文/卢东祥

无线网络安全防范技术亟待完善

文/卢东祥

有超过50%的用户无线网络遭到不同程度的入侵，增强无线网络的安全防范技术迫在眉睫。

随着无线网络技术的不断发展和普及，Wi-Fi、3G网络的覆盖遍及大中城市的每个角落，无线信号无处不在。尤其，近一年来Wi-Fi接入技术的广泛应用，更是成为公司、家庭组网最为便捷的手段之一，与此同时，家庭和企业的网络安全也因此而面临了严重的威胁。据权威部门统计，有超过50%的用户无线网络遭到不同程度的入侵。对于家庭用户来讲，损失的可能只是网络的带宽资源被占用，而对于企业而言，就可能面临公司的核心机密资料被泄露窃取，导致无法估量的损失，因此，增强无线网络的安全防范技术迫在眉睫。

园区网内部无线接入点成为整个网络的软肋

无线网络安全威胁

Wi-Fi接入作为有线网络的延伸，可以说，无线网络安全并不是一个独立的问题，因此，网络管理者需要清楚地认识到网络安全威胁来自哪些环节。相对有线而言，Wi-Fi接入有着独有的特性，面临的威胁也是所独有的。

开放的Wi-Fi接入网络

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。

部署非授权的Wi-Fi设备

在未经授权的情况下，如果用户私自在无线网络内安装无线AP、无线路由以及无线交换机等设备，这种部署或创建往往没有经过安全过程或安全检查，也没有做任何安全防范措施或者就是简单的WEP/WPA加密。那么，入侵者就可以通过便携电脑破解WEP/WPA密码后与接入点通信，从而连接到内部网络，从而窃取关键数据。非授权的Wi-Fi设备构造出一个无保护措施的网络，充当了入侵者进入特定无线网络的开放门户。

授权Wi-Fi设备认证方式单一

目前Wi-Fi加密方式主要有以下几种方式WEP/WPA/WPA2等几种方式，70%以上的用户在使用AP等Wi-Fi设备时，只是在其默认的配置基础上进行很少的修改。同时，几乎所有的Wi-Fi设备都按照默认配置来开启WEP/WPA/WPA2进行加密或者使用原厂提供的默认密钥。这给入侵者带来了极大地便利，通过Airsnort、WEPcrack、BackTrack4等一类工具就能在短时间内破解密码，从而获得网络权限。

无线网络先天性的技术缺憾

到现在为止，无线上网的安全性还没有得到完全的保障。而无线网络安全性主要表现在数据加密和控制访问两方面。数据加密往往能确保传输的信息，只能被自己所期望的网络用户所接受和理解；控制访问可以确保网络信息，只能由已授权用户获得。但是，由于无线网络的信息是通过微波的辐射进行传输的，所以在无线网络节点覆盖的区域内，所有的无线工作站都有可能接受到网络信息，而无线网络节点也无法确保信息只能向特定接受设备传送，所以无线上网的数据保密性相对有线网络来说要差些。

无线网络加密与破解

WEP是厂商作为一种伪标准匆忙推出的一种加密方式，之后发现存在一些漏洞。因此，由于WEP自身算法的严重缺陷，使得WEP加密方式已经失去意义。目前，破解主要依靠捕获大量报文分析得出密码，即使高复杂度WEP密码也是形同虚设，甚至一个初入道的攻击者也能够利用这个协议中的安全漏洞。

然而，WPA提供了比WEP更强大的加密方式，解决了WEP存在的许多弱点。据了解，WPA加密分为两种加密方式。临时密钥完整性协议(TKIP) ，TKIP是一种基础性的技术，允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作，组成一个更长的128位密钥，并根据每个数据包变换密钥，使这个密钥比单独使用WEP协议安全许多倍。

可扩展认证协议(EAP)，有EAP的支持，WPA加密可提供与控制访问无线网络有关的更多的功能。其方法不是仅根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问，而是根据公共密钥基础设施(PKI)来控制无线网络的访问。

虽然WPA协议给WEP协议带来了很大的改善，它比WEP协议安全许多倍，但是，任何加密都比一点都不加密好得多。如果WEP是你的无线设备上拥有的唯一的保护措施，这种保护措施仍然可以阻止随意地危害你的无线数据并且使大多数新入道的攻击者寻找没有保护的无线网络来利用。

