中文XML论坛--计算机光盘软件与应用2010年1期-谈威胁无线网络安全的途径与防范措施

《计算机光盘软件与应用》杂志征稿函
《计算机光盘软件与应用》杂志是由中国科学院主管、大恒电子出版社主办的国内外公开发行的综合性国家级学术期刊。本刊致力于创办以创新、准确、实用为特色，突出综述性、科学性、实用性，及时报道国内外计算机技术在科研、教学、应用方面的研究成果和发展动态，为国内计算机同行提供学术交流的平台。

联系人：刘编辑
电话: 010-67626884
邮箱：jsjzzs@gmail.com

文 / 芦艳芳吴娜

随着无线网络技术的飞速发展和商业化普及，无线网络正在成为
单位局域网络的重要组成部分。由于无线网络的微波信号在空气中进
行数据信息传输的时候，受自然天气情况、建筑物障碍，以及与其他
微波信号的相互干扰等原因都可以导致无线网络信号的中断、衰减，
从而影响无线信号的稳定性，同时也影响者无线网络的安全性，所以
建立安全、稳定的无线网络是各单位网络部门必须考虑的问题，而无
线网络的安全性又是首要考虑的问题。
一、威胁无线网络安全的途径
（一）进行搜索攻击。NetStumbler 软件是第一个被广泛用来发
现无线网络的软件。很多无线网络是不使用加密功能的，或即使加密
功能是处于活动状态，如果没有关闭（wirelessAccessPoint，无线基
站)广播信息功能，AP广播信息中仍然包括许多可以用来推断出WEP
密钥的明文信息，如网络名称、SSID(SecureSetIdentifier，安全集标
识符)等可给黑客提供入侵的条件。
（二）网络接管与篡改。同样因为TCP/IP 设计的原因，某些欺骗技
术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接
管了某个AP，那么所有来自无线网的通信量都会传到攻击者的机器上，
包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。
（三）窃取网络资源。有些用户喜欢从邻近的无线网络访问互联
网，即使他们没有什么恶意企图，但仍会占用大量的网络带宽，严重
影响网络性能。
（四）泄露威胁包括窃听、截取和监听。即使网络不对外广播网
络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络
工具，如AiroPeek 和TCPDump 来监听和分析通信量，从而识别出
可以破解的信容。另外，还有其它一些威胁，如客户端对客户端的攻
击、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网
络带来风险的因素。
二、安全防护对策
（一）使用各种最新的身份认证措施来防止未经授权用户的访
问。无线信号都是在空气中传播的，那么也就难免会传播到其它一些
不希望到达的地方，只要是在信号覆盖范围内，那非法用户无需任何
物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法
终端接入以及数据的泄漏问题。
（二）利用网卡MAC 地址来防止非法AP 的接入访问。每块无
线网卡都拥有唯一的一个MAC 地址，如果我们为AP 设置一个基于
MAC 地址的Access Control（访问控制表），就可确保只有经过注册
的设备才能进入网络。预防非法AP 的接入访问，可以利用对AP 的
合法性验证以及定期的站点审查来防止。
（三）无线网络设备典型情况下都包括WEP 或WPA 加密。这
两种加密形式都有助于保护网络，但WPA 要比WEP 更加健壮和安
全。为了实施WPA 或WEP，用户需要在无线网络的所有无线设备
上都输入一个加密密钥，一般情况下，产品的用户手册都会包括一个
如何配置加密密钥的详细指南。简言之，基本的安全要求用户至少考
虑以下几个方面：互联网和本地网络之间有一个NAT 防火墙；启用
MAC 地址过滤；启用了无线客户端的WPA 或WEP 加密吗。
（四）建议禁用DHCP 和SNMP 设置。从禁用DHCP 对无线网
络而言，这很有意义。如果采取这项措施，黑客不得不破译你的IP
地址、子网掩码及其它所需的TCP/IP 参数。无论黑客怎样利用你的
访问点，他仍需要弄清楚IP 地址。而关于SNMP 设置，要么禁用，
要么改变公开及专用的共用字符串。如果不采取这项措施，黑客就能
利用SNMP 获得有关你方网络的重要信息。
（五）反病毒软件。反病毒软件的基本功能是相同的，但用户至
少需要考虑以下几个方面：这种软件支持自动更新从而便于检测新病
毒的时间；扫描病毒的速度如何；它可以扫描并清理即时通信程序的
附件；它附带一个软件防火墙；病毒的清除要求用户的参与。
（六）软件防火墙。防火墙管理着通过这些端口的通信，它可以
阻止，或放行，有时它会问用户是否希望准许一个将要打开的连接?
多数防火墙包括一个通用的规则集，它准许用户设置准许什么、禁止
什么类型的通信。
（七）硬件防火墙。许多路由器都内置了硬件防火墙。硬件防火
墙利用其自己的处理器进行端口过滤和加密任务，这意味着几乎不太
可能耗尽计算机中的资源，这也就给用户们更佳的总体性能。还有一
些防火墙准许用户建立从互联网到LAN 的VPN 连接，这就使得用
户即使在路途中也可以访问自己的计算机。
三、网路的服务与管理。
（一）无线疏于防范。在网络中，对于无线网络的管理更应该加
强。虽然目前在无线安全保障机制方面包括有WEP 加密、VLAN、
VPN、802.1x，以及最新颁布实施的802.11i 无线网络安全标准等多
种方式，但稍有一丝疏忽，整个网络就会受到致命的破坏。
（二）无线网络的管理被很多单位建设者认为可有可无。众所周
知，在目前所出现的网络安全问题中，虽然病毒、DoS 攻击日益猖
獗，但80%以上的不安全因素来自于网络内部。在对有线网络的管
理上，由于其自身的成熟技术和意识已日趋完善，而对于无线网络，
存在着不经常使用，或只是使用很少的错误意识而忽视对其管理，这
样就容易造成与有线网络脱节，从而引起管理中的失误，形成整个网
络的不安全漏洞。因此，管理需要系统考虑。
总之，虽然无线网络自身技术中所存在的缺陷容易造成对其管理
上的缺陷，但要想真正管理好无线网络其实并不难，除了加强有线网
络自身的管理之外，从整个网络系统全面考虑网络的管理就足以使无
线局域网更加稳定可靠地运行。采用类似于对有线网络的管理方式，
通过监控整个无线局域网的运行状况，发现网络瓶颈和设备故障，方
便配置WLAN 设备，以及对网络资源进行合理分配即可实现对无线
网络的全面管理。
参考文献：
作者简介
芦艳芳（1978-），女，大学本科，讲师


	W 3 C h i n a ( since 2003 ) 旗下站点苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》	46.875ms