?1.WLAN 的安全演進(jìn)

在空中傳輸?shù)?Wi-Fi 數(shù)據(jù)包很容易被黑客所捕獲，從而解析出銀行賬戶、郵箱密碼、賬戶信息等涉及個(gè)人隱私的機(jī)密信息。因此 Wi-Fi 聯(lián)盟在 1997 年引入了最初的安全協(xié)議WEP，其安全架構(gòu)是基站對(duì)用戶進(jìn)行單向鑒別，用戶鑒別采用開放式的系統(tǒng)鑒別。由于WEP核心的 RC4數(shù)據(jù)加密算法的不足，WEP安全機(jī)制已于 2001 年被完全破解。

針對(duì) WEP 協(xié)議 的安全問題，Wi-Fi 聯(lián)盟于 2002 年推出 WPA 安全協(xié)議，其加密使用臨時(shí)密鑰完整性協(xié)議（TKIP）進(jìn)行密鑰升級(jí)。但因TKIP仍然使用 RC4 加密算法，所以依然不夠安全，在使用中會(huì)出現(xiàn)密鑰攻擊、中間人攻擊等問題。

2004 年IEEE802.11i 安全標(biāo)準(zhǔn)制定完畢，Wi-Fi 聯(lián)盟經(jīng)過修訂后推出了具有與 802.11i 相同功能的 WPA2。2017 年 8 月，研究人員發(fā)現(xiàn)了 WPA2 的 KRACK （Key Reinstallation Attack）漏洞[1]。

隨后為解決 Wi-Fi 安全性問題，2018年1月Wi-Fi 聯(lián)盟推出了新一代安全協(xié)議WPA3。其主要包括使用更安全的握手協(xié)議 SAE（Simultaneous Authentication of Equals），更強(qiáng)大的加密算法 CNSA（Commercial National Security Algorithms Suite），以及專門針對(duì)開放式公共網(wǎng)絡(luò)的加密方式 OWE（ Opportunistic Wireless Encryption）。雖然 Wi-Fi 聯(lián)盟推出了 WPA3 安全機(jī)制，但其大規(guī)模部署仍然需要一段時(shí)間。因此為了保證WLAN無線網(wǎng)絡(luò)安全，在安全協(xié)議之外還需要采取一定的防護(hù)措施。

2.WLAN 的安全威脅

Wi-Fi 所面臨的安全威脅主要分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊是指未授權(quán)的實(shí)體接入網(wǎng)絡(luò)、并修改信息、數(shù)據(jù)或文件內(nèi)容的一種攻擊方式，主要包括偽裝攻擊、重放攻擊、篡改消息和拒絕服務(wù)攻擊等。被動(dòng)攻擊指的是未經(jīng)授權(quán)的實(shí)體簡(jiǎn)單地訪問網(wǎng)絡(luò)但不修改其中內(nèi)容的攻擊方式。被動(dòng)攻擊可能是簡(jiǎn)單的竊聽或流量分析，竊聽是指攻擊者監(jiān)視消息傳送，獲取其內(nèi)容；流量分析是指攻擊者通過監(jiān)視消息的傳輸來分析通信方式，從而獲得大量有價(jià)值的信息，以便進(jìn)一步對(duì)網(wǎng)絡(luò)實(shí)施攻擊[2]。

2.1 數(shù)據(jù)信息的非法截取

無線網(wǎng)絡(luò)傳送數(shù)據(jù)是利用無線電波的輻射完成，攻擊者只需在其輻射范圍內(nèi)即可對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽，并對(duì)數(shù)據(jù)中的有效信息進(jìn)行分析，從而獲取攻擊者想要的數(shù)據(jù)，而用戶的數(shù)據(jù)信息一般進(jìn)行加密處理，需采用暴力破解捕獲的數(shù)據(jù)來獲取有用信息。如圖 1 所示。

圖1  截取無線信號(hào)

2.2 中間人攻擊 -偽造 AP

攻擊者在目標(biāo)主機(jī)與合法 AP(網(wǎng)關(guān)或服務(wù)器)之間偽造一個(gè)非法的 AP，惡意的攔截、插入、偽造、中斷數(shù)據(jù)包，達(dá)到截獲對(duì)方登陸賬戶及密碼，偽造身份等目的?，F(xiàn)在的無線設(shè)備基本上都可以設(shè)置成 AP，可以使目標(biāo)主機(jī)不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。如圖 2 所示。

