淺析無線局域網(wǎng)安全風(fēng)險及防護(hù)策略

（天津市醫(yī)學(xué)科學(xué)技術(shù)信息研究所 天津 300070）

1 引言

無線局域網(wǎng)（WLAN）作為無線高速數(shù)據(jù)通信的主流技術(shù)，突破了物理線路傳輸?shù)木窒扌?，具有帶寬高、?gòu)建成本低廉、部署方便、拓?fù)浣Y(jié)構(gòu)靈活、易于維護(hù)管理等特點，被廣泛地應(yīng)用于各種密集用戶場景中。隨著企事業(yè)等機(jī)構(gòu)信息化建設(shè)步伐的加快，移動辦公的需求也日益激增，WLAN 使筆記本電腦、平板電腦、手機(jī)等移動終端設(shè)備成為便攜的辦公工具，甚至WLAN 功能還被集成在如打印機(jī)、掃描儀、投影儀等辦公設(shè)備上，因而使用WLAN 的設(shè)備數(shù)量迅速增長。2018 年10 月WiFi 聯(lián)盟將基于IEEE 802.11ax 標(biāo)準(zhǔn)的WiFi 正式納入“麾下”，即成為第六代WiFi 技術(shù)，802.11ax 將最大物理速率提升至9.6Gbps，進(jìn)一步滿足萬人會場、高密辦公、智慧工廠等高速率、大容量、低延時場景的應(yīng)用需求。但是，無線局域網(wǎng)的普及也導(dǎo)致其安全問題成了關(guān)注的焦點。無線網(wǎng)絡(luò)的無邊界化、信號開放等特性使無線局域網(wǎng)面臨更多的安全威脅。因此對于無線局域網(wǎng)的安全接入和管理，以及接入之后如何維護(hù)內(nèi)部網(wǎng)絡(luò)安全，保證業(yè)務(wù)系統(tǒng)正常運行都需要有效的無線安全解決方案。為此，本文分析總結(jié)了WLAN 的安全性威脅，并相應(yīng)地提出可實施的防范策略與技術(shù)。

2 無線局域網(wǎng)絡(luò)的安全性威脅分析

由于無線局域網(wǎng)絡(luò)具有固有的物理結(jié)構(gòu)和電磁傳輸方式，使得針對無線局域網(wǎng)的攻擊相當(dāng)隱蔽，導(dǎo)致其較有線網(wǎng)絡(luò)安全風(fēng)險更高。本章分析了無線局域網(wǎng)面臨的安全問題，總結(jié)出幾種典型的攻擊方式。

2.1 加密破解

WPA2 作為目前普遍使用的WLAN 安全協(xié)議，采用802.1X/EAP框架實現(xiàn)身份認(rèn)證和動態(tài)密鑰管理，雖然增加了高級加密標(biāo)準(zhǔn)（AES）加密算法和計數(shù)器模式密碼塊鏈信息認(rèn)證碼（CCM）認(rèn)證方式，較WPA 安全性更高，但仍存在密碼短語破解、密鑰重新安裝攻擊（KRACK）等安全漏洞。2020 年初受到Wi-Fi 芯片的高危漏洞Kr00k的攻擊影響，國內(nèi)外著名的設(shè)備廠商制造的無線設(shè)備達(dá)數(shù)十億臺，攻擊者無須連接受害者的無線網(wǎng)絡(luò)，使用KRACK 攻擊技術(shù)就可輕易地竊取加密數(shù)據(jù)。在實現(xiàn)四次握手時由于802.11 標(biāo)準(zhǔn)中沒有定義何時安裝協(xié)商密鑰，通過安裝相同的密鑰方式，KRACK 攻擊重置是通過加密協(xié)議運用的隨機(jī)數(shù)以及重放計數(shù)裝置，導(dǎo)致無線局域網(wǎng)傳輸中的數(shù)據(jù)包存在被竊取修改、嗅探的風(fēng)險，無法及時進(jìn)行處理。密鑰重新安裝攻擊影響的范圍度廣，危害性高，在使用WPA2 個人版和WPA2 企業(yè)版協(xié)議的網(wǎng)絡(luò)中也存在此種漏洞。

