shè)備的MAC地址修改成合法設(shè)備的MAC地址，但是MAC地址過濾仍然可以使對網(wǎng)絡(luò)的攻擊變得困難。

(2)SSID(Service Set Identifier)的設(shè)置規(guī)則:

每個制造廠商的接入點都具有不同的配置界面，結(jié)合了不同的硬件和軟件，但是基本配置選項相同。在把接入點插入到網(wǎng)絡(luò)之前，修改缺省設(shè)置是至關(guān)重要的。每一個AP內(nèi)可以設(shè)置一個服務(wù)區(qū)域認證ID（SSID: Service Set Identifier），無線終端設(shè)備（如無線網(wǎng)卡）也可以設(shè)置SSID。每當無線終端設(shè)備要連上AP時，AP會檢查其SSID是否與自己的ID一致，只有當AP和無線終端的SSID相匹配時，AP才接受無線終端的訪問并提供網(wǎng)絡(luò)服務(wù)。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。值得注意的是，SSID和接入點名稱的默認值一定要修改，而且要注意SSID和名稱中不要出現(xiàn)公司名稱、公司所在地、制造商名稱等可以給攻擊者任何提示的信息; 還要注意關(guān)閉接入點的SSID廣播。

(3)合理選擇接入點位置:

當局域網(wǎng)中安裝了接入點，整個網(wǎng)絡(luò)都會處于風(fēng)險之中。網(wǎng)絡(luò)中不受保護的接入點就像一扇打開的大門，吸引攻擊者進入。因此需要把接入點放在網(wǎng)絡(luò)中一個風(fēng)險盡可能小的地方。應(yīng)該把接入點看作非信任設(shè)備，放置在非信任網(wǎng)段中，采取一定的措施將非信任網(wǎng)段與原有網(wǎng)絡(luò)隔離，這樣即使攻擊者接入接入點，破解了WEP密鑰，它們也無法訪問網(wǎng)絡(luò)中的數(shù)據(jù)。而且還要確保接入點不能通過遠程方式被配置，尤其是無線遠程方式進行配置。

(4)禁用DHCP:

許多接入點和網(wǎng)絡(luò)上提供的另一個功能是動態(tài)主機配置協(xié)議DHCP。從網(wǎng)絡(luò)管理的角度看，DHCP提供了一種為請求方提供IP地址的方法。但是，從安全角度看，這對得到地址的請求方的控制很少。因此，應(yīng)該關(guān)閉該服務(wù)，尤其是在無線局域網(wǎng)中。因為DHCP提供了IP地址和路由信息，所以攻擊者會立刻加入到WLAN網(wǎng)段中。通過對用戶無線網(wǎng)卡的IP地址進行分別配置，可以迫使攻擊者不得不花費更多時間進行窺探，為網(wǎng)絡(luò)管理員提供了更長的時間來追捕攻擊者。

2. 控制無線信號泄露

WLAN中使用的是無線信號，無線信號可以穿越墻壁和窗戶，沒有明顯的界限。一定要對無線信號進行測量，確定接入點的放置位置，使得合法用戶范圍內(nèi)信號強度較強，合法用戶范圍之外信號強度較弱。比如，接入點要遠離窗戶，這樣信號在離開建筑物之前就已經(jīng)很弱了。

典型的WLAN拓撲圖

3. 啟用無線加密協(xié)議

由于完全控制無線信號的泄露幾乎是不可能的，所以還需要采取其他措施，如使用無線加密協(xié)議。

(1)有線對等保密WEP （Wired Equivalent Privacy）:

WEP是IEEE 802.11b協(xié)議中最基本的無線安全加密措施，它是所有經(jīng)過 Wi-Fi認證的無線局域網(wǎng)絡(luò)產(chǎn)品所支持的一項標準功能。利用一套基于40位/128位共享加密秘鑰的RC4加密算法對網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進行加密，由IEEE制定，其主要用途包括提供接入控制、防止未授權(quán)用戶訪問網(wǎng)絡(luò)、防止數(shù)據(jù)被攻擊者竊聽、防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造，從而有效地保護無線網(wǎng)絡(luò)。

WEP的局限性是: 靜態(tài)密鑰使得WLAN很容易受到“密碼再度使用”式攻擊。靜態(tài)WEP密鑰對于WLAN上的所有用戶都是通用的，這意味著如果某個無線設(shè)備丟失或者被盜，所有其他設(shè)備上的靜態(tài)WEP密鑰都必須進行修改，以保持相同等級的安全性。類似AirSnort這樣的破解工具使攻擊者可以主動地監(jiān)控、接收和分析數(shù)據(jù)分組，破解靜態(tài)WEP密鑰。所以WEP密鑰要定期修改，防止被攻破。

