无线网络安全性设计

只看该作者 · 2019-4-30 10:07

无线网络安全性设计

1 引言

传统的有线网络受设计或环境条件的制约，在物理、逻辑等方面普遍存在着一系列问题，特别是当涉及到网络移动和重新布局时，它无法满足人们对灵活的组网方式的需要和终端自由联网的要求。在这种情况下，传统的计算机网络由有线向无线、由固定向移动的发展已成为必然，无线局域网技术应运而生。作为对有线网络的一个有益的补充，无线网络同样面临着无处不在的完全威胁，尤其是当无线网络的安全性设计不够完善时，此问题更加严重。

2 无线网络所面临的安全威胁

　安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可以分为故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听，而不对其进行修改。主动威胁包括对信息进行故意的篡改。无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在无线网络中也存在，因此要继续加强常规的网络安全措施，但无线网络与有线网络相比还存在一些特有的安全威胁，因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说，无线网络所面临的威胁主要表现下在以下几个方面。

（1）信息重放：在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了*** 等保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗，进而对信息进行窃取和篡改。

（2）W E P **：现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP 信号覆盖区域内的数据包，收集到足够的WEP 弱密钥加密的包，并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量，最快可以在两个小时内攻破W E P 密钥。

（3）网络窃听：一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并**（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。

（4）假冒攻击：某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中，移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接，移动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。

（5）M A C 地址欺骗：通过网络窃听工具获取数据，从而进一步获得AP 允许通信的静态地址池，这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。

（6）拒绝服务：攻击者可能对A P 进行泛洪攻击，使AP 拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

（7）服务后抵赖：服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。

3 保证无线网络安全的机制与技术措施

　涉及到无线网络的安全性设计时，通常应该从以下几个安全因素考虑并制定相关措施。

（1）身份认证：对于无线网络的认证可以是基于设备的，通过共享的WEP密钥来实现。它也可以是基于用户的，使用EAP来实现。无线EAP认证可以通过多种方式来实现，比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在无线网络中，设备认证和用户认证都应该实施，以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输，从而保证用户认证信息交换是加密的。因此，对于所有的网络环境，如果设备支持，最好使用EAP-TTLS或PEAP。

（2）访问控制：对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性，有些访问控制服务器在802.1x的各安全端口上提供了机器认证，在这种环境下，只有当用户成功通过802.1x规定端口的识**才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符（SSID）是目前无线访问点采用的识别字符串，该标志符一般由设备制造商设定，每种标识符都使用默认短语，如101 即指3COM 设备的标志符。倘若黑客得知了这种口令短语，即使没经授权，也很容易使用这个无线服务。对于设置的各无线访问点来说，应该选个独一无二且很难让人猜中的 SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址，所以用户可以设置访问点，维护一组允许的MAC 地址列表，实现物理地址过滤。这要求AP 中的MAC 地址列表必须随时更新，可扩展性差，无法实现机器在不同AP 之间的漫游；而且MAC 地址在理论上可以伪造，因此，这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式，能有效保护网络安全。