国家广电总局594台 豆争奇

1.引言

安全的无线局域网，必须注重两方面，一是访问控制，另一个就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。广播台站无线网络技术发展迅速，每天无线传输大量重要的、甚至保密的工作数据资料，拥有安全的无线网络工作环境迫在眉睫。

2.无线局域网

2.1 无线局域网概述

无线局域网（Wireless Local Area Networks），也被称为WLAN。是指利用无线电波传输数据，并将设备连接到互联网、企事业网络以及应用程序的一种网络。是通用无线接入的一个子集，可支持较高的传输速率(可达2Mbps～108Mbps)。WLAN的最大优点就是实现了网络互连的可移动性，只要在有线网络的基础上通过无线接人点、无线网桥、无线网卡等无线设备就可使无线通信得以实现。

2.2 无线局域网的破解

（1）WEP加密技术――破解方式：收集足够的Cap数据包（5万以上－15万），然后使用aircrack破解。可以在无客户端情况下采用主动注入的方式破解。

（2）WPA加密技术――破解方式：收包含握手信息的Cap数据包，然后使用aircrack破解。

必须在合法的客户端在线的情况下抓包破解。可主动攻击合法客户端使其掉线，合法客户端掉线后再与AP重新握手即可抓到包含握手信息的数据包。或可守株待兔等待合法的客户端上线与AP握手。

3.无线局域网风险分析

图1

WlAN技术为用户提供更好的移动性、灵活性和扩展性，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗。所以使用无线局域网络时，就应该充分考虑其安全与可靠性，下面就目前比较常见的一些无线局域网所面临的风险进行分析：

(1)容易侵人

图2

图3

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。

(2)非法的AP

无线局域网易于访问和配置简单的特性，使得任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。方式一：入侵者将一个真实AP非法放置在被入侵的网络中，让授权客户端自动地连接到这个AP上来。方式二：采用诸如HostAP等专用软件将入侵者的计算机伪装成AP。

(3)未经授权使用服务

50%以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。

(4)服务和性能的限制

无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。

(5)地址欺骗和会话拦截

攻击者可以通过欺骗数据帧去重定向数据流和使ARP表变得混乱，然后轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在然后装扮成AP进人网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。

(6)流量分析与流量侦听

802．11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。

(7)高级入侵

很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。

(8)拒绝服务攻击

无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。

4.无线局域网安全防护

局域网安全防范方法：

(1)加强网络访问控制

容易访问不等于容易受到攻击。如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基IEEE802．1x的新的无线网络产品。IEEE802．1X定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802．1X无线网络的认证转换到后端基于有线网络的RASIUS认证。

(2)定期进行的站点审查

无线网络在安全管理方面也有相应的要求，普通的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

(3)阻止未被认证的用户进入网络

由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网络设备使用了安全认证机制并确保网络设备的配置正常，如图1。

(4)同重要网络隔离

在802．11i被正式批准之前MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。

(5)采用可靠的协议进行加密

如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSI、IPSec等加密技术来加强数据的安全性。

(6)不要破坏自己的防火墙

将无线系统接入点放置在防火墙之外，为网络创建一道必要的屏障。

(7)拒绝笔记本ad—hoc方式接入

在任何无线局域网中都应当采取这一严厉的措施。Ad—hoc模式将允许wi—Fi用户直接连接到另一台相邻的笔记本，这将构成你完全不能想象的恐怖的网络环境。

(8)利用MAC阻止黑客攻击

利用基于MAC地址的ACLs(访问控制表)确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，如图2。

(9)有效管理无线网络的ID

所有无线局域网都有一个缺省的SSID(服务标识符)或网络名。立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID。不要到处使用这个名字：即取消SSID自动播放功能，如图3。

(10)提高已有的RADIUS服务

远程用户常常通过RADIUS(远程用户拔号认证服务)实现网络认证登录。网络管理员能够将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理。这样不仅能实现无线网络的认证，而且还能保证无线用户与远程用户使用同样的认证方法和帐号。

(11)TKIP加密协议

WPA采用TKIP（Temporal Key Integrity Protocol）为加密引入了新的机制，在用户连接到AP，认证服务器接受了用户身份之后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和此用户的客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。

(12)采用强力的密码

一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的，如果密码强度不够，几乎可以肯定会让你的系统受到损害。比如：可以使用特殊字符设置密码等。

(13)对网络入侵者进行监控

需要对攻击的发展趋势进行跟踪，了解恶意工具是怎么连接到网络上的。采用WLAN专用入侵检测系统对网络进行监控，及时发现非法接入的AP以及假冒的客户端，并且对WLAN的安全状况进行实时的分析和监控。

(14)简化网络安全管理，集成无线和有线网络安全策略

无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平。例如，更改SNMP设置。这种防范措施是和有线网络设备相同的。

(15)不能让非专业人员构建无线网络

非专业人员在安装过程中很少考虑到网络的安全性，只要通过网络探测工具扫描网络就能够给黑客留下攻击的后门。所以要限制非专业人员无线网络的构建，这样才能保证无线网络的安全。

5.结束语

在广播电台无线局域网的使用中，安全问题仍将是一个最重要的、迫切需要解决的问题。但是我们有理由相信在不久的将来，无线设备将更加安全完善，加密技术更加强大，传输速度与可靠性也会迅速提高，无线局域网将更加安全。

[1]蒋融融.无线网络技术及管理[J].浙江广播电视大学,2008,3.

[2]吴功宜.计算机网络高级教程[M].清华大学出版社,2007,10,1.

[3]刘延华.无线网络及其安全[J].福州大学,2010.

[4]李贤玉,吴小华.无线局域网安全分析与防护[M].哈尔滨工程大学出版社,2009.