【正文】 無 線接 入點 A P 會向外廣播其 SS ID , 使其安 全性大幅度下 降 。 因為任何沒 有配置指定的 SS ID 的 無線終端也都可以收到該 A P 的 SS ID , 并接入 A P 這將繞過 SS ID 的安全功能 。 封閉式網(wǎng)絡(luò)則是 封 閉 A P 對 SS ID 的播報 ,無線局域網(wǎng)中的各個終 端 設(shè)備必 須知道所要接入的無線網(wǎng)絡(luò)標(biāo)識 SS ID , 才能夠接入無線局域 網(wǎng) ,否則用戶通過終端設(shè)備 根 本不會發(fā)覺這個區(qū)域具有無線局域網(wǎng)覆 蓋 。 (3) 支 持 MAC 地址過濾控 制 每個無線客戶端網(wǎng)卡都由唯一的物理地址標(biāo) 識 ,因此可以在 A P 中手工維護(hù)一組允許訪問的 MAC 地址列 表 ,實現(xiàn)物理地址過 濾 。MAC 過濾是 降低大量攻擊威脅的最簡單方法之 一 ,是能夠避 免 基本攻擊的網(wǎng)絡(luò)安全機制 。 16 (4) 支 持 W EP (有線等效保 密 ) 安全機 制 安全設(shè)計方案 當(dāng) L AN 中 安裝了無線 A P 的時候 , 整個網(wǎng)絡(luò) 就 開始 處于風(fēng)險之中 。 因此必須把 A P 放在網(wǎng)絡(luò) 中一個風(fēng)險盡可能小的位 置 。 應(yīng)該把無線網(wǎng) 絡(luò) A P 看作非信任設(shè) 備 ,并根據(jù)自己的具體情況防止在 網(wǎng) 絡(luò) 中 。 在高 度安全的無線網(wǎng)絡(luò)中應(yīng)該把 A P 放置 在非信任網(wǎng)段 中 ,這樣 ,即使攻擊者找到了網(wǎng)絡(luò)并 破解 了 W EP 也無法訪問重要數(shù) 據(jù) 。 僅僅依靠基本的安全機制并不能夠很好的防 范各 種 各 樣 的 攻 擊 , 可 以 通 過 使 用 虛 擬 專 用 網(wǎng) ( V PN) 來提供內(nèi)部網(wǎng)絡(luò)的連 接 。 (1) 虛擬專用 網(wǎng) ( V PN) 技 術(shù) 虛擬專用網(wǎng)是指用以替代專用網(wǎng)的一種廣域 網(wǎng) 技 術(shù) ,在一 個公共 IP 網(wǎng)絡(luò)平臺上通過隧道以及 加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全 性 ,目 前許多 企 業(yè) 以及運 營商已經(jīng)采用了 V PN 技術(shù) 。 V PN 可以 替 代連線對等 保密解決方案以及物理地址過濾解 決 方 案 。 采用 V PN 技術(shù)的另外一個好處是可以 提 供 基于 Radius 的用戶鑒別以及計費 。 V PN技 術(shù)是透明 運行在 WL AN 上的安全機制 ,因為 V PN 的使 用 獨 立 于 任 何 本 地 WL AN 方 案 , 不 屬 于 I EEE802 . 11 標(biāo)準(zhǔn)界定的 MAC 層的安全技術(shù) , 因 此 ,它是一種增強型的網(wǎng)絡(luò)解決方 案 。 V PN 方案已經(jīng) 廣泛應(yīng)用于 Inter 遠(yuǎn)程用戶 的 安全接 入 。 而 且 V PN 方案具有較強的擴(kuò)充 、升 級 性 能 ,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò) 。 V PN 服務(wù) 器實現(xiàn)的方法 很多 ,這里 ,考慮使用基于防火墻的 V PN 模 式 ,并采用雙重的防火墻進(jìn)行設(shè)置 。 其結(jié) 構(gòu)如 圖 1 所 示 : 圖 1 中可以看到 ,該網(wǎng)絡(luò)擁有兩個防火墻 ,一 個 防火 墻用于保護(hù)內(nèi)部網(wǎng)絡(luò) , 另一個防火墻面向 Inter 。 兩 個 防 火 墻 之 間 是 DM Z ( Demilitarized Zo ne) ,DM Z 是一個添加在 受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò) 之 間的 網(wǎng)絡(luò) ,以便提供另外一層的安全 。 