家庭无线网络安全问题分析与解决

海峡科学

技术报告

HAIXIAKEXUE

家庭无线网络安全问题分析与解决

福建船政交通职业学院

[摘要]

陈敏

在信息时代，计算机网络得到普遍的应用，无线局域网以其新的发展优势，补充有线网络的一些不足，成为家庭布

网的新宠儿，但是接踵而来的安全问题造成众多家庭的困恼。该文通过分析无线网络的安全威胁，提供常见的安全技术，引导普通家庭进行基本的安全设置，从而实现家庭式无线网络的安全使用。[关键词]

无线网络

家庭

安全威胁

安全技术

安全工具

为标准的一半，并且该带宽是被AP所有用户共享的。如果受到来自有线网络用户发送的大量PING流量，或者是广播流量，这时候就会阻塞一个或者多个AP，整个无线网络的带宽将受到吞噬；另一种情况是攻击者可以在同无线网络相同的无线时延内发送信号，这样被攻击的网络就会通过CSMA／CA机制进行自动适应，同样影响无线网络的传输；最后一种情况，传输较大的数据文件或者复杂的Client／Server系统都会产生很大的网络流量。

1.5地址欺骗和会话拦截。由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP（AddressResolutionProtocol，地址转换协议）表变得混乱。通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被恶意攻击者使用。1.6高级入侵。一旦攻击者进入无线网络，它将成为进一步入侵其它系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部却非常脆弱，也容易受到攻击。无线网络通过简单配置就可以快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。

1.7控制发散区。无线网络工作时会广播出射频（RF）信号，信号将无线数据从一个访问点传输到无线网卡，也能从无线网卡传回。这种射频的发散区可能相当大，这具体取决于基本发射单元的位置及信号强度。虽然实体墙、金属梁和电线可能阻碍信号，但是与产品说明书所宣称的相比，实际发散区通常都要大得多。这样发散区的信号可能会泄漏到比实际服务区更远的地方，黑客还可以用一些工具和技术将信号放大，使其能够在更远的距离里也能攻击你的WLAN。

网络技术的不断进步使得无线网络以其新的发展优势成为当下家庭构建局域网的主流选择，但是无线网络的安全性问题也成为了WLAN应用过程中所要面对的最重要的问题之一。如何实现无线网络的安全使用是大多数家庭选择无线网络的一个关键影响要素。本文旨在通过分析无线网络的安全威胁，提供常见的安全技术，引导普通家庭进行基本的安全设置，从而实现家庭式无线网络的安全使用。

1无线网络的安全威胁

虽然无线网络的安全问题受到了各个网络设备厂商的高度重视，并且在他们的产品设计开发上也都做了种种努力，但是无线局域网还是被认为是一种安全得不到保证的网络，具体表现为：

1.1容易侵入。无线局域网非常容易被发现，为使用户发现无线网络的存在，网络必须发送有特定参数的信标账，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其它任何地方对网络发起攻击而不需要任何物理方式的侵入。

1.2非法的AP。无线局域网易于访问和配置简单的特性，使网络管理员和安全管理员非常头痛。因为任何人的计算机都可以通过自己购买的AP不经过授权而连入网络。很多用户未通过授权就自己搭建无线局域网，用户通过非法AP接入给网络带来了很大的安全隐患。

1.3未经授权使用服务。一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用网络资源，不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。

1.4服务和性能的限制。无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅

2无线网络安全技术

针对以上无线网络的危害，现有无线技术也提供了相应

2012年第2期（总第62期）29

家庭无线网络安全问题分析与解决

的对策，常见的无线网络安全技术有以下几种：2.1服务集标识符

通过对多个无线接入点AP(AccessPoint)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式，只要无线工作站在AP的任何范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

2.2物理地址过滤（MAC）

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。2.3连线对等加密（WEP）

在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）或128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。2.4Wi-Fi保护接入（WPA）

WPA(Wi-FiProtectedAccess)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为：根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为

302012年第2期（总第62期）

丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

2.5国家标准(WAPI)

WAPI（WLANAuthenticationandPrivacyInfrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO／IEC授权的机构IEEERegistrationAuthority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。

2.6端口访问控制技术（802.1x）

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。2.7虚拟专用网络（VPN）

虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义，因此它是一种增强性网络解决方案。

2.8终端安装防火墙

个人网络受到保护的同时，各工作站、PC机本身也安装防火墙软件，实现上层攻击的防患。2.9针对信号泄露的防范

一种较为简易的方法是控制访问点的物理位置，可以将AP放在办公室的中央位置，使发散区的范围在实际服务区的范围内；另一种方法是通过控制信号强度来决定信号的传输距离，有些AP设备可以通过软硬件的设置来控制信号强度。

