家庭无线网络安全问题分析与解决

家庭无线网络安全问题分析与解决

摘要:在信息时代，计算机网络得到普遍的应用，无线局域网以其新的发展优势，补充有线网络的一些不足，成为家庭布网的新宠儿，但是接踵而来的安全问题造成众多家庭的困恼。该文通过分析无线网络的安全威胁，提供常见的安全技术，引导普通家庭进行基本的安全设置，从而实现家庭式无线网络的安全使用。

关键词:无线网络；家庭；安全威胁；安全技术；安全工具

前言

网络技术的不断进步使得无线网络以其新的发展优势成为当下家庭构建局域网的主流选择，但是无线网络的安全性问题也成为了WLAN应用过程中所要面对的最重要的问题之一。如何实现无线网络的安全使用是大多数家庭选择无线网络的一个关键影响要素。本文旨在通过分析无线网络的安全威胁，提供常见的安全技术，引导普通家庭进行基本的安全设置，从而实现家庭式无线网络的安全使用。

1 无线网络的安全威胁

虽然无线网络的安全问题受到了各个网络设备厂商的高度重视，并且在他们的产品设计开发上也都做了种种努力，但是无线局域网还是被认为是一种安全得不到保证的网络，具体表现为：

1.1 容易侵入。

无线局域网非常容易被发现，为使用户发现无线网络的存在，网络必须发送有特定参数的信标账，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其它任何地方对网络发起攻击而不需要任何物理方式的侵入。

1.2 非法的AP。

无线局域网易于访问和配置简单的特性，使网络管理员和安全管理员非常头痛。因为任何人的计算机都可以通过自己购买的AP不经过授权而连入网络。很多用户未通过授权就自己搭建无线局域网，用户通过非法AP接入给网络带来了很大的安全隐患。

1.3 未经授权使用服务。

一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。

几乎所有的AP都按照默认配置来开启WEP进行加密或者使用网络资源，不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。

1.4 服务和性能的限制。

无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。如果受到来自有线网络用户发送的大量PING流量，或者是广播流量，这时候就会阻塞一个或者多个AP，整个无线网络的带宽将受到吞噬；另一种情况是攻击者可以在同无线网络相同的无线时延内发送信号，这样被攻击的网络就会通过CSMA／CA机制进行自动适应，同样影响无线网络的传输；最后一种情况，传输较大的数据文件或者复杂的Client／Server系统都会产生很大的网络流量。

1.5 地址欺骗和会话拦截。

由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP（Address Resolution Protocol，地址转换协议）表变得混乱。通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被恶意攻击者使用。

1.6 高级入侵。

一旦攻击者进入无线网络，它将成为进一步入侵其它系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部却非常脆弱，也容易受到攻击。

1.7 控制发散区。

无线网络工作时会广播出射频（RF）信号，信号将无线数据从一个访问点传输到无线网卡，也能从无线网卡传回。这种射频的发散区可能相当大，这具体取决于基本发射单元的位置及信号强度。虽然实体墙、金属梁和电线可能阻碍信号，但是与产品说明书所宣称的相比，实际发散区通常都要大得多。这样发散区的信号可能会泄漏到比实际服务区更远的地方，黑客还可以用一些工具和技术将信号放大，使其能够在更远的距离里也能攻击你的WLAN。

2 无线网络安全技术

针对以上无线网络的危害，现有无线技术也提供了相应的对策，常见的无线网络安全技术有以下几种：

2.1 服务集标识符

通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对

资源访问的权限进行区别限制。

2.2 物理地址过滤（MAC）

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。

2.3 连线对等加密（WEP）

在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。目前为了提高安全性，建议采用128位加密钥匙。

2.4 Wi-Fi保护接入（WPA）

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。

2.5 国家标准(WAPI)

WAPI（WLAN Authentication and Privacy Infrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。

2.6 端口访问控制技术（802.1x）

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

2.7 虚拟专用网络（VPN）

虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。VPN可以替代