单 良，赵艳丽

(1.黑龙江工业学院，黑龙江 鸡西 158100； 2.下车中学，江苏 连云港 222231)

企业无线网络安全问题探究

单 良1，赵艳丽2

(1.黑龙江工业学院，黑龙江 鸡西 158100； 2.下车中学，江苏 连云港 222231)

当3G、4G网络技术在个人终端市场大放异彩的时候，Wi-Fi等无线互联技术的出现也给企业用户带来了前所未有的便利。但与此同时，企业网络中不遵从总体安全策略而使用无线网络的现象给企业网络带来了潜在的安全风险。拟对企业无线网络安全隐患问题进行探究，并提出相应的解决措施，以期使企业无线网络更加安全。

Wi-Fi；安全策略；网络安全

人们习惯性地认为看得见摸得着的东西比较容易掌控，在对无线网络安全问题方面尤其如此。大多数中小企业用户通常不会在其部署的Wi-Fi网络中设置WPA(Wi-Fi Protected Access)或WEP(Wire Equivalence protection)安全认证与防护，许多用户仅仅将无线网络理解为一种可以方便实现网络连接的途径，根本不会过多地考虑安全问题。实际上，即使大型企业用户也不同程度地存在过于注重无线网络的便利性而忽视其安全性的现象，尤其是大型企业的个别分支机构或部门，在自行部署无线网络的过程中，可能会不知不觉地留下危及整个企业网络的安全隐患。

一 Wi-Fi网络为企业的发展带来的便捷

随着企业的日益发展壮大，企业在全球各地的员工对移动办公的要求日益高涨，而采用Wi-Fi网络技术，是解决移动办公问题的最好手段。因为目前几乎所有的移动终端全部支持Wi-Fi网络接口，而WLAN无线局域网在企业的建立使得人们将笔记本，PDA，无线的网络电话方便快速地连接到企业网络中，这无疑是对Wi-Fi的爆发产生了一个巨大的驱动力。另一方面相对于3G、4G的无线网络解决方案，Wi-Fi网络的价格则会便宜许多。因此对于一般布线困难的企业用户而言，若能使用无线网络，利用其灵活性、移动性好，安装便捷，易于网络规划和调整，故障定位容易，易于扩展等特点，则是再好不过的选择。

二 Wi-Fi网络的安全隐患及应对措施

当前越来越多的企业部署Wi-Fi网络，并利用其登录企业网络处理一些关键业务，这就对企业网络的安全和可靠性提出了更高的要求。而企业对移动办公需求的日益增长，加速了移动网络市场的发展。在这一发展过程中，安全问题成为企业审查网络发展策略的核心要素。多数企业认为，无线移动网络的安全性“非常”重要。在当今的企业Wi-Fi网络中，存在以下几种安全隐患值得大家注意。

1.非授权的接入方式。

企业中私自部署无线接入的现象是一个应当引起足够重视的问题，由这类问题引发的盗用企业的带宽资源或其他资源消耗威胁尚在其次，笔者认为真正的威胁来自于不安全的私设无线接入点，这些私设的无线接入点不但使得企业网络的有限带宽被非法接入者白白盗用，而且会造成企业网络的拥塞现象。更加严重的是使得原本脆弱的企业网络向各种病毒、木马程序和恶意攻击敞开了大门。

目前解决非授权接入方式有代表性的方案是利用传感器监控非法接入的无线网络设备的射频信号。如果企业网络内添加了无线接入点，该接入点接入网络并开始运行SSID(Service Set Identifier)信号广播时，传感器就可以及时察觉并立即通知网络维护人员，这样就可以有效防止非授权的网络接入方式。

2.无线电频率干扰。

几乎所有发射电磁信号的设备都会产生无线电频率干扰，影响一个无线网络的性能。这些设备包括无绳电话、蓝牙设备等。然而大多数企业并没有意识到Wi-Fi干扰的一个最大干扰源正是他们自己的Wi-Fi网络。要最大限度地减少无线电频率干扰的风险，在安装接入点之前要进行无线站点调查以检测是否存在干扰和对抗干扰的措施。

