家庭无线网络安全问题分析与解决摘要:在信息时代,计算机网络得到普遍的应用,无线局域网以其新的发展优势,补充有线网络的一些不足,成为家庭布网的新宠儿,但是接踵而来的安全问题造成众多家庭的困恼。该文通过分析无线网络的安全威胁,提供常见的安全技术,引导普通家庭进行基本的安全设置,从而实现家庭式无线网络的安全使用。关键词:无线网络;家庭;安全威胁;安全技术;安全工具前言网络技术的不断进步使得无线网络以其新的发展优势成为当下家庭构建局域网的主流选择,但是无线网络的安全性问题也成为了WLAN应用过程中所要面对的最重要的问题之一。如何实现无线网络的安全使用是大多数家庭选择无线网络的一个关键影响要素。本文旨在通过分析无线网络的安全威胁,提供常见的安全技术,引导普通家庭进行基本的安全设置,从而实现家庭式无线网络的安全使用。1无线网络的安全威胁虽然无线网络的安全问题受到了各个网络设备厂商的高度重视,并且在他们的产品设计开发上也都做了种种努力,但是无线局域网还是被认为是一种安全得不到保证的网络,具体表现为:1.1容易侵入。无线局域网非常容易被发现,为使用户发现无线网络的存在,网络必须发送有特定参数的信标账,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其它任何地方对网络发起攻击而不需要任何物理方式的侵入。1.2非法的AP。无线局域网易于访问和配置简单的特性,使网络管理员和安全管理员非常头痛。因为任何人的计算机都可以通过自己购买的AP不经过授权而连入网络。很多用户未通过授权就自己搭建无线局域网,用户通过非法AP接入给网络带来了很大的安全隐患。1.3未经授权使用服务。一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用网络资源,不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。1.4服务和性能的限制。无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。如果受到来自有线网络用户发送的大量PING流量,或者是广播流量,这时候就会阻塞一个或者多个AP,整个无线网络的带宽将受到吞噬;另一种情况是攻击者可以在同无线网络相同的无线时延内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;最后一种情况,传输较大的数据文件或者复杂的Client/Server系统都会产生很大的网络流量。1.5地址欺骗和会话拦截。由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP(AddressResolutionProtocol,地址转换协议)表变得混乱。通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被恶意攻击者使用。1.6高级入侵。一旦攻击者进入无线网络,它将成为进一步入侵其它系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部却非常脆弱,也容易受到攻击。1.7控制发散区。无线网络工作时会广播出射频(RF)信号,信号将无线数据从一个访问点传输到无线网卡,也能从无线网卡传回。这种射频的发散区可能相当大,这具体取决于基本发射单元的位置及信号强度。虽然实体墙、金属梁和电线可能阻碍信号,但是与产品说明书所宣称的相比,实际发散区通常都要大得多。这样发散区的信号可能会泄漏到比实际服务区更远的地方,黑客还可以用一些工具和技术将信号放大,使其能够在更远的距离里也能攻击你的WLAN。2无线网络安全技术针对以上无线网络的危害,现有无线技术也提供了相应的对策,常见的无线网络安全技术有以下几种:2.1服务集标识符通过对多个无线接入点AP(AccessPoint)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。2.2物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。2.3连线对等加密(WEP)在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。目前为了提高安全性,建议采用128位加密钥匙。2.4Wi-Fi保护接入(WPA)WPA(Wi-FiProtectedAccess)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。2.5国家标准(WAPI)WAPI(WLANAuthenticationandPrivacyInfrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。2.6端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。2.7虚拟专用网络(VPN)虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。2.8终端安装防火墙个人网络受到保护的同时,各工作站、PC机本身也安装防火墙软件,实现上层攻击的防患。2.9针对信号泄露的防范一种较为简易的方法是控制访问点的物理位置,可以将AP放在办公室的中央位置,使发散区的范围在实际服务区的范围内;另一种方法是通过控制信号强度来决定信号的传输距离,有些AP设备可以通过软硬件的设置来控制信号强度。3家庭式应用的无线网络安全设置3.1驱动器保护无线网络在802.11a、802.11b、802.11g中内置有WEP(WiredEquivalentPrivacy)加密功能,由于加密的包比未加密的包更加难以读取,且WEP的密钥并不容易破解,所以使用WEP加密有足够的安全性。每个AP在出厂时都预先设置了网络名称、IP地址、管理员账户名称与密码等,这些出厂设置很容易被破解,我们在安装与设置的时候就需要对管理员账户名和密码作相关的更改,同时也对AP的初验IP地址进行更改,进一步保证AP的安全。3.2保护终端数据Windows操作系统的默认安全性很低,特别是资源的共享安全性,所认必须更改设置,以提高安全性能保护终端数据。以操作系统WindowsXP为例,它没有一个选项来集中控制是否允许用户从网络访问计算机的共享文件和打印机,所以在运行这类操作系统的计算机上必须逐一关闭共享功能。3.3系统防火墙功能防火墙可以筛选所有经过网络的包,管理员通过设置防火墙的包筛选规则限制因特网对终端用户的访问,从而保护局域网内用户的安全。仍以WindowsXP操作系统为例,它内置的个人防火墙功能可以用于控制网络用户对计算机的访问,保护计算机的安全。运行WindowsXP的计算机可以启用简单的个人防火墙功能,内置的防火墙可以保护计算机免遭非法入侵,但是这个功能在默认时并未启用,用户可以通过执行操作来启动防火墙功能。3.4安装无线网络安全工具除了系统本身的安全设置以外,为了进一步保障局域网机器的安全性,还可以选择安装防病毒软件如Norton,安装防火墙软件如瑞星等。软件还能对内存中运行程序和应用程序进行信息包的监控与限制,进一步防止像木马这种驻留内存的信息获取程序。软件还能对系统中各应用程序的安全规则进行单独设置,防止黑客通过各通讯应用程序进行攻击。