提高无线局域网安全性的有效措施
2013-02-20白学清
白学清
(中央财经大学教学技术服务中心北京100081)
1 引言
当今世界已经进入网络时代,继笔记本电脑普及之后,平板电脑和智能手机等移动终端已经成为人们工作生活中必不可少的部分。移动的终端设备需要灵活方便的网络,很多办公室、会议室和家庭都通过增加一台小型无线路由器,架设了自己的无线局域网。最近出现的迷你无线路由器,更是小巧到可以随身携带,将3G转换为WiFi信号,随时随地为多台移动终端提供一个小型无线网络。无线网比有线网更方便易用,而无线网面临的安全威胁也比有线网更严重。
2 无线局域网的特殊性与安全威胁
与有线网使用线缆作为传输介质不同,无线网用射频进行数据传输。传输介质的特殊性,使得无线网面临着特殊的安全威胁[1]:①射频没有边界,不需要通过线缆接入固定的信息面板,在射频信号覆盖范围内的任何人都可以访问通过射频介质传输的数据。这使得无线网容易受到非法接入的威胁;②任何基于电波的技术都有其天然的局限性,就是容易受到干扰,射频信号也不例外。无线网受到的信号干扰威胁也比有线网要严重得多[2]。防范无线局域网的安全威胁,主要从防范非法接入与防止信号干扰2个方面入手。
3 防范非法接入无线网
成功架设和配置一个便利又安全的无线局域网,除了要让合法设备接入网络之外,还必须能拦住非法设备接入。下面介绍几种防范非法接入的有效措施。
3.1 修改并隐藏SSID
服务集标识符(SSID)是区分不同的无线网络的唯一标识符[3],也就是俗称的"网络名称"。用户终端设备进行无线网搜索时会得到无线网覆盖区域的网络名称列表,他们就是SSID。SSID的命名可包含数字和字母的字符串,区分大小写,长度一般为2~32个字符。无线路由器出厂时有一个缺省SSID名称,一般以设备型号或者品牌名称命名。
基于下面3个理由用户需要修改其SSID。①在同一个无线网覆盖区域内,SSID不能重复,如果不修改设备缺省SSID,可能会出现SSID重名冲突,影响使用;②修改成个性化命名的SSID方便记忆和查找网络;③出于安全考虑,防止网络名称被非法入侵者猜出,应该放弃设备缺省SSID,使用自主命名。修改缺省SSID并将其隐藏是提高无线网安全性的有效措施。无线路由器缺省状态的SSID设置为允许广播,设备工作时会不断发出SSID广播信息,使无线网覆盖环境下的用户终端设备都可以搜索到该网络名称。该特性虽然有利于合法用户找到网络,也为非法入侵提供了方便。将SSID设置为禁止广播,无线路由器停止发送广播信息,终端设备的网络搜索列表中不再出现该网络名称。这样该网络就像隐身了一样,不知其名称的人不能发现它的存在,是防止非法入侵的非常简便有效的办法。对合法用户而言,仍然可以通过手动输入正确的网络名称,找到并接入该网络。而且大多数终端设备都有记住网络名称的功能,只需输入一次,再次使用时能自动查找到可用的网络。在大大提高安全性的同时,对无线网接入的便捷性影响很小。
3.2 使用正确的安全验证方式
无线网协议引入了多种身份验证机制,用户在设置无线路由器,或者在使用终端设备接入无线网时也被要求选择安全性类型。常见的安全类型有:开放式(不加密)、WEP、WPA个人级、WPA2个人级、WEP企业级、WPA企业级和WPA2企业级[4],开放式一般不会使用。WEP(有线等效保密协议)、WPA(采用TKIP临时密钥完整性协议)和WPA2(采用AES高级加密标准)三者的安全性是逐步上升的,目前最安全的加密模式是WPA2。WEP的加密算法容易被破解,一般不要使用。但是需要注意的是,有些早期的无线网卡不支持WPA和WPA2,只能使用WEP。仅在硬件不支持的情况下使用WEP,只要设备支持,都应该使用WPA2。另外个人级和企业级的区别在于是否拥有专门的身份验证服务器,个人级的验证是直接在无线路由器上完成的,企业级的验证工作由专门的身份验证服务器完成。没有设置专门的身份验证服务器的无线网络应该使用WPA2个人级,具有专门的身份验证服务器的无线网络应该使用WPA2企业级。
3.3 MAC地址绑定
