浅谈无线网络在企业应用中的安全性分析及解决方案

摘要：本文介绍了无线局域网在企业架设中的安全技术、安全现状及不足之处，结合相关产品进行了安全技术的分析，针对针对无线局域网面临的各种安全威胁，提出了几种解决方案，并从当前技术发展的实际情况出发分析了需要解决的问题等，以提高无线局域网的安全性。

关键词：无线局域网；漏洞；安全技术；解决方案

中图分类号：TN925.93 文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

一、引言

无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频技术，以无线信道作为传输介质，取代旧式碍手碍脚的双绞铜线所构成的局域网络。它是计算机网络与无线通信技术相结合的产物，具有安装便捷、节约成本、灵活性强、易于扩展、覆盖面大等优点。由于无线网络所特有的开放性，在一个无线局域网接入点的服务区域内，其传输的信号很容易被第三方截获，造成信息非法窃听、篡改等。安全隐患主要表现在以下几个方面：①未授权用户非法入侵②非法截获篡改数据③窃取未授权服务④地址欺骗⑤流量攻击。因此安全问题已成为影响无线局域网进一步扩充市场的主要障碍，其安全问题一直是业界研究的重点。

二、无线安全方式现状

（一）身份认证

用户认证主要包括MAC认证和WEB认证、基于802.1x认证。MAC认证通过未无线局域网手工创建一组允许访问或拒绝访问该网络的MAC地址列表，以实现地址过滤。这种认证方式要求地址列表及时更新，而且可扩展性差， 通过伪造MAC可以进入公司网络。WEB认证是三层认证方式，用户通过浏览器登陆认证系统，认证通过后进入公司网络。这种方式不需要安装客户端，易于实现。但是存在账号共用、容易仿冒等缺点。802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。802.1x体系结构包括三个主要的组件：请求方、认证方、认证服务器。在采用802.1x的无线LAN中，无线用户端安装802.1x客户端软件作为请求方，无线访问点AP内嵌802.1x认证作为认证方，同时它还作为Radius认证服务器的客户端，负责用户与Radius服务器之间认证信息的转发。802.1x认证优点在于：①802.1x协议专注受控端口的打开与关闭；②客户端IP数据包在二层普通MAC帧上传送；③采用Radius协议进行认证，可以方便与其他认证平台进行对接；

（二）用户安全

用户安全技术主要包括服务集标识符匹配（SSID）和有线对等保密协议（WEP）。SSID是一种网络标识方案，可以对多个无线接入点设置不同的SSID。系统根据无线工作站出示的SSID与AP进行匹配。WEP是IEEE802.11b协议中最基本的无线安全加密措施。其目的一是为访问控制：阻止那些没有正确WEP 密钥并且未经授权的用户访问网络。二是保密：仅仅允许具备正确WEP 密钥的用户通过加密来保护WLAN 数据流。WEP在传输上提供了一定的安全性和保密性，能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于：①全部报文数据采用校验和加密；②通过加密来维护一定的保密性，如果没有破解密钥，就难把报文解密；③WEP操作简单，容易实现；④WEP为WLAN应用程序提供了非常基本的保护。

（三）系统安全

通过安装无线入侵检测防御设备（WIDS）及时发现WLAN网络中的有意或无意的攻击，通过记录信息或日志方式通知网络管理员。现在WIDS主要包含以下功能：①非法设备扫描②恶意入侵扫描检测③无线用户接入管理。H3C WX3024系列WIDS支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测；同时支持多种认证方式；支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式。支持Portal认证，一些企业外部的客户希望使用无线网络，来访问Internet，很可能外部员工并没有安装例如802.1x客户端软件，这时，Portal认证提供了很好的认证方式。

（四）安全机制

WLAN在安全机制方面主要包括WEP、TKIP、802.1X三种方式。WEP在数据链路层采用串流加密技术达到机密性，并使用 CRC-32 验和达到资料正确性。WEP加密方式可以分别和Open system、Shared key链路认证方式使用。WEP适用于无线范围不大，终端数量不多的企业环境。WEP通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度，但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制，WEP加密还是存在比较大的安全隐患。TKIP也使用RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。TKIP用于增强pre-RSN硬件上的WEP协议的加密的安全性，其加密的安全性远远高于WEP。TKIP主要的缺点在于，尽管IV（Initial Vector，初始向量）改变但在所有的帧中使用相同的密钥，而且缺少密钥管理系统，不可靠。802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