雖然WEP存在一定的漏洞，但在整體安全計劃中，它仍然是比較有效的一種手段，可以阻止初級攻擊者的攻擊，或者延長攻擊者花費的時間，提高攻擊的代價。所以在無線覆蓋范圍不是很大、終端用戶數(shù)量不是很多以及對安全要求不是很高的應(yīng)用環(huán)境下使用WEP技術(shù)是最經(jīng)濟且方便的。

(2)新一代無線安全協(xié)議——IEEE 802.11i

大型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜、對網(wǎng)絡(luò)的安全性要求很高，僅使用基本的安全措施并不能完全達到其安全需求。為了幫助解決WEP的缺陷，進一步加強無線網(wǎng)絡(luò)的安全性，同時降低用戶的成本， IEEE802.11工作組成立了I工作組（Tasks groups I），開發(fā)了一種802.11的升級標準——IEEE 802.11i無線安全標準，并且致力于從長遠角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。

多層防御抵制黑客入侵

保障WLAN的安全只是整個企業(yè)安全框架的一個組成部分，所以應(yīng)在網(wǎng)絡(luò)中部署多層防御措施，以減輕黑客攻擊的威脅。其他的安全組件包括防火墻、入侵檢測系統(tǒng)和分段網(wǎng)絡(luò)。

1. 部署入侵檢測系統(tǒng)（IDS）

考慮添加入侵檢測系統(tǒng)（IDS），這樣可以發(fā)現(xiàn)無線局域網(wǎng)中即將發(fā)生的攻擊活動。入侵檢測系統(tǒng)可以放置在接入點所在的非信任網(wǎng)段，這樣有助于提醒管理員可能發(fā)生的潛在威脅。如果攻擊者獲得了訪問權(quán)限，并試圖掃描其他用戶或者防火墻，管理員就會得到有人濫用網(wǎng)絡(luò)的警告。一旦這種行為發(fā)生，就意味著WEP密鑰已經(jīng)被破解，此時應(yīng)該立即修改WEP。要正確維護IDS，就必須經(jīng)常閱讀警告日志，還需要經(jīng)常查看防火墻日志和系統(tǒng)日志，以及其他一些應(yīng)用程序的日志。

2. 使用訪問控制列表 ACL

進一步保護無線網(wǎng)絡(luò)，可以使用訪問控制列表 ACL。雖然不是所有的無線接入點都支持這項特性，但如果網(wǎng)絡(luò)支持，就可以具體地指定允許哪些機器連接到接入點。支持這項特性的接入點有時會使用普通文件傳輸協(xié)議（TFTP），定期下載更新的列表，以省去管理員必須在每臺設(shè)備上手工設(shè)置使列表保持同步的麻煩。

3. 合理配置SNMP

網(wǎng)絡(luò)管理協(xié)議（SNMP）是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議，它提供了一種監(jiān)控和管理計算機網(wǎng)絡(luò)的系統(tǒng)方法。但由于SNMP缺少身份驗證（Authentification）和加密機制（Privacy），所以在WLAN中容易成為泄密的突破口，因此如果接入點支持SNMP，建議禁用或者改變公開的共用字符串。如果不采取這項措施，黑客就可能利用SNMP獲得有關(guān)網(wǎng)絡(luò)的重要信息。

4. 啟用RADIUS認證服務(wù)

一個能夠支持上千名用戶，具有最先進加密和認證技術(shù)的大型系統(tǒng)通常需要一套能夠進行集中化管理的安全性解決方案。這些系統(tǒng)通過RADIUS （撥號用戶遠程認證服務(wù)） 進行管理。RADIUS能夠?qū)κ跈?quán)訪問網(wǎng)絡(luò)資源的網(wǎng)絡(luò)用戶進行集中化管理。不論是對有線的以太網(wǎng)絡(luò)還是無線的802.11網(wǎng)絡(luò)，RADIUS都是標準化的網(wǎng)絡(luò)登錄技術(shù)。

5. 分段網(wǎng)絡(luò)隔離

對于安全網(wǎng)絡(luò)來說，應(yīng)該把VPN服務(wù)器放在非軍事區(qū)（Demilitarized Zone，DMZ）中，接入點應(yīng)置于防火墻外部。DMZ是一個添加在受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)，可以將敏感信息和公用信息隔離，以便提供另外一層安全。DMZ是分層安全設(shè)計的一個優(yōu)秀實例。通過將VPN服務(wù)器隔離到一個網(wǎng)絡(luò)段中，兩個網(wǎng)絡(luò)間數(shù)據(jù)共享的幾率幾乎為0。對已經(jīng)獲得DMZ中某個服務(wù)器訪問權(quán)限的攻擊者而言，這種隔離能阻止他在網(wǎng)絡(luò)中進一步滲透。