V PN 則 位 于該 范圍內(nèi) 。 在外部面向 Inter 的防火墻上 添 加一個新 的網(wǎng)絡(luò)接口 。 創(chuàng)建一個新的網(wǎng)絡(luò)來容 納無 線 A P 和 17 無線用戶 ,并只允許他們同 DM Z 中 的 V PN 服 務(wù)器通信 。 這樣 , 攻擊者對 V PN 服務(wù) 器造成的威脅并不會影響到內(nèi)部網(wǎng) 絡(luò) 。 因 此 ,在 設(shè) 計 網(wǎng)絡(luò)的時候 決不允許外部連接直接連入到內(nèi)部 機器 上 。此 外 ,還應(yīng)該代理全部的對外連 接 ,這樣 做 可以讓攻擊者更難下 手 ,就算進(jìn)入也是無 功而 返 。 (2) 入侵監(jiān)測系 統(tǒng) ( IDS) 的接 入 除 此之 外在放置無線 A P 的相同網(wǎng)段也應(yīng)該 添 加 入 侵 監(jiān) 測 系 統(tǒng) ( IDS , Int rusion DetectionSystem)并為公共入侵監(jiān)測系統(tǒng)布置監(jiān)測器 ,這樣 有 助于提醒 自己可能發(fā)生的潛在威脅 。 如果攻擊 者獲得了訪問權(quán)并試圖掃描其他用 戶 ,就可以得 到 濫用的警 告 。 如果攻擊者正在掃描防火 墻 ,也可 以 馬 上知 道 。 這 就意味著 W EP 密鑰已經(jīng)被破解 ,需 要立即做出修 改 。 要正確維 護(hù) IDS ,經(jīng)常讀取警告 日 志 ,這樣才能 夠發(fā)現(xiàn)并防治攻 擊 。 通過安全策略進(jìn)行保 護(hù) 安全的網(wǎng)絡(luò)建立之 后 ,所要考慮的就是對網(wǎng) 絡(luò) 的 安全性的 時時更新 。 把安全策略看作一個活動 文 檔 ,而且能夠方便的修改和連續(xù)的更 新 。 安全 策 略中應(yīng)規(guī)定禁止 在內(nèi)部網(wǎng)絡(luò)中放置無線 A P 。 安全 策 略中還應(yīng)該 詳細(xì)描述的過程就是更新用戶工作 站 的 W EP 密鑰方法 。 可以通過手工更新每臺工 作 站 、加密電子郵件發(fā)送密鑰 等 。 進(jìn) 行“ 入侵駕 駛 ” 攻 擊 “ 入侵駕 駛 ” 攻擊使得攻擊者攻擊無線網(wǎng)絡(luò)變 得 更加容 易 ,攻擊者只要使用筆記本電腦 、無線網(wǎng) 絡(luò) 接口卡和無 線漫游就可以 對無線網(wǎng)絡(luò)進(jìn)行非法 訪 問 。 在這里使 用“ 入侵駕駛 ” 攻擊的目的則在于 通過攻擊查找所組建的網(wǎng)絡(luò)中是否還存在脆弱 性 , 也 可以通過攻擊認(rèn)清使用無線 A P 所存在的危險 性 ,了解認(rèn)真對待無線 A P 的安全性是非常關(guān)鍵 的 ,進(jìn)行定期的審計以避免將來的麻 煩 。 最佳安全性方案的實現(xiàn) 通過上述分析 ,最佳安全性方案應(yīng)該由以下幾 部分組成 : (1) 決定自己的需要。了解用戶的數(shù)量、工作的環(huán)境類型、預(yù)期的寬帶數(shù)量 ,并詳細(xì)說明保護(hù)內(nèi)容的安全標(biāo)準(zhǔn)。 (2) 檢查周圍的環(huán)境 ,判斷 AP 的最佳位置 。確保 AP 不會受到篡改 ,并確保 AP 盡量遠(yuǎn)離窗口。進(jìn)行事先的準(zhǔn)備工作 ,了解信號傳播的最大距離。 (3) 選購符合條件的 AP ,一定要支持 SSID 網(wǎng)絡(luò)接入控制 ,封閉式網(wǎng)絡(luò)功能 ,MAC 地址過濾控制和 128 位的 WEP。 (4) 重新改寫 AP 的全部初始缺省設(shè)置 ,確保使用新的 SSID 和密碼 ,禁止 AP 進(jìn)行 SSID 播報。 (5) 采用端口訪問技術(shù) (802. 1x) 進(jìn)行控制 ,防止非授權(quán)的非法接入和訪問。 (6) 組建網(wǎng)絡(luò) ,將 AP 放置在防火墻后 ,添加入侵監(jiān)測系統(tǒng)。 (7) 安裝并配置 VPN 服務(wù)器 ,決定其 在網(wǎng)絡(luò)中的精確位置 (8) 安裝 WEP 密鑰 ,更新安全策略 ,提供一個密鑰的安全的發(fā)布方法。 (9) 在實際運行之前 ,通過“入侵駕駛”攻擊手段測試系統(tǒng)的弱點。 (10) 聘請外部安全小組來對網(wǎng)絡(luò)進(jìn)行弱點測試。 18 附錄： VB版 rc4算法 Public Sub main() Dim key As String For i = 1 To 16 Randomize key = key amp。 Chr(Rnd * 255) Next i MsgBox RC4(RC4(Wele To Plindge Studio!, key), key) End Sub Public Function RC4(inp As String, key As String) As String Dim S(0 To 255) As Byte, K(0 To 255) As Byte, i As Long Dim j As Long, temp As Byte, Y As Byte, t As Long, x As Long Dim Outp As String For i = 0 To 255 S(i) = i Next j = 1 For i = 0 To 255 If j Len(key) Then j = 1 K(i) = Asc(Mid(key, j, 1)) j = j + 1 Next i j = 0 For i = 0 To 255 j = (j + S(i) + K(i)) Mod 256 temp = S(i) S(i) = S(j) S(j) = temp Next i i = 0 j = 0 For x = 1 To Len(inp) i = (i + 1) Mod 256 j = (j + S(i)) Mod 256 temp = S(i) S(i) = S(j) S(j) = temp 19 t = (S(i) + (S(j) Mod 256)) Mod 256 Y = S(t) Outp = Outp amp。 Chr(Asc(Mid(inp, x, 1)) Xor Y) Next RC4 = Outp End Function 總結(jié) 無線這個術(shù)語表示了某些不受拘束的 事物，這有助于理解無線技術(shù)帶給用戶的自由性和移動性。同時， 無線同樣意味著某些難以控制和保護(hù)的 事物。所有這些聯(lián)想都是 有依據(jù)的。無線確實幫助人們打破了有線世界的 地理邊界，然而它還導(dǎo)致了 那些通過無線網(wǎng)絡(luò)傳送的信息易于受到未授權(quán)的訪問和 攻擊。 經(jīng)過這個畢業(yè)課題的訓(xùn)練，使我 全面的認(rèn)識無線網(wǎng)絡(luò)。 雖然我目前生活中無線并沒得到充分的普及， 但通過自己系統(tǒng)的學(xué)習(xí)和研究， 對無線安全技術(shù)的認(rèn)識和理解不斷加深。 在無線網(wǎng)絡(luò)設(shè)計上有了更深的認(rèn)識。 20 參考文獻(xiàn) [1]. Merrittamp。，北京：人民郵電出版社 [2]. 牛偉 .無線局域網(wǎng)，北京： 人民郵電出版社 ， [3]. 孫龍杰 .移動通信與終端設(shè)備 [M]. 北京 : 電子工業(yè)出版社 ,2021 [4]. [ 美 ]J am e s D. Solom n 著 . 移動 IP. 北 京 : 機械工 業(yè)出版社 , 2021: 31～ 112 [5]. 樓穎明 ,羅漢文 . 802 . 11 無線局域網(wǎng)的安全方案分 析 J . 通信技術(shù) ,2021 , (9) [6]. Tara M . Swaminat ha , Charles R. Elden. Wireless Securit y and Privacy : Best Practices and Design Techniques M . 2021 21 致謝 首先，我要感謝我的指導(dǎo)教師許婭麗老師！感謝許老師抽出他寶貴的時間與我們共同討論交流，使我們受益匪淺！同樣要感謝給予的我?guī)椭渌笥?。四年本科生活即將結(jié)束，回顧學(xué)習(xí)和生活上的點點滴滴，我感覺到是民族大學(xué)造就了我，感謝我的母校！還有尊敬的各位老師，他們在我的學(xué)習(xí)過程中給予了很大的幫助。