文/韩华锋

基于802.11协议的无线局域网接入技术Wi-Fi具有无需布线、用户移动性、建设便捷性、投资经济性等优势，在促进校园无线网络建设中将起到巨大的革新作用。Wi-Fi接入作为有线网络的延伸，与有线网络相比，它由于其物理上的公开性，经常遇到各方面的威胁。

Wi-Fi校园网络面临的主要安全威胁

未经授权使用服务

很少用户使用AP时在其默认的配置基础上进行过修改，几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放访问方式，未经授权擅自使用无线网络服务会对正常用户造成很恶劣的影响。一是会影响到正常用户的网络访问速度；二是会对按照网络流量缴纳上网服务费用的用户造成直接经济损失，甚至可能会导致法律纠纷；三是未经授权使用无线网络会增加正常用户遭遇攻击和被入侵的概率；四是如果未经授权的用户利用无线网络进行黑客行为造成安全事件，可能会导致ISP中断服务，正常用户可能受到牵连。

非法AP

由于任何声称是一个AP且广播正确服务装置的识别都是网络认证的一部分，并且IEEE802.11协议没有任何功能要求一个AP证明它确实是一个AP。因此，攻击者可以通过利用未经认证的AP伪装到网络中，轻易地假装成一个AP。伪造AP的方式一般有以下两种。一种假冒AP的方式是采用伪装的方式，利用专用软件将攻击者指定的某个终端设备（包括计算机）伪装成AP；另一种是攻击者拿一个真实的AP，非法接入到被入侵的网络中，而授权的客户端就会无意识地连接到这个AP上来，给网络和正常用户带来很大安全隐患。

信息泄露

由于无线局域网采用公共的电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体，因此在一个无线访问点所服务的区域中未被授权的客户端也可以接收。因此，无线网络比较容易入侵，造成信息泄露。泄露威胁包括窃听、截取和监听。由于大多网络通信都是以非加密的方式在网络上传输的，因此通过观察、监听、分析数据流和数据流模式，就能够得到用户的网络通信信息。

服务和性能限制

无线局域网的传输带宽是有限的，而且由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬AP有限的带宽；如果发送广播流量，就会同时阻塞多个AP；利用非法的数据流覆盖Wi-Fi所有的频段（2400～2483. 5MHz这83. 5MHz频段），导致服务器负荷超载，使得合法的业务需求无法被接收或者是正常的数据流不能到达用户或接入点。另外，微波炉、婴儿监视器、无绳电话等工作在2. 4GHz频段上的设备都会干扰整个频率上的无线网络，甚至导致网络瘫痪。

非法侵入

无线局域网为了能够使用户发现，网络持续发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者通过高灵敏度天线可以从公路边、楼宇中以及其他任何地方不需要任何物理方式的侵入而对网络发起攻击。一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱和容易受到攻击的。此外，通过简单配置无线网络就可快速地接入主干网络，但这样会使主干网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使重要网络暴露出来从而遭到攻击。

入侵者破解Wi-Fi网络方法

WEP加密破解

收集足够的Cap数据包（5～15万），然后使用aircrack破解，在无客户端情况下都可以采用主动注入的方式破解。

WPA加密破解

在合法的客户端在线的情况下，接收包含握手信息的Cap数据包，然后使用aircrack破解。入侵者通常主动攻击合法客户端使其掉线，合法客户端掉线后再与AP重新握手，入侵者即可抓到包含握手信息的数据包，或可守株待兔等待合法的客户端上线与AP握手。

WPA-PSK 破解

WPA-PSK/WPA2-PSK（TKIP，AES）是目前主流的加密方式，破解无线WPA-PSK加密难度较大，目前主要依赖字典，受单机CPU运算主频限制。目前单机速度主要100～400key/s，破解8～12位密码耗费时间大概需要70～280小时。

Wi-Fi配置安全防范措施

加强安全认证

加强安全认证是最好的防御方法，也就是阻止未被认证的用户进入网络。由于访问特权是基于用户身份的，所以进行认证的前提是对认证过程进行加密，通过VPN技术能够有效地保护通过电波传输的网络信息。一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网络设备使用了安全认证机制，并确保网络设备的配置正常。

定期进行站点审查

入侵者在使用网络之前会通过接收天线找到未被授权的网络，所以尽可能频繁地进行物理站点的监测可增加发现非法配置站点存在的机率，但是这样会花费很多的时间并且移动性很差。一种折中的办法是选择小型的手持式检测设备，随时到网络的任何位置进行检测。

隔离无线网络和核心网络

在网络规划中布置Wi-Fi设备时可以使用防火墙把有线校园网络和多个无线网络分开，或考虑在周边网络内布建无线存取网络，这样即使无线客户端被破解，入侵者还是无法攻击有线网络。如果学校没有专门防火墙也可以跟VLAN结台起来，把无线网络单独划分一个或几个VLAN，这些VLAN不能访问校园的任何有线网络。无线网络上的使用者需要访问有线网络的时候必须使用VPN隧道技术。

网络检测

很多AP可以通过SN-MP报告统计信息，但是信息十分有限，不能反映用户的实际问题。无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况，还可以有效识别网络速率、帧的类型，帮助进行网络故障定位。

加强网络访问控制

通过强大的网络访问控制可以减少无线网络遭遇攻击的风险，一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏。当然如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1X的新的无线网络产品。IEEE802.1X定义了用户级认证的新的帧类型，借助于校园网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。

使用可靠的协议进行加密

如果无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

做好无线设备的安全配置

无线路由器或中继器是无线网络中最重要的设备之一。一般来说，同品牌的无线设备访问地址都是相同的，如192.168.1.1等；而其默用的用户名、密码也大多为admin；其SSID标识也都一样。如果不修改这些默认的设置，那么入侵者则可以非常容易地通过扫描工具找到这些设备并进入管理界面，获得设备的控制权。因此，修改默认设置是项最基本的安全措施。无线安全设置主要包括：禁止 SSID广播、过滤MAC、关闭DHCP，设置密钥、防Ping等，这不仅对无线网络设备有用，对其他共享上网的ADSL、路由等同样有效。

网络技术不断在更新，新的安全漏洞也会不断出现，我们需要做的就是不断加强的安全意识，而不是一味地去防范新的破解技术。网络安全与加密、认证等机制有关，而且还需要入侵检测、防火墙等技术的配合来共同保障，因此基于Wi-Fi校园网的安全需要从多层次来考虑，综合利用各种技术来实现。