圖2  偽造AP

2.3 非法外聯(lián)

WLAN 無線功能在大多數(shù)移動(dòng)終端都比較常見，雖然企業(yè)采取各種手段管制網(wǎng)絡(luò)安全，但企業(yè)周圍存在很多免費(fèi)無線網(wǎng)絡(luò)熱點(diǎn)，使員工們不由自主地連接這些 WLAN 網(wǎng)絡(luò)。員工們頻繁切換所連接的內(nèi)網(wǎng)與外網(wǎng)，可能會(huì)存在網(wǎng)絡(luò)安全問題，如手機(jī)終端、電腦終端內(nèi)信息被盜等，甚至?xí)o內(nèi)網(wǎng)運(yùn)行埋下安全隱患，使內(nèi)網(wǎng)感染病毒。

3.WLAN安全防護(hù)措施

3.1 有效隔離

在 WLAN 中，可以利用虛擬局域網(wǎng)（VLAN）把一個(gè)局域網(wǎng)從邏輯上分成幾個(gè)獨(dú)立的廣播域。網(wǎng)絡(luò)將根據(jù)無線客戶端的身份,而不是它的物理位置分配和執(zhí)行 WLAN 策略。根據(jù)不同的身份為每個(gè) VLAN 分配不同的 SSID，當(dāng) WLAN 與某個(gè)特定的 VLAN 關(guān)聯(lián)時(shí)，用戶通過 SSID 可以獲得對(duì)該 VLAN 上的網(wǎng)絡(luò)資源的訪問權(quán)限。

同時(shí)若將 AP 安裝在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，可以阻止流量監(jiān)聽和流量分析等攻擊手段。

此外，通過對(duì)無線網(wǎng)絡(luò)設(shè)備的設(shè)定，建立基于 MAC 地址的訪問控制列表，AP 將對(duì)收到的每個(gè)數(shù)據(jù)包的源地址做出過濾，只有在訪問控制列表中的地址才能被轉(zhuǎn)發(fā)，否則將會(huì)被丟棄或攔阻。

3.2  加強(qiáng) WLAN 的身份認(rèn)證

身份認(rèn)證是防護(hù)網(wǎng)絡(luò)安全的前提，一般家庭用戶可以啟用預(yù)共享密鑰 PSK 來進(jìn)行用戶的身份認(rèn)證，但如果對(duì)安全要求較高的企業(yè)和政府部門的 WLAN 系統(tǒng)必須使用增強(qiáng)的企業(yè)級(jí)安全認(rèn)證方案 802.1x/EAP。802.1x/EAP-TLS 認(rèn)證方式中，802.1x 的客戶端認(rèn)證請(qǐng)求可以結(jié)合外部的RADIUS服務(wù)器進(jìn)行認(rèn)證，由于RADIUS部署的性價(jià)比較高，目前已成為中小型企業(yè)身份認(rèn)證的首選。

3.3 監(jiān)測(cè)非法無線局域網(wǎng)設(shè)備

無線局域網(wǎng)環(huán)境下的設(shè)備安全狀況可以借助監(jiān)控裝置捕獲到的結(jié)果來進(jìn)行分析評(píng)估，首先對(duì)捕獲設(shè)備部署數(shù)據(jù)幀以作為數(shù)據(jù)采集點(diǎn)。采集點(diǎn)設(shè)備的性能越高，則無線環(huán)境信息采集的精確度越高，同時(shí)部署的密度越高，信息采集的覆蓋率越高。然后通過監(jiān)測(cè)捕獲無線環(huán)境下的數(shù)據(jù)幀，獲取到各種 AP 與無線終端設(shè)備的相關(guān)信息，如：MAC 地址、服務(wù)集標(biāo)識(shí)、信道、信號(hào)強(qiáng)度、噪聲、工作方式、運(yùn)行時(shí)間等，再通過分析采集到的終端設(shè)備和 AP 發(fā)送信息，可以繪制出無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)，檢測(cè)出釣魚接入點(diǎn)（Rogue Access Point，簡(jiǎn)稱 Rogue AP）、 違規(guī)外聯(lián)內(nèi)網(wǎng)終端與 Ad-Hoc（點(diǎn)對(duì)點(diǎn)）無線直連模式，進(jìn)而評(píng)估整個(gè)無線局域網(wǎng)環(huán)境下的設(shè)備安全狀況，除此之外，對(duì)于設(shè)備的嚴(yán)格控制，可以通過設(shè)置黑白名單實(shí)時(shí)對(duì)非授權(quán)設(shè)備進(jìn)行報(bào)警。

