无线局域网的安全措施

2.2.7　无线局域网的安全措施

（1）采用有线等效加密WEP（Wired Equivalent Privacy，有线等效加密）技术防止未授权用户登录。该加密技术是对无线网络上的流量进行加密的一种标准方法。是所有经过WIFI认证的设备都支持该安全协定。它采用64位或128位加密密钥的RC4加密算法，保证传输数据不会以明文方式被截获。通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。一些无线设备商为了方便安装产品，交付设备时关闭了WEP功能，这给黑客利用无线嗅探器直接读取数据创造条件。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的服务者身份SSID，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。

采用破解十分困难的128位的WEP，同时也要定期地更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，目前Windows XP本身就提供了这种支持，图书馆网络管理员可以选中WEP选项“自动为我提供这个密钥”。

（2）改变服务标识符并且禁止SSID（Service Set Identifier，服务标识符）广播。SSID是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。因此，知道这些标识符的黑客可以很容易不经过授权就享受这些无线服务。图书馆把每个无线接入点设置成一个唯一并且难以推测的SSID。并且还应该禁止图书馆的SSID向外广播。这样，图书馆的无线网络就不能够通过广播的方式来吸纳更多用户。

（3）静态IP与MAC（Media Access Controller，物理地址）地址绑定。无线路由器或AP在分配 IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为图书馆里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。

（4）采用VPN（Virtual Private Network，虚拟专用网）技术。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。VPN协议包括第二层PPTP/L2TP协议及第三层的IPsec协议。IPsec 是标准的第三层安全协议，用于保护IP数据包或上层数据，可自定保护方式和需保护的数据流，以及将所受保护的数据流转发给谁。目前许多无线局域网的用户已经广泛采用VPN技术。VPN主要采用隧道（Tunneling）技术、加解密（Encryption ＆ Decryption）技术、密钥管理（Key Management）和交换技术、身份认证（Authentication）技术来保证安全。

①隧道技术。所谓隧道其实是对信息结构进行变换的一种封装技术，它将传输的数据信息经过加密和协议封装后嵌入另一种协议的数据包后再进行传输，实现了跨越公共网络的私有数据的安全传送。

②加解密技术。为了确保VPN传送数据时，不会被非法获取者窃取或篡改，要对数据包进行加密，保证到达目的地时，再由合法的用户解密数据包。这其中包括对密钥的加密和对认证证书的加密。常用的数据加密和数据认证算法主要有:DES、3DES、RC5、MD5、HMAC等。

③密钥管理和交换技术。主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与IKE两种。与SKIP相比，IKE因其灵活性，能适应不同的加密密钥，而被IETF采用并成为首选的密钥管理标准。

④身份认证技术。用户双方首先要确认对方真实身份，然后才建立隧道进行数据通信。最常用的是使用者名称与密码或卡片式认证等方式。主要的认证方式有用户口令认证、令牌卡认证、X.509数字证书认证等。

（5）无线入侵检测系统IDS（Intrusion Detection System，入侵检测系统）。入侵检测系统已用于无线局域网，用来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。目前应用于无线局域网安全检测的技术主要分为误用检测和异常检测以及协议分析等。

①误用检测（Misuse Detection）:设定一些入侵活动的特征，通过现在的活动是否与这些特征匹配来检测。常用的检测技术有:专家系统，基于模型的入侵检测方法、简单模式匹配和软计算方法。

②异常检测:假设入侵者活动异常于正常的活动，为实现该类检测，通常建立正常活动的“规范集（Normal Profile）”。当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点是不受系统以前是否知道某种入侵的限制，能够检测新的入侵行为，目前常用的是统计方法。

③新一代的检测模式:协议分析技术。它利用网络通信协议的高度规则性，捕获数据包，分析网络数据包，确认数据包的协议类型，利用相应的命令解析程序分析数据包的数据。协议分析方法不仅能够检测到网络入侵的存在，而且它能够指出当前不正确、不安全的网络配置，检测网络中的故障，为网络维护管理提供参考。协议分析方法的入侵检测准确性高、误报率低、系统资源开销小、反规避能力强，是一种基于状态的分析方法，可以有效地检测入侵的来源。

（6）采用新的安全标准IEEE 802.1li。IEEE 802.1li 对网络的认证和授权提出了很高的安全要求，主要包括:

①防止秘密信息被窃听；

②抗重放攻击；

③能够避免中间人攻击；

④能够防止词典攻击；

⑤能够保证信息的完整性等。

采用新一代无线安全技术IEEE 802.1li 可以进一步加强无线网络的安全性和保证不同无线安全技术之间的兼容性。

（7）采用身份验证和授权。当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，就可以尝试建立与AP关联。目前，有三种方法在用户建立与无线网络的关联前对他们进行身份验证。

①开放身份验证。通常访问者只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证在于没有其他的保护或身份验证机制，也就是说图书馆的无线网络将是完全开放的。

②共享机密身份验证机制。类似于“口令——响应”身份验证系统，这是在STA与AP共享同一个WEP密钥时使用的。 STA 向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。由于口令是通过明文传输给STA的，因此如果有人同时截取口令和响应，那么就可能找到用于加密的密钥。

③采用其他的身份验证/授权机制。使用802.1x，VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可使攻击者几乎无法获得访问权限。

（8）其他安全措施。除了以上叙述的安全措施手段以外，还可以采取一些其他的技术，例如:

①设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容。

②保护接入点，将接入点隐藏在不容易被发现的地方，防止被非法篡改，并控制无线电波传播范围，防止无线电波“泄漏”到站点之外。

③使用扩频、跳频无线传输技术，使未授权者难以捕捉到有用的数据。

④在WLAN 和有线网络之间安装防火墙，阻止非授权的WLAN 用户向有线网络发送二层数据包。

⑤设置严密的用户口令及认证措施，防止非法用户入侵，包括网络隔离和网络认证措施、操作系统和系统软件及应用层面的口令及验证制度。

⑥加强内部人员管理，防治信息外泄以及对馆内网络管理人员进行安全方面的培训等。