目前有三个解决无线电干扰的常用办法，其中包括降低物理数据传输率，减少受干扰AP的传输功率和调整AP的信道分配。在特定情况下，上述三种方法每一种都很有效，但是这三种方法没有一种能够从根本上解决无线电干扰这一问题。

3.地址欺骗和会话拦截。

众所周知802.11无线局域网是不对传输链路层的数据帧进行认证操作的，这使得攻击者可以通过ARP欺骗帧去重定向数据流，从而轻易获得网络中其它用户的MAC地址，这些地址可以被用来恶意攻击时使用。此外攻击者很容易装扮成AP进入网络，通过截获会话帧发现AP中存在的认证缺陷，这对无线网络使用者来说是致命的安全威胁。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

目前的解决方法是必须将无线网络同易受攻击的核心网络脱离开。即进行有效的网络隔离设置。

4.流量分析与流量侦听。

由于无线信号是以AP为中心在空气中发散传播，所以，使用各种无线网络分析仪可以不受限制地截获未加密的网络数据，而对于企业用户而言这种被动方式的网络监听是危险的。目前，管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。所以，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且早期，WEP非常容易被解密，硬件厂商为了避免攻击。作为防护功能的扩展，最新的无线局域网产品的防护功能比较之前更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥。这样使得攻击者在短时间内无法破获密钥。

目前的解决方案是采用可靠的协议进行加密。如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

5.服务和性能的限制。

由于物理层的开销，无线局域网的传输带宽是有限的，实际最高有效吞吐量仅为标准的一半，并且是AP所有用户共享带宽。无线带宽可能被几种方式吞噬：比如来自有线网络远远超过无线网络带宽的网络流量，如果攻击者使用Ping命令进行有针对性的攻击，就能轻易地吞噬AP有限的带宽;如果以广播报文进行发送，就会同时阻塞多个AP；攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输；另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。

目前的解决方案是进行网络检测，定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。

三 总结

Wi-Fi网络的出现提高了企业的办公效率，也带来了巨大的安全隐患。Wi-Fi技术为黑客侵入企业网络提供了便利。对于企业网络安全的管理者而言，是以建设高带宽、高质量、高安全、可管理的无线网络作为目标，使得无线局域网具备以太网的功能和稳定性，更加适合规模化应用，满足不同级别的用户对无线网络建设和应用的要求。所以当无线网络给我们的企业带来方便的同时，请大家一定不要忽视安全的重要性。我们相信无线网络市场将会有翻天覆地的变化，并且将迅速推动无线网络应用走上新的高度。

[1]孙友伟，张晓燕，畅志贤.现代移动通讯网络技术[M].人民邮电出版社，2012(4).

[2]高峰.无线城市电信级WI-FI网络建设与运营[M].人民邮电出版社，2011(1).

[3]张焕炯.通信系统安全[M].国防工业出版社，2012(9).

ClassNo.:TP393.08DocumentMark：A

(责任编辑：郑英玲)

HowtoGuaranteetheSecurityoftheWi-FiWirelessNetworkforEnterprises

Shan Liang，Zhao Yanli

( Heilongjiang University of Technology, Jixi, Heilongjiang 158100 ,China; Xiache Middle Scholl , Lianyungang, Jiangsu 222231 , China)

While the 3G and 4G network technology has been widely used in personal terminal ,Wi-Fi wireless Internet technology has brought much more benefits to the company user. But there are some problems for the enterprise networks in the safety strategies which has resulted in some potential risks in the business network .

Wi-Fi; security policy; network security

单良，硕士，讲师，黑龙江工业学院。

赵艳丽，中级，连云港市下车中学。

1672-6758(2013)09-0052-2

TP393.08

A