3.4 部署無線入侵防御系統(tǒng)（WIPS）

WIPS（Wireless Intrusion Prevention System）可以對(duì)有惡意的用戶攻擊和入侵行為進(jìn)行早期檢測(cè)，保護(hù)企業(yè)網(wǎng)絡(luò)和用戶不被無線網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備訪問。WIPS 可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)無線網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)各種攻擊的實(shí)時(shí)防范?？梢赃M(jìn)行對(duì)非法 AP 及非法的客戶端進(jìn)行檢測(cè)，防御 DOS 攻擊及進(jìn)行無線網(wǎng)絡(luò)的接入控制[3]。

目前應(yīng)用于無線局域網(wǎng)安全檢測(cè)系統(tǒng)的技術(shù)主要包括三種，下面分別予以列舉：

3.4.1 誤用檢測(cè)

誤用檢測(cè)是通過某種方式預(yù)先定義行為，然后監(jiān)視系統(tǒng)的運(yùn)行，從中找出符合預(yù)先定義規(guī)則的入侵行為。它的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確度高，技術(shù)相對(duì)成熟，便于系統(tǒng)維護(hù)，缺點(diǎn)是入侵信息的收集和更新困難，難以檢測(cè)本地入侵和新的入侵行為，維護(hù)特征庫的工作量巨大。常用的檢測(cè)技術(shù)有：專家系統(tǒng)，基于模型的入侵檢測(cè)方法，簡(jiǎn)單模式匹配和軟計(jì)算方法。

3.4.2 異常檢測(cè)

異常檢測(cè)是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。具體使用方法是在“檢測(cè)執(zhí)行內(nèi)容”事件中，設(shè)置所要執(zhí)行的命令，然后執(zhí)行其方法。如果發(fā)現(xiàn)命令錯(cuò)誤時(shí)，就發(fā)出執(zhí)行異常事件。異常檢測(cè)的優(yōu)點(diǎn)是能夠檢測(cè)新的入侵或從未發(fā)送的入侵；對(duì)操作系統(tǒng)的依從性??；可檢測(cè)出屬于濫用權(quán) 限型的入侵。越來越多的多種多串并行匹配算法也使得報(bào)文匹配運(yùn)算速度得以加快。它的缺點(diǎn)是報(bào)警率高，行為模型建立困難，目前常用的是統(tǒng)計(jì)方法。

3.4.3 協(xié)議分析技術(shù)

協(xié)議分析技術(shù)利用網(wǎng)絡(luò)通信協(xié)議的高度規(guī)則性，首先捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，然后確定數(shù)據(jù)包屬于何種協(xié)議類型，最后利用相應(yīng)的命令解釋程序讀取攻擊字符串及所有可能的變體并做出詳細(xì)分析。

在入侵環(huán)節(jié)，協(xié)議分析占據(jù)重要地位，能夠提高特征匹配的精度，且能夠減少特征匹配計(jì)算量。網(wǎng)絡(luò)攻擊特點(diǎn)的研究是展開高精度鏈路層協(xié)議分析的第一步，一般在對(duì)其分析前需提取特征知識(shí)庫中的協(xié)議信息。攻擊研究和特征知識(shí)庫的分析深度，是協(xié)議分析質(zhì)量的關(guān)鍵。

該技術(shù)不僅能快速探測(cè)出 WLAN 中是否有網(wǎng)絡(luò)攻擊，而且還能檢測(cè)網(wǎng)絡(luò)中的故障，指出錯(cuò)誤與高風(fēng)險(xiǎn)的網(wǎng)絡(luò)配置選項(xiàng)，為網(wǎng)絡(luò)維護(hù)管理提供參考。基于協(xié)議分析技術(shù)的入侵檢測(cè)系統(tǒng)具有檢測(cè)速度快，精確度高，系統(tǒng)資源消耗低等優(yōu)點(diǎn)，能有效檢測(cè)入侵來源。