海峡科学

技术报告

HAIXIAKEXUE

3家庭式应用的无线网络安全设置

3.1驱动器保护无线网络

在802.11a、802.11b、802.11g中内置有WEP（WiredEquivalentPrivacy）加密功能，由于加密的包比未加密的包更加难以读取，且WEP的密钥并不容易破解，所以使用WEP加密有足够的安全性。每个AP在出厂时都预先设置了网络名称、IP地址、管理员账户名称与密码等，这些出厂设置很容易被破解，我们在安装与设置的时候就需要对管理员账户名和密码作相关的更改，同时也对AP的初验IP地址进行更改，进一步保证AP的安全。3.2保护终端数据

Windows操作系统的默认安全性很低，特别是资源的共享安全性，所认必须更改设置，以提高安全性能保护终端数据。以操作系统WindowsXP为例，它没有一个选项来集中控制是否允许用户从网络访问计算机的共享文件和打印机，所以在运行这类操作系统的计算机上必须逐一关闭共享功能。通过点击目标后右击鼠标会显示快捷菜单，选择“共享与安全”项来设置关闭目标资源的共享功能。由于磁盘中的文件夹结构比较复杂，有时一个共享文件夹是深藏在磁盘中的某个位置，所以很难确定其路径，因此可以利用操作系统内置的控制台来确定磁盘中到底有哪些共享文件夹，执行“开始-运行”功能后输入fsmgmt.msc指令打开“共享文件夹”控制台，点击“确定”后打开“共享文件夹”控制台，在“共享文件夹”控制台左边树状目录中单击“共享”项目之后，可以查看本计算机所有共享的文件夹列表。“共享文件夹”表示文件夹的共享名，“共享路径”表示文件夹在磁盘中的位置。3.3系统防火墙功能

防火墙可以筛选所有经过网络的包，管理员通过设置防火墙的包筛选规则限制因特网对终端用户的访问，从而保护局域网内用户的安全。仍以WindowsXP操作系统为例，它内置的个人防火墙功能可以用于控制网络用户对计算机的访问，保护计算机的安全。运行WindowsXP的计算机可以启用简单的个人防火墙功能，内置的防火墙可以保护计算机免遭非法入侵，但是这个功能在默认时并未启用，用户可以通过执行以下操作来启动防火墙功能：打开无线网络的属性窗口后选择高级选项，可以显示Windows防火墙的设置项，点击设置按钮就可以对个人防火墙进行设置。在常规选项中首先要启用防火墙，在例外菜单中是针对系统中各应用程序和

服务的阻止设置，可以根据自身的需要进行需求设置。在高级菜单选项中可以对各网络连接的例外设置，还包括对安全日志的记录、ICMP的设置。其中安全设置可以根据需要对被丢弃的数据包和记录成功的连接进行记录，可以设置记录日志的文件路径和文件名，包括文件大小都可以设置。其中默认情况下是在C:\WINDOWS\pfirewall.log中查看安全设置，文件大小默认为4096K。3.4安装无线网络安全工具

除了系统本身的安全设置以外，为了进一步保障局域网机器的安全性，还可以选择安装防病毒软件如Norton，安装防火墙软件如瑞星等。NortonAntiVirus的防毒软件，每次运行都会实时监控内存、系统主引导扇区、引导扇区，若没有发现异常，就接着监控检查程序中是否存在病毒。发现异常或者发现带病毒程序，就会发出警告并且将当前系统禁止运行，提醒使用者退出系统进行杀毒，这一点在系统已经染毒，且第一次安装该软件时表现得尤为明显。为了能够进一步预防病毒的产生，NortonAntiVirus软件还提供了手动扫描、调度扫描、启动扫描、自动防护、疫苗及病毒定义文件等手段，使病毒侵袭的机会大大缩小。NortonAntiVirus还提供了实时升级功能，是通过LiveUpdate实现的。它有点类似于经理人的角色，斡旋于Symantec与用户之间，它会实时监视Norton产品的各方面信息，如果有了新的病毒定义，它就会通知系统去获得它们并得到新的病毒定义库，使系统认识新病毒，预防新病毒的侵袭。瑞星个人防火墙软件可以对系统的安全级别进行定义（分成高、中、普通三种级别），并且通过对系统的各个端口（TCP，UDP）的实时监控来观察是否被黑客攻击，受到攻击将会产生报警，以提示用户采用相应的防范措施。软件还能对内存中运行程序和应用程序进行信息包的监控与限制，进一步防止像木马这种驻留内存的信息获取程序。软件还能对系统中各应用程序的安全规则进行单独设置，防止黑客通过各通讯应用程序进行攻击。

参考文献：

[1](美)CyrusPeikariSethFogie﹒无线网络安全[M]﹒北京:电子工业出版社,

2004.

[2](美)ChristianBarnes等﹒无线网络安全防护[M]﹒北京:机械工业出版社,

2003.

[3]赵小林﹒网络安全技术教程[M]﹒北京:国防工业出版社,2002.[4]黄传河等﹒网络安全[M]﹒武汉:武汉大学出版社,2004.

2012年第2期（总第62期）31