2.3 无线网络安全技术基础

2.3.1 无线网络的安全风险和隐患

随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。无线网络的安全主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接收和使用。

无线网络在数据传输时以微波进行辐射传播，只要在无线接入点（Access Point，AP）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接收设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。

国际有关安全机构的最近一次调查表明，有85%的企业网络经理认为无线网络安全防范意识和手段还需要进一步加强。由于Wi-Fi的IEEE 802.11规范安全协议设计与实现缺陷等原因，致使无线网络存在一些安全漏洞和风险，黑客可进行中间人（Man-in-the-Middle）攻击、拒绝服务（DoS）攻击和封包破解攻击等。鉴于无线网络自身的特性，黑客很容易搜寻到一个网络接口，利用窃取的有关信息接入客户网络，肆意盗取机密信息或进行破坏。另外，企业员工对无线设备不负责任地滥用也会造成安全隐患和风险，如随意开放AP或随意打开无线网卡的Ad hoc模式，或误上别人假冒的合法AP导致信息泄露等，无线网络安全性问题已经引发了新技术研究和竞争。

2.3.2 无线网络AP及路由安全

1.无线接入点安全

无线接入点AP用于实现无线客户端之间的信号互联和中继，其安全措施包括以下几个。

（1）修改admin密码

无线AP与其他网络设备一样，也提供了初始的管理员用户名和密码，其默认用户名基本是admin，而密码大部分为空或者也是admin。其提供的各种系统管理员默认用户名和密码基本一致，如果不修改默认的用户密码，将给不法之徒以可乘之机。

（2）WEP加密传输

数据加密是实现网络安全的一项重要技术，可通过有线等效保密协议（Wired Equivalent Privacy，WEP）进行。WEP由IEEE制定，是IEEE 802.11b协议中最基本的无线安全加密措施，是所有经过Wi-FiTM认证的无线局域网产品所支持的一项标准功能，其主要用途如下。

1）防止数据被黑客途中恶意篡改或伪造。

2）用WEP加密算法对数据进行加密，防止数据被黑客窃听。

3）利用接入控制，防止未授权用户对其网络进行访问。

（3）禁用DHCP服务

启用无线AP的DHCP时，黑客可自动获取IP地址接入无线网络。若禁用此功能，则黑客将只能以猜测破译IP地址、子网掩码和默认网关等，以增加其安全性。

（4）修改SNMP字符串

必要时应禁用无线AP支持的SNMP功能，特别是对无专用网络管理软件且规模较小的网络。若确实需要SNMP进行远程管理，则需修改公开及专用的共用字符串。否则，黑客可能利用SNMP获得有关的重要信息，借助SNMP漏洞进行攻击破坏。

（5）禁止远程管理

对规模较小的网络，应直接登录到无线AP进行管理，无需开启AP的远程管理功能。

（6）修改SSID标识

无线AP厂商可利用SSID（初始化字符串），在默认状态下检验登录无线网络结点的连接请求，只要检验通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称，从而给黑客提供了可乘之机，使之以非授权连接对无线网络带来威胁。所以，在安装无线局域网之初，就应尽快登录到结点的管理页面，修改默认的SSID。

（7）禁止SSID广播

为了保证无线网络安全，应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID，即无法连接到无线网络。否则，再复杂的SSID设置也无安全可言。

（8）过滤MAC地址

利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站，将无权访问无线网络。无线网卡都有各自的MAC地址，可在结点设备中创建一张“MAC访问控制列表”，将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

（9）合理放置无线AP

将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱，还影响网络通信安全。另外，在放置天线前，应先确定无线信号覆盖范围，并根据范围大小将其放到其他用户无法触及的位置。

应将无线网络结点放在房间正中央，并将工作站分散在其结点周围，使其他房间的工作站无法自动搜索到无线网络，从而不易出现信息泄密。

（10）WPA用户认证

WPA（Wi-Fi Protected Access）利用一种暂时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）处理WEP所不能解决的各设备共用一个密钥的安全问题。WPA使用的密钥与网络上各设备的MAC地址及一个更大的初始化向量合并，确保各结点均用一个不同密钥流对其数据加密。之后TKIP采用RC4加密算法加密数据。与WEP不同，TKIP修改了常用密钥且包括完整性检查功能，可确保密钥安全，并加强了由WEP提供的不完善的用户认证功能，还包含对802.1x和EAP的支持。既可通过外部RADIUS服务对无线用户进行认证，也可以在大型网络中使用RADIUS协议自动更改和分配密钥。

2.无线路由器安全

由于无线路由器位于网络边缘，面临更多安全危险。不仅具有无线AP的功能，还集成了宽带路由器的功能，因此，可实现小型网络的Internet连接共享。除了可以采用无线AP的安全策略外，还应采用以下安全策略。