MAC地址绑定是局域网安全策略的常用手段,同样可以在提升无线网络安全性方面发挥作用。MAC地址也叫物理地址,由网络设备制造商生产时写在硬件内部,每个可无线上网的终端设备都有一个MAC地址。无线在路由器上启用MAC地址绑定功能,导入允许接入该网络的终端设备的MAC地址列表,能从根本上拒绝MAC地址列表以外的设备接入该无线网络。绑定MAC地址的是可靠性非常高的网络安全策略,不过其灵活性略有不足。在设置无线路由器时,需要提前获取所有允许接入的终端设备的MAC列表,将其写入无线路由器。如果出现新增的终端设备,也必须先在无线路由器上添加该新设备的MAC地址许可,之后该设备才能接入网络。这种办法成功阻止了非法设备接入,但也给合新设备接入带来了障碍,在具体使用时需要在安全性与便利性之间进行平衡。因此,这种方法一般适合终端设备比较固定,对安全性要求比较高的无线网络使用。
3.4 关闭DHCP服务
DHCP是动态主机配置协议,网络中的设备可以从DHCP服务器中获取IP地址、子网掩码、网关以及其他IP网络参数。关闭DHCP服务是局域网安全策略的常用手段,同样可以用在无线网上。关闭DHCP服务后,终端设备不能自动获得IP地地址等信息,需要手动配置[5]。这种办法有助于阻止非法设备接入,但合法用户也不能自动获取IP地址信息,需要手动输入,这对网络接入的便利性有一定影响,因此适用于规模不大,终端设备比较固定的无线局域网环境。
3.5 更改无线路由器管理端的默认设置
在防范无线网安全威胁方面,许多使用者都会修改缺省网络名称并设置密码,阻止非法接入,而无线路由器管理端的安全问题却容易被忽视。无线路由器往往没有专门的控制接口和线缆,通常采用web浏览器进行管理。不同品牌和型号的无线路由器管理地址、缺省用户名和密码非常相似,如多个路由器厂商的出厂管理地址是192.168.1.1或者192.168.0.1,缺省用户名是admin,默认密码是admin或者为空等。如果不修改管理端的默认设置,非常容易被猜出。管理端的大门一旦被非法打开,整个无线局域网完全暴露,其危害是最为严重的。因此,在第一次启用无线路由器进行管理设置时,就应该立即更改管理用户名和密码,必要时也应该更改管理地址,切不可长期使用缺省设置。
4 防止信号干扰
除非法接入威胁外,信号干扰也是无线网需要防范的安全问题。射频信号容易受到障碍物和同频段设备的影响,需要采取正确的措施防止信号干扰。
4.1 合理选址
因射频信号会受到障碍物的影响,在放置无线接入点或无线路由器时,需正确选址。①充分利用射频信号圆形覆盖的规律,尽量放置在使用区域的中心位置;②墙壁对射频信号影响很大,要尽量减少穿墙次数;③避免较障碍物的干扰,应放置高于障碍物的位置。
4.2 避开同频段设备
无线局域网使用的是免授权的工业、科学和医疗(ISM)频段的射频(RF)作为传输介质。常用的IEEE802.11b/g标准使用2.4 GHz频段,最新的802.11 n兼容2.4 GHz和5 GHz频段。无线网主要使用的2.4 GHz频段[6],与无绳电话、蓝牙设备和微波炉频段相同。当同频段的设备距离较近时,相互干扰非常严重。在部署无线接入点或无线路由器时,要尽量避开这些同频段设备。在使用无线网时,终端设备也尽可能远离这些容易造成干扰的设备。
5 结束语
从防范非法接入与防止信号干扰2个方面入手,将隐藏SSID、合理设置安全验证方式、更改路由器管理端默认设置、合理选址和避开同频段设备等措施综合使用,能有效提高无线局域网的安全性。随着无线网技术的不断发展,无线城域网和下一代移动互联网开始进入人们的生活并将得到越来越广泛的应用。在享受无所不在的便利网络的同时,无线网安全性问题面临更加复杂和的严峻的挑战,针对新问题的防范措施也需要进一步研究和探索。
[1]林 磊,肖 鹍.W LAN技术的发展应用及安全问题研究[J].科技信息,2012(3):150.
[2]任 伟.无线网络安全问题初探[J].信息网络安全,2012(1):11-13.
[3]BRIAN B,CHRISTIAN B,TONY B.无线网络安全[M].杨青,译.北京:科学出版社,2009.
[4]W AYNEL.思科网络技术学院教程CCNA E x ploration:LAN交换和无线[M].北京:人民邮电出版社,2009.3
[5]王 元,王 东,潘宏友.无线网络安全威胁与防范措施综述[J].中国无线电,2011(5):65-66.