三、企业无线网络安全策略安全分析

H3C公司的WX3024和WA2220-AG系列配合使用，为中小企业客户提供周到、简捷、方便的一体化接入方案。企业无线网络控制器采用具备千兆以太网交换机功能的WX3024一体化交换机作为无线数据控制和转发中心，放在企业的中心机房或者布线间，Fit AP则放到企业的各层天花板内，或者挂墙，甚至安装在室外。WX3024支持PoE+供电，因此无论是802.11a/b/g系列的传统AP，还是802.11n系列的AP，大多数情况下WX3024都能与这些Fit AP直接相连。Fit AP和WX3024交换机之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道。其网络拓扑结构如图所示。

（一）基于FIT AP解决方案

FIT AP和WX3024启用DHCP client功能，做到设备启动后自动获取ip地址，减少维护人员的配置，FIT AP必须能够支持自动获取IP地址，目前业界标准的做法是采用。AP启动以后会在其上行接口上通过DHCP client模块发起获取IP地址的过程。通过DHCP的协议交互FIT AP可以从DHCP server获取到以下信息：自身使用的IP地址、DNS server的IP地址、网关IP地址、域名、可接入的无线控制器的IP地址列表。此方案可以并满足企业对无线话音、视频等增值业务的需要，而且配置简单、维护方便、安全可控、更易扩展。

（二）无线入侵检测/防御

H3C WX3024系列多业务无线控制器可以自动监测WLAN网络中的非法设备，并实时上报网管中心最大程度地保护无线网络。WX3024可以实现防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁，又要防范内部威胁，既要防范来自用户端的威胁，又要防范网络端的威胁。对未授权的AP可以通过部署无线入侵检测来实现，通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测，检测WLAN网络中的rogue设备，上报管理中心，并对它们采取反制措施，最大程度地保护无线网络。对用户通过认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式，保证无线用户身份的安全性， 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性，防止未授权用户进入网络。WX3024通过对ARP报文进行合法性检测，转发合法的ARP报文，丢弃非法ARP报文，从而有效防御ARP欺骗。

（三）企业无线网络应用安全解决方案

由于企业各部门对网络需求不同，比如视频监控中心将公司各个视频监控数据通过wx3024传送到视频服务器，不需要连接互联网。而财务部则需要链接对银联服务器进行账务处理、票据打印等。这就对无线控制器提出了一系列不同级别的安全技术策略。

企业在认证方式上采用radius认证方式，可以大大提高无线网络的安全机制。这种认证方式需要架设一台radius服务器，所有的用户数据储存在数据库中。通过对网络访问用户的身份进行验证是否具有登录权限。但企业在规划无线网络时首先考虑信息高速、安全、可扩展性已实现信息共享，传递，提高工作效率，同时建立出口通道实现与internet互联。因此在信息安全建设方面可以通过以下方式实现：①启用MAC地址过滤，可以阻止未经授权的无线客户端访问AP及进入内网。②禁用或修改SNMP设置，避免黑客利用SNMP获取关于用户网络的重要信息。③隐藏SSID，在无线路由器的设置当中，选择“隐藏SSID”或“禁止SSID广播”，这样就不容易被入侵者搜到。④采用IEEE 802.11i数据加密方式，这种数据加密采用了高级加密标准（AES）。AES是目前最严格的加密标准。⑤架设一套H3C imc智能网络管理软件，实时监测分析无线数据流，根据需要阻止和断开客户端。⑥在WLAN的安全防护方面还需要通过及时修复系统补丁、安装杀毒软件、个人防火墙、及时备份重要数据等方式保障网络信息安全。⑦安装部署一套内外网防御系统。

四、小结

无线局域网的不断发展要求提出更新更可靠的安全措施。本文中提出WLAN在企业应用中的安全机制及存在的安全风险、安全漏洞及临时解决方案。企业在构架无线网络时必须根据企业自身需要，建立多层安全保护机制，采用适当的安全保密产品，设定安全级别。从接入、认证、加密等方面充分考虑，最大限度减少无线网络带来的风险。

参考文献：

[1]任洁.浅谈无线局域网安全解决方案[J].电脑知识与技术,2011

[2]曾华强.企业无线局域网的构建及其安全研究,2009

[3]张宗福.无线局域网安全问题及解决方案[J].计算机安全,2011

[4]谭娟.浅谈校园无线局域网安全性分析与解决方案[J].中国信息技术教育,2011

[作者简介]

黄永（1981-），男，山东临朐人，潍坊寿光市供电公司，本科。主要研究方向：网络安全。