张晓明

(太原大学 网络中心，山西 太原 030032)

无线局域网(WLAN)作为有线网络的补充，可以帮助有线网络进行全方位的覆盖以及弥补有线网络不可移动的缺点。因此，无线局域网已经成为了各大公司和企业必备的网络接入方式，甚至有些企业干脆不采用有线网络，整个公司全部采用单一的无线网络接入方式来组网，无线局域网在当下有着不可替代的作用。

1 无线局域网面临的隐患和危害

无线局域网按照组网规模的不同，可以分为家庭无线网络、热点应用、企业无线网络以及无线城市。

家庭无线网络:互联网发展迅速，同时拥有台式机、上网本、网络电视、智能手机的家庭用户越来越多，使用无线路由器来组建一个家庭局域网，使得这些设备可以随时随地的接入网络，成为了最佳的组网方案。

热点应用:越来越多的咖啡厅、餐厅、商场以及车站等地方，都为顾客提供了无线上网服务，利用热点应用使得在无线覆盖范围内的用户都能够通过匿名的方式访问网络，十分方便。

企业无线网络:不同规模的企业有着不同规模的无线网络应用，使企业网络具有移动办公、组网方便等特点。另外，有很多社区、高校也都提供无线局域网的服务。

无线城市网络:以覆盖整个城市为目标的无线网络，从国外到国内都有案例，这标志着一个城市网络发展的水平。

无论何种规模的无线网络，都面临着一定的安全隐患和危害。

1.1 无线网络的安全隐患

密码破解:无线网络的接入密码，是接入无线网络的最有力的凭证，也是蹭网者或者黑客攻击的首要目标。对于大多数的无线局域网而言，都可能会遇到自己的密码被破解的风险，一旦破解成功，非授权用户就能够使用无线网络，轻者损失带宽，重者遭受经济损失。

假冒客户端身份:连入无线局域网的第一步首先要配置正确的无线网络名称:SSID。一些非法入侵者为了达到访问企业中无线网络的目的，通过技术手段获取无线网络的SSID，伪装成正常的用户进行连接。

假冒网络端AP:入侵者将自己的计算机伪装成合法的网络AP 接入点，欺骗客户端在连接无线网络的时候连接自身计算机，从而进行信息窃取和篡改、入侵电脑等攻击。

1.2 无线网络攻击的危害

无线网络受到攻击，可能造成的主要危害有:

泄露网络资源:当有非法用户接入网络以后，网络内的资源如共享文档、文件服务器、日常的通讯记录都将一览无余。

泄露敏感信息:非法用户不仅可以获取网络内部的核心文档，还可以通过一定的技术手段获取企业内部的敏感保密信息，可能给企业造成致命打击。

消耗网络带宽:对于家庭用户和企业用户，非法用户的接入都会不同程度的消耗有限的网络带宽，对于带宽本就有限的家庭用户而言，影响会更大。

造成网络瘫痪:非法用户接入网络以后进行攻击行为，随意更改和删除一些公用的信息，或者使用黑客软件对网络内部的人员进行恶意攻击，会造成网络内部工作中的中断甚至瘫痪。

造成管理混乱:网络的日志审计系统不能够快速有效的防止外部人员发布的敏感话题，一旦从企业网络内部发表一些不健康的言论，将无从追查发布者，给整个网络造成管理上的混乱，后果非常严重。

2 无线局域网建设要点

无论是家庭普通用户还是企业用户，在组建无线局域网的时候，都应该从以下几个方面入手，解决WLAN 存在的安全隐患。

2.1 合理的规划无线网络

在组建无线局域网之初，应该认真规划，调研无线网络的主要用途，数据传输的级别，覆盖的范围，设备的规格，形成完整的规划。按照这个规划进行无线节点AP 的布置，接入的加密方式以及客户端访问的权限设置。

2.2 安全策略的确定

安全策略在WLAN 中的地位相当重要，基础建设再好，如果没有相对严密的安全策略，整个WLAN 的安全问题也得不到解决。

WLAN 在满足了建网的初始目标以后，应该尽可能的限制自身的无线覆盖范围，明确划分内部的重要网络和无线网络之间的作用区域，确保无线AP 和内部网络之间的安全访问，必要时需要采用物理隔离的办法。这样一旦无线网络出现问题，也不会危及内部网络的重要区域。

根据WLAN 的技术特点，安全策略的重点应该放在网络标识SSID、加密技术WEP、MAC 绑定和过滤等方面，综合考虑安全策略、硬件和软件相统一的防御体系。

2.3 部署入侵检测系统

对于预算充足的无线网络建设，应当部署WLAN 专用的入侵检测系统，可以对整个无线网络进行监控，分析判断有无异常现象。通过对WLAN 的性能和状态进行分析，能够第一时间通知网络管理人员进行相应的措施来阻止危害继续扩大。

3 无线局域网的安全策略

对于公共无线网络、家庭无线网络和企业无线网络，不同的网络由于建网的目的和用户都不相同，安全策略的制定也应该根据不同的情况有所变化，适应各自的特点。在制定安全策略时，应该着重在服务器端和客户端两个方面进行详细的设计。