在无线网络加密方面，WEP加密破解是通过收集足够的Cap 数据包（5万－15万），然后使用aircrack 破解，可以在无客户端情况下采用主动注入的方式破解。而WPA加密破解则是通过收包含握手信息的Cap 数据包，然后使用aircrack破解。必须在合法的客户端在线的情况下抓包破解。可主动攻击合法客户端使其掉线，合法客户端掉线后再与AP 重新握手即可抓到包含握手信息的数据包，或可守株待兔等待合法的客户端上线与AP 握手。

WPA-PSK/WPA2-PSK（TKIP、AES）是目前主流的加密方式，但由于TKIP与AES子算法自身的问题，使得WPA也将面临着被彻底破解的威胁，主要的途径字典破解，还可以通过穷举暴力破解。

无线WPA-PSK加密破解难度，目前仍主要依赖字典（绝大部分工具支持），单机CPU运算主频限制，目前单机速度主要100～400 keys /s，破解8～12位密码耗费时间太长。

无线WPA-PSK加密破解难度大

Wi-Fi安全配置防范措施

安全是一种思想，随着技术的更新，在不断强化。对于用户而言，需要通过多种防范措施，不断加强无线网络安全。

隔离无线网络与核心网络

在网络规划中布置Wi-Fi设备时，可以使用防火墙分隔，把公司无线网络分成一或多个小的无线网络，或考虑在DMZ或周边网络内布建无线存取网络，这样即使无线客户端被破解，入侵者还是无法攻击有线网络。如果单位没有专门防火墙，也可以跟VLAN结合起来，把无线网络单独划分一个或几个VLAN，这些VLAN不能访问公司的任何有线网络。因此，无线网络上的使用者需要访问有线网络的时候，必须使用VPN隧道技术。

定期进行的站点审查

像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前，通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，因为频繁的监测可增加发现非法配置站点的存在几率，但这样会花费很多的时间，并且移动性很差。一种折中的办法是选择小型的手持式检测设备，管理员可以通过这种手持扫描设备，随时到网络的任何位置进行检测。

加强安全认证

加强安全认证最好的防御方法就是阻止未被认证的用户进入网络。由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。无线网络部署中，严格的认证方式和认证策略将是至关重要的，另外，还需要定期对无线网络进行测试，以确保网络设备使用了安全认证机制，并确保网络设备的配置正常。

做好无线设备的安全配置

由于无线网络中最重要的设备之一就是无线路由器或中继器。一般来说，同一品牌的无线设备访问地址都是相同的，例如192.168.1.1等，而其默认的用户名、密码也大多为admin，其SSID也都一样。如果不修改这些默认的设置，那么入侵者则非常容易的通过扫描工具，找到这些设备并进入管理界面，获得设备的控制权。

因此，修改默认设置是一项最基本的安全措施。无线安全设置主要包括禁止SSID广播、过滤MAC、关闭DHCP、设置密钥、防Ping等，这不仅对无线网络设备有用，对其他共享上网的ADSL、路由等同样有效。

(作者单位为江苏省盐城师范学院物理科学与电子技术学院)

卓纪思网络荣获Wi-Fi联盟大奖

本刊讯 近日，卓纪思网络（Trapeze Networks）,获得了 2009 年 Wi-Fi联盟领导的两个工作组的杰出贡献奖。Wi-Fi联盟是推动Wi-Fi在全球市场、技术发展的非盈利国际性组织，这些年，Wi-Fi联盟的成员在参与不同的技术发展和认证活动中都表现了杰出的成绩。

卓纪思为Wi-Fi联盟成员，领导两个任务小组，作为Wi-Fi联盟网络管理组的领导者，领导了以下技术的发展：制定Wi-Fi产品在节能、定位、时钟以及网络优化、性能等领域。

同时，卓纪思作为Wi-Fi联盟的安全技术组的主持者，定义了Wi-Fi产品针对WPA2安全协议的需求测试方案。

“卓纪思网络对获奖深表感谢，并为公司在技术领导者位置感到骄傲。”卓纪思网络首席执行官Dhrupad Trivedi针对获此殊荣评论说：“卓纪思网络作为全球Wi-Fi业界技术领先的公司，对获奖深感表谢，并承诺对Wi-Fi的发展及全球推广尽力，造福广大Wi-Fi用户。”

“我们对卓纪思网络获得Wi-Fi联盟2009杰出贡献奖表示祝贺。”Wi-Fi联盟市场总监Kelly Davis-Felner说：“他们积极的参与Wi-Fi联盟组织，帮助联盟现有的技术体系变得更加成熟。”