无线局域网安全性解决方案姓名：x 一、前言传统的计算机网络由有线向无线、由固定向移动的发展已成为必然，无线局域网技术应运而生。

作为对有线网络的一个有益的补充，无线网络同样面临着无处不在的完全威胁，尤其是当无线网络的安全性设计不够完善时，此问题更加严重。

企业无线网络的使用已经是相当普及了，我们对于企业无线网络安全性就应该提高其使用效率，在这种情况下，我们使用无线网络就应该作为对有线网络的一个有益的补充，无线网络同样面临着无处不在的完全威胁，尤其是当无线网络的安全性设计不够完善时，此问题更加严重。

二、无线局域网安全的演变无线网络在安全性方面，先天就比有线网络脆弱虽然有线网络也存在很多安全问题。

这是因为无线信号以空气为介质，直接向四面八方广播，任何人都可以很方便的捕获到所传输的信息，或者说被信息捕获到。

而有线网络具有比较密闭的载体网线，虽然网线也不是很硬，但是起码我没见过有人通过剪断网线来截取资料。

经过多年的努力，无线网络的安全性逐渐发展，具备了不亚于有线网络的安全性，下面将逐步介绍。

需要注意的是，这里说的安全性，是指网络协议本身的安全性，而不涉及到具体的操作系统和具体的应用。

因为对于具体的系统和应用来说，协议层的安全是基础，系统以及应用安全处于更上层。

对于任何载体来说都是一样的，与载体无关。

1、无安全措施最初的无线网络，还没有采取任何的保密措施，一个无线网络就相当于一个公共的广场，任何人都可以直接进入。

这是由它的使用领域决定的，当时无线网络主要用来进行条形码扫描等等，只需要考虑灵活方便，不去关注安全问题。

随着使用范围越来越广，一些比较敏感的信息需要通过无线网络传输，IEEE开始制定了初步的安全协议，防止信息被恶意攻击者轻易截获。

WEP 是无线网络最开始使用的安全协议，即有线等效协议，全称为Wire Equal Protocol，是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能。

WEP提供基本的安全性保证，防止有意的窃听，它使用一套基于40位共享加密密钥的RC4对称加密算法对网络中所有通过无线传送的数据进行加密，密钥直接部署在AP和客户端，不需要公开传输，从而对网络提供基本的传输加密。

现在也支持128位的静态密钥，对传输加密的强度进行了增强。

WEP也提供基本的认证功能，当加密机制功能启用后，客户端尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用预先保存的共享密钥将此值加密后送回AP以进行认证比对，如果与AP自己进行加密后的数据一致，则该终端获准联入网络，存取网络资源。

WEP协议存在非常多的缺陷，主要表现在密钥管理，传输安全等方面。

首先，终端密钥必须和AP密钥相同，并且需要在多台终端上部署，用来进行基本的认证和加密。

密钥没有统一管理部署的能力，更换密钥时需要手动更新AP和所有的终端，成本极大。

倘若一个用户丢失密钥，就会殃及到整个网络的安全性。

其次，在数据传输方面，RC4加密算法存在很多缺陷，攻击者收集到足够多的密文数据包后，就可以对它们进行分析，只须很少的尝试就可以计算出密钥，接入到网络之中。

常见的网络嗅探工具，比如WireShark就具有捕获无线网络数据的能力，破解WEP算法的工具也非常常见，比较著名的就是Aircrack，包含在Auditor Security Collection LIVE CD工具盘中。

此工具盘中包含有Kismet、Airodump、Void11、Aireplay和Aircrack等多个工具，是一套完整的攻击工具。

最后，WEP 中的数据完整性检验算法也不够强壮，WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。

CRC-32是信息的线性函数，攻击者篡改加密信息后，可以很容易地修改ICV，通过解密端的检验。

WEP只是一种基本的认证和传输加密协议，不适合在企业级环境中使用，现在一般使用在不注重安全性，且终端数目少的家庭网络中。

2、无线网络所面临的安全威胁安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。

安全威胁可以分为故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。

被动威胁包括只对信息进行监听，而不对其进行修改。

主动威胁包括对信息进行故意的篡改。

无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在无线网络中也存在，因此要继续加强常规的网络安全措施，但无线网络与有线网络相比还存在一些特有的安全威胁，因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。