4.WLAN安全防護(hù)技術(shù)應(yīng)用-WIPS

無線入侵防御系統(tǒng)在阻止非法用戶接入過程中，充分利用射頻信號(hào)?；贏P 或 Station 屬性，構(gòu)建物理安全的無線安全區(qū)域，保證用戶網(wǎng)絡(luò)安全[4]。

Dos、無線掃描等無線非法無線設(shè)備的檢測(cè)與阻斷，是實(shí)現(xiàn)無線入侵防御的關(guān)鍵，能夠防止內(nèi)網(wǎng)機(jī)密通過無線網(wǎng)絡(luò)外傳。將入侵防御設(shè)備設(shè)置于無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)邊界處，能夠?qū)崿F(xiàn)可管、可控的無線網(wǎng)絡(luò)系統(tǒng)。無線安全引擎設(shè)備部署在 AP 覆蓋的區(qū)域，基本暫定部署于每臺(tái) AP 旁，同時(shí)保證部署在無線網(wǎng)絡(luò)區(qū)域中心位置，以盡可能大范圍的覆蓋。一般覆蓋范圍可達(dá)到無線 AP 可以覆蓋的所有區(qū)域，如圖 3所示。

圖3 無線網(wǎng)絡(luò)防御設(shè)備部署

在完全阻斷其他連接的過程中需要在設(shè)備上對(duì)網(wǎng)絡(luò)進(jìn)行合法的部署，采用合法客戶端一對(duì)一允許策略，阻止連接非法網(wǎng)絡(luò)并只與合法網(wǎng)絡(luò)連接，對(duì)網(wǎng)絡(luò)實(shí)際情況進(jìn)行有效的監(jiān)控。在數(shù)據(jù)庫中寫入審計(jì)數(shù)據(jù)，若非法 AP 一旦被發(fā)現(xiàn)需立即告警并阻斷連接。采用 Web 做好引擎管理，高度重視引擎上報(bào)的各種告警信息。其中，無線掃描、無線破解以及拒絕服務(wù)攻擊等是監(jiān)視并防范的主要內(nèi)容。

為了使管理質(zhì)量滿足實(shí)際需求，可應(yīng)用集中管理的方式，通過專門集中管理軟件有效管理多臺(tái)部署的無線安全引擎設(shè)備，實(shí)現(xiàn)集中配置無線安全引擎，可在數(shù)據(jù)收集方面達(dá)到集中收集效果，同時(shí)具有其他功能，如日志查詢等。對(duì)于無線安全告警事件的存儲(chǔ)，集中管理中心可以實(shí)現(xiàn)便捷的管理效果，根據(jù)告警級(jí)別、類型等輸入報(bào)表，為更好地追蹤溯源奠定基礎(chǔ)。

結(jié)束語

WLAN 無線網(wǎng)絡(luò)安全隱患給人們的工作與生活帶來了不利影響。為了保證 WLAN 無線網(wǎng)絡(luò)的安全使用，完善 WLAN 無線網(wǎng)絡(luò)安全防范措施具有重要意義。本文在對(duì) WLAN 無線網(wǎng)絡(luò)安全隱患和安全威脅進(jìn)行探究的基礎(chǔ)上，介紹了幾種WLAN安全防護(hù)措施，為提高 WLAN 無線網(wǎng)絡(luò)的安全運(yùn)行提供一些參考。

參考文獻(xiàn)

[1]Suroto S. WLAN security: threats and countermeasures[J]. JOIV: International Journal on Informatics Visualization, 2018, 2(4): 232-238.

[2]彭程,劉加.新一代無線局域網(wǎng)安全機(jī)制分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(09):18-19.

[3]關(guān)靜.淺析無線局域網(wǎng)安全風(fēng)險(xiǎn)及防護(hù)策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2021(04):139-140.

[4]蘇杰.WLAN無線網(wǎng)絡(luò)安全技術(shù)研究及應(yīng)用[J].通信電源技術(shù),2019,36(08):115-116.DOI:10.19399/j.cnki.tpt.2019.08.050.