3.1 公共场所的安全策略

公共场所建设WLAN 的目的是能够使位于其中的客户端方便的接入网络，一般不采用加密技术，是一种不安全的连接。大多数人在连接入网的时候，并没有采取相应的安全措施，身边的其他客户端有可能捕获自己的网络数据包，窃取自身的隐私，这些情况我们可能都没有发觉。

使用公共场所的WLAN，可能遇到的攻击有:

网络信息被窃取:在没有加密技术的网络面前，客户端登录网站所需要的用户名以及密码等敏感信息会完全暴露在网络中，只需要借助一些简单的黑客工具就有可能全部获取，对安全造成了很大威胁。

电脑被非法访问:在公共场合里，所有连接无线网络的电脑逻辑上都处于同一个网络里，大多数人并不主动去设置自身上网设备的安全性，任由自身的共享文件在网络中处于可被直接查看的状态。

非法热点劫持:网络黑客会利用一些设备和技术伪装无线接入点AP，这个AP 可以借助已有的无线网络提供间接上网功能。一些不明所以的用户通过此AP 享受了上网功能，同时留下了自己的上网资料，特别是网络购物或者理财的用户，更加危险。

由于公共场所WLAN 的特性，我们应该提高自身的安全性才能做到“免费的午餐也很好吃”。

公共场所WLAN 的安全策略:

访问安全性高的网站:访问使用SSL 技术的网站，可以对我们在登录和处理敏感信息的时候进行加密处理，能够确保客户端和网站之间信息传输的安全性。如果访问的网站没有SSL 等加密技术，可以使用公司提供的VPN 服务来访问公司的网络，或者使用一些加密软件来保证自己发送和接收的数据包不被他人侦听。

禁用共享功能:文件共享功能是方便在局域网中进行文件和数据传输的功能，在访问公共场合的无线网络里，完全没有必要开启此功能，以防止非法用户未经过我们的授权而访问我们的电脑设备。

关闭Ad hoc 功能:Ad hoc 模式的作用是两台电脑利用各自的无线设备进行互联。在公共场所的网络里，没有必要开启这个功能。

我们还可以开启防火墙和禁用网络发现等功能防止其他人利用公共网络对我们进行的非法访问。在我们感受到城市热点提供的网络便利的同时，同时要具备一定的防备意识。

3.2 家庭网络的安全策略

从家庭网络的使用情况来看，其威胁和隐患主要来自于家庭周围的邻居等固定人群。要确保家庭多台设备联网的安全性，必须要注意以下几个方面。

控制覆盖范围:根据无线信号直线传播，遇到障碍物信号减弱的特性，合理放置用于发射无线信号的路由器。争取在可以覆盖家里上网区域的同时，减少覆盖范围，这样能够减少非法用户扫描攻击我们的几率。

更改安全密钥:很多家庭在使用路由器的时候，并没有更改厂家默认的密码，导致非法用户简单猜测就能够连接上网核心设备，从而进行破坏。所以，要尽量设置复杂的登录密码，并且在无线网络访问中，也要设置复杂的认证加密密码，降低破解工具对无线网络暴力破解的几率。

改变设备的常规设置:设备默认的DHCP 和SSID 广播服务是开启的，这样其他用户只要搜索到网络SSID，不用猜测网络的IP 地址是多少，就可以了解网络的基本结构，降低了攻击者的难度，提高了风险。应该禁用DHCP 服务和SSID 广播服务，把路由器本身的IP 地址更改，能够大大增加攻击的难度。

绑定MAC 地址:在路由器上开启MAC 地址绑定功能，任何接入网络的设备一定是预先录入绑定的，这样能够直接封杀攻击者设备连接入网的机会。

3.3 企业网络的安全策略

企业网络拥有公共网络的开放性，同时具备家庭网络的封闭性，不同的是在企业内部有不同的部门，网络数据的功能和重要性也有不同。针对企业无线网络安全性的策略，除了要像公共网络和家庭网络那样详细设置以外，还需要注意以下几个方面。

特殊部门的隔离:企业内部的一些部门(如财务部)不能够和其他部门进行数据交换，至少在局域网之内应该隔离开，在布置无线局域网的时候，就应该考虑这些部门的网络与其他部门网络之间的屏蔽。如果有必要，禁止这些特殊部门的无线网络连接。

加密技术:企业的无线网，需要更加可靠地加密技术来保障接入的安全性。WEP 技术对于家庭用户来讲，40 位的算法已经够用了，而对于企业来讲，需要128 位甚至更高的算法来保障其安全性，或者采用更加稳定安全的WPA 加密算法。

4 小结

不论是哪一种无线网络，提供便利的上网条件很重要，但是网络的安全更重要。在无线网络的安全性建设方面，不仅需要依靠网络管理员合理有效的运用各种安全技术对网络进行层层保护，更需要我们每一个人加强自身的防范意识和网络知识，对网络安全的检查以及网络安全的培训进行全员普及才是根本。