1）利用网络防火墙。充分利用无线路由器内置的防火墙功能，以加强防护能力。

2）IP地址过滤。启用IP地址过滤列表，进一步提高无线网络的安全性。

2.3.3 IEEE 802.1x身份认证

IEEE 802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机设备的端口，连接在该类端口）对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架，控制用户在认证通过后才可以连接网络。它本身并不提供实际的认证机制，需要和上层认证协议EAP配合实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，可与后台不同的认证服务器通信，如远程验证服务。

IEEE 802.1x认证过程如下。

1）无线客户端向AP发送请求，尝试与AP进行通信。

2）AP将加密数据发送给验证服务器进行用户身份认证。

3）验证服务器确认用户身份后，AP允许该用户接入。

4）建立网络连接后授权用户通过AP访问网络资源。

用IEEE 802.1x和EAP作为身份认证的无线网络，可分为如图2-6所示的3个主要部分。

1）请求者。运行在无线工作站上的软件客户端。

2）认证者。无线访问点。

3）认证服务器。作为一个认证数据库，通常是一个RADIUS服务器的形式，如微软公司的IAS等。

2.3.4 无线网络安全技术应用

无线网络在不同的应用环境对其安全性的需求各异。以AboveCable公司的无线网络安全技术为例，为了更好地发挥无线网络“有线速度、无线自由”的特性，该公司根据长期积累的经验，针对各行业对无线网络的需求制定了一系列的安全方案，在最大程度上方便用户构建安全的无线网络，节省不必要的经费。

1.小型企业及家庭用户

小型企业和一般家庭用户使用的网络范围相对较小，且终端用户数量有限，AboveCable的初级安全方案可满足对网络安全的需求，且投资成本低、配置方便、效果显著。此方案建议使用传统的WEP认证与加密技术，各种型号的AP和无线路由器都支持64位、128位的WEP认证与加密，以保证无线链路中的数据安全，防止数据被盗用。同时，由于这些场合的终端用户数量稳定且有限，手工配置WEP密钥也可行。

2.仓库物流、医院、学校和餐饮娱乐行业

在这些行业中，网络覆盖范围及终端用户的数量增大，AP和无线网卡的数量需求增多，同时安全风险及隐患也有所增加，仅依靠单一的WEP已无法满足其安全需求。AboveCable的中级安全方案使用IEEE 802.1x认证技术作为无线网络的安全核心，并通过后台的RADIUS服务器进行用户身份验证，有效地阻止未经授权的接入。

对多个AP的管理问题，若管理不当也会增加网络的安全隐患。为此，需要产品不仅支持IEEE 802.1x认证机制，同时还支持SNMP网络管理协议，在此基础上以AirPanel Pro AP集群管理系统，便于对AP的管理和监控。

3.公共场所及网络运营商、大中型企业和金融机构

在公共地区，如机场、火车站等，一些用户需要通过无线接入Internet、浏览Web页面或接收E-mail，所以安全可靠地接入Internet很关键。这些区域通常由网络运营商提供网络设施，对用户认证问题至关重要。否则，可能造成盗用服务等危险，对提供商和用户造成损失。AboveCable提出了使用IEEE 802.1x的认证方式，并通过后台RADIUS服务器进行认证计费。

针对公共场所存在相邻用户互访引起的数据泄露问题，设计了公共场所专用的AP——HotSpot AP。可自动记录连接到其所有无线终端的MAC地址，在转发报文的同时，判断该段报文是否发送给MAC列表的某个地址，若在列表中则中断发送，实现用户隔离。

对于大中型企业和金融机构，网络安全性是至关重要的首选问题。在使用IEEE 802.1x认证机制的基础上，为了更好地解决远程办公用户安全访问公司内部网络信息的要求，AboveCable建议利用现有的VPN设施，进一步完善网络的安全性能。

*2.3.5 Wi-Fi的安全性和措施

1.Wi-Fi的概念及应用

Wi-Fi（Wireless Fidelity）又称IEEE 802.11b标准，是一种可以将终端（计算机、PDA和手机）等以无线方式互连的技术。是由“无线以太网相容联盟”（Wireless Ethernet CompatibilityAlliance，WECA）所发布的业界术语，用于改善基于IEEE 802.11标准的无线网络产品之间的互通性。Wi-Fi主要有3个标准：较少人使用的802.11a、低速的802.11b和高速的802.11g。Wi-Fi有多种工作模式：AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。