总体来说，无线网络所面临的威胁主要表现下在以下几个方面。

(1)信息重放：在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。

对于这种攻击行为，即使采用了VPN 等保护措施也难以避免。

中间人攻击则对授权客户端和AP 进行双重欺骗，进而对信息进行窃取和篡改。

(2)W E P 破解：现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP 信号覆盖区域内的数据包，收集到足够的WEP 弱密钥加密的包，并进行分析以恢复W E P 密钥。

根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量，最快可以在两个小时内攻破W E P 密钥。

(3)网络窃听：一般说来，大多数网络通信都是以明文(非加密)格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。

由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。

(4)假冒攻击：某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。

这是侵入某个安全防线的最为通用的方法。

在无线网络中，移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接，移动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。

(5)M A C 地址欺骗：通过网络窃听工具获取数据，从而进一步获得AP 允许通信的静态地址池，这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。

(6)拒绝服务：攻击者可能对A P 进行泛洪攻击，使AP 拒绝服务，这是一种后果最为严重的攻击方式。

此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

(7)服务后抵赖：服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。

这种威胁在电子商务中常见。

3、 WPA保护WPA（Wi-Fi Protected Access）技术是IEEE在2003年正式提出并推行的一项无线局域网安全技术，其目的是代替WEP协议，成为一个可提供企业级安全的无线网络认证传输协议。

WPA是IEEE802、11i的子集，是在802、11i实施之前的一个临时过渡协议，其核心就是IEEE802、1x和TKIP。

其中802、1x是基于端口的认证协议，TKIP则提供高安全级别的传输加密和完整性检测功能，组成一个完整的解决方案。

1)802、1x认证控制技术802、1x协议是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。

该协议定义了认证和授权，引入了PPP协议定义的扩展认证协议EAP。

EAP（扩展认证协议）本身不提供认证功能，而是提供一个可扩展的基本认证框架，各公司可以在此框架的基础之上发展出各种各样的认证协议。

比如EAP-TLS，PEAP，TTLS，LEAP，EAP-MD5等各种认证协议，这些协议主要由微软，思科，3com等公司提出并实现。

在使用802、1x端口控制技术的无线网络中，当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802、1x的认证结果。

认证通过上述的各种扩展认证协议进行，如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。

802、1x提供一种灵活可信的认证控制技术，可以使用各种扩展认证协议，包括证书和动态口令在内，因此是一种可以信赖的认证方法。

2)TKIP加密协议WPA采用TKIP（Temporal Key Integrity Protocol）为加密引入了新的机制，在用户连接到AP，认证服务器接受了用户身份之后，使用802、1x产生一个唯一的主密钥处理会话。

然后，TKIP把这个密钥通过安全通道分发到AP和此用户的客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。

TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。

由于使用了动态密钥来进行传输加密，且密钥长度有了增强，因此TKIP加密传输几乎不可能被破解。

在消息完整性检测方面，TKIP除了和WEP一样继续保留对每个数据分段进行CRC校验外，还为每个数据分组都增加了一个8个字节的消息完整性校验值。

这和WEP对每个数据分段进行ICV校验的目的不同：ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是攻击者可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。

而TKIP则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。

当MIC发生错误的时候， WPA会采取一系列的对策，比如立刻更换密钥、暂停活动等，来阻止攻击。

WAP协议在认证和传输，以及完整性检测方面，达到了很高的安全级别，满足了普通企业的需求。

同时，802、1x认证技术，认证数据可以方便的统一管理，降低了部署难度。

因此WPA适合于一般的企业级应用。

4、 IEEE802、11i保护以及WAPI802、11i是IEEE最新的无线网络安全协议，包含802、1x认证技术，TKIP和AES（Advanced Encryption Standard）加密技术。

而WAPI则由中国提出，采用公开密钥密码体制，利用证书来对无线局域网中的终端和AP进行认证。

对这两种最新的协议我并没有完全理解，就不多说了，可以参考《解析新一代安全技术IEEE802、11i、WPA和WAPI》一文。

5、其他安全技术这里的其他安全技术主要是指SSID，MAC地址过滤等技术，这些技术由于不适合企业级应用，并且安全性不高，理解容易，这里就不多提了。

三、无线网络安全性解决方案不同规模的无线网络对安全性的要求也不相同。

对小型企业和一般的家庭用户来说，因为其使用网络的范围相对较小且终端用户数量有限，因此只需要使用传统的加密技术就可以解决了。

如果进一步采用基于MAC地址的访问控制就能更好地防止非法用户盗用。