Wi-Fi广泛应用于无线上网，支持智能手机、平板电脑和新型照相机等。实际上就是将有线网络信号转换成无线信号，使用无线路由器供支持其技术的相关计算机、手机和平板电脑等接收上网，节省流量费。Wi-Fi信号也需要ADSL、宽带和无线路由器等，如查询或转发信息、下载、看新闻、拨打VOIP电话（语音及视频）、收发邮件、实时定位和游戏等，很多机构都提供免费的Wi-Fi服务，如图2-7所示。

2.Wi-Fi特点及组成

Wi-Fi的特点可从9个方面体现：带宽、信号、功耗、便捷、节省、安全、融网、个人服务和移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆bit/s或几千兆bit/s，并通过802.11n标准将数据速率提高，以适应不同的功能和设备，通过802.11s标准将这些高端结点连接，形成类似互联网的具有冗余能力的Wi-Fi网络。

Wi-Fi是由AP和无线网卡组成的无线网络，如图2-8所示。一般架设无线网络的基本配备就是无线网卡和一个AP，便能以无线的模式配合既有的有线架构来分享网络资源，架设费用和复杂程序远远低于传统的有线网络。如果只是几台计算机的对等网，也可以不用AP，只需要每台计算机配备无线网卡。AP可作为“无线访问结点”或“桥接器”，主要当作传统的有线局域网络与无线局域网络之间的桥梁，因此任何一台装有无线网卡的PC均可通过AP去分享有线局域网络甚至广域网络的资源。

其工作原理相当于一个内置无线发射器的HUB或者是路由，而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。有了AP就像有线网络的HUB，无线工作站可快速与网络相连。特别是对于宽带使用，Wi-Fi更显优势，有线宽带网络（ADSL、小区LAN等）到户后，连接到一个AP，然后在计算机中安装一个无线网卡即可。若机构或家庭拥有AP，用户获得授权后，就可以共享方式上网。

3.Wi-Fi的认证种类

Wi-Fi联盟所公布的认证种类包括以下几个。

1）WPA/WPA2：WPA/WPA2是基于IEEE 802.11a、802.11b、802.11g的单模、双模或双频的产品所建立的测试程序。内容包含通信协定的验证、无线网络安全性机制的验证，以及网络传输表现与相容性测试。

2）WMM（Wi-Fi MultiMedia）：当影音多媒体通过无线网络传递时，验证其带宽保证的机制正常运作在不同的无线网络装置及不同的安全性设定上是WMM的测试目的。

3）WMM Power Save：在影音多媒体通过无线网络传递时，通过管理无线网络装置的待命时间延长电池寿命且不影响其功能性，可通过WMM Power Save测试验证。

4）WPS（Wi-Fi Protected Setup）：可让消费者通过更简单的方式设定无线网络装置，并保证一定的安全性。当前WPS允许通过Pin Input Config（PIN）、Push Button Config（PBC）、USB Flash Drive Config（UFD）、Near Field Communication和Contactless Token Config（NFC）的方式设定无线网络装置。

5）ASD（Application Specific Device）：是针对除了无线网络存取点（Access Point）及站台（Station）之外有特殊应用的无线网络装置，如DVD播放器、投影机和打印机等。

6）CWG（Converged Wireless Group）：主要是针对Wi-Fi mobile converged devices的RF部分测量的测试程序。

4.增强Wi-Fi的安全措施

无线路由器密码破解的速度取决于软件和硬件，只要注意在密码设置时尽量复杂些，即可增强安全性。此外，还可以采用以下几种设置方法。

1）采用WPA/WPA2加密方式，而不采用有缺陷加密方式，这是最常用的加密方式。

2）不用初始口令和密码，而用长且复杂的密码，并定期更换，不使用易猜密码。

3）无线路由器后台管理默认的用户名和密码一定要尽快更改并定期更换。

4）禁用WPS功能。现有的WPS功能存在漏洞，使路由器的接入密码和后台管理密码有可能暴露。

5）启用MAC地址过滤功能，绑定常用设备。经常登录路由器管理后台，查看并断开连入Wi-Fi的可疑设备，封掉MAC地址并修改Wi-Fi密码和路由器后台账号密码。

6）关闭远程管理端口和路由器的DHCP功能，启用固定IP地址，不要让路由器自动分配IP地址。

7）注意固件升级。一定及时修补漏洞升级或更换成更安全的无线路由器。

8）不管在手机端还是计算机端都应安装病毒检测安全软件。对于黑客常用的钓鱼网站等攻击手法，安全软件可以及时拦截提醒。

专家建议使用Wi-Fi安全防护措施。

讨论思考

1）无线网络安全管理的基本方法是什么？

2）无线网络在不同环境下使用时对安全性的要求分别是什么？

3）实际应用中增强Wi-Fi的安全方法具体有哪些？