2.2 欺騙攻擊

最常見的欺騙攻擊手段有會話劫持攻擊以及中間人攻擊兩種。因為無線局域網(wǎng)認(rèn)證協(xié)議基于端口認(rèn)證協(xié)議，當(dāng)用戶驗證成功時，它可以與接入點進(jìn)行正常通信，在無線設(shè)備已經(jīng)成功認(rèn)證之后，會話劫持攻擊者可以輕易劫持其合法會話，違法設(shè)備繼續(xù)使用網(wǎng)絡(luò)流量，并根據(jù)劫持的設(shè)備發(fā)送數(shù)據(jù)幀。而中間人攻擊，黑客并不直接登入用戶的網(wǎng)絡(luò)，而是將它設(shè)定成AP，冒充正常的網(wǎng)絡(luò)AP，有著正常的網(wǎng)絡(luò)AP 的設(shè)置，并發(fā)送很強(qiáng)的信號，一般用戶將誤判為公司的AP，并向它發(fā)送資料。中間人利用這個所謂的中繼點來欺騙誘導(dǎo)用戶和其他接入節(jié)點，利用未經(jīng)授權(quán)的設(shè)備發(fā)送數(shù)據(jù)，還可以竊聽來自受害者主機(jī)的無線流量數(shù)據(jù)采集以及數(shù)據(jù)操作。因為IEEE 802.11 標(biāo)準(zhǔn)使用網(wǎng)絡(luò)名稱（SSID）以及MAC 地址（BSSID）作為無線接入點的唯一識別標(biāo)記，同時組建無線局域網(wǎng)又相對簡單，易于擴(kuò)展，很難對無線局域網(wǎng)設(shè)備進(jìn)行有效監(jiān)控管理，所以以上這幾點因素使得仿造欺騙性的流氓無線接入點AP 并不困難。即便用戶使用了SSL 和其他加密技術(shù)，現(xiàn)有的免費工具仍然可以消除SSL 加密并動態(tài)創(chuàng)建虛假證書，從而實現(xiàn)對加密流量的中間人進(jìn)行攻擊。

2.3 拒絕服務(wù)攻擊DoS

拒絕服務(wù)（DoS）攻擊作為一種常見的損壞攻擊技術(shù)，通過使用各種方法來影響網(wǎng)絡(luò)的正常運行，實現(xiàn)網(wǎng)絡(luò)不能提供服務(wù)的目的。由于目前的安全協(xié)議側(cè)重于確保數(shù)據(jù)的安全，如何確保無線局域網(wǎng)可以正常使用沒有涉及，這導(dǎo)致無線局域網(wǎng)無法預(yù)防DoS 攻擊。無線局域網(wǎng)一般會遭受到兩種類型的拒絕服務(wù)攻擊：物理層DoS 攻擊和MAC 層DoS 攻擊。物理層的DoS 攻擊主要通過信號干擾來實現(xiàn)的，MAC 層DoS 攻擊的類型有四種，第一種是通過偽造大量相關(guān)幀或認(rèn)證幀，使AP 內(nèi)存耗盡導(dǎo)致無法及時響應(yīng)合法的請求；第二種方法是通過連續(xù)發(fā)送相關(guān)幀或是認(rèn)證幀，破壞STA（站點）和AP（無線接入點）之間的連接，使合法用戶無法正常上網(wǎng)；第三種攻擊類型由802.11 標(biāo)準(zhǔn)電源管理協(xié)議攻擊，使休眠的節(jié)點永遠(yuǎn)無法喚醒或丟失數(shù)據(jù)；第四種DoS 攻擊使用攻擊MAC 層進(jìn)行攻擊，它可以直接在短幀間間隔最短的時間區(qū)段發(fā)送數(shù)據(jù)包，所以其他節(jié)點沒有發(fā)送數(shù)據(jù)的機(jī)會。

3 無線網(wǎng)絡(luò)安全的防護(hù)策略

WPA2 及以前已發(fā)布的無線局域網(wǎng)訪問認(rèn)證協(xié)議已被破解，因此必須采用保護(hù)性級別更高的接入認(rèn)證協(xié)議WPA3，WPA3 采用保護(hù)性更強(qiáng)的管理幀技術(shù)，解決了去關(guān)聯(lián)去認(rèn)證幀帶來的惡意攻擊問題。

3.1 監(jiān)測非法無線局域網(wǎng)設(shè)備

無線局域網(wǎng)環(huán)境下的設(shè)備安全狀況可以借助監(jiān)控裝置捕獲到的結(jié)果來進(jìn)行分析評估，首先對捕獲設(shè)備部署數(shù)據(jù)幀以作為數(shù)據(jù)采集點。采集點設(shè)備的性能越高，則無線環(huán)境信息采集的精確度越高，同時部署的密度越高，信息采集的覆蓋率越高。然后通過監(jiān)測捕獲無線環(huán)境下的數(shù)據(jù)幀，獲取到各種AP 與無線終端設(shè)備的相關(guān)信息，如：MAC地址、服務(wù)集標(biāo)識、信道、信號強(qiáng)度、噪聲、工作方式、運行時間等，再通過分析采集到的終端設(shè)備和AP 發(fā)送信息，可以繪制出無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)，檢測出釣魚接入點（Rogue Access Point，簡稱Rogue AP）、違規(guī)外聯(lián)內(nèi)網(wǎng)終端與Ad-Hoc（點對點）無線直連模式，進(jìn)而評估整個無線局域網(wǎng)環(huán)境下的設(shè)備安全狀況，除此之外，對于設(shè)備的嚴(yán)格控制，可以通過設(shè)置黑白名單實時對非授權(quán)設(shè)備進(jìn)行報警。

3.2 有效隔離

由于無線網(wǎng)絡(luò)非常容易受到攻擊，因此被認(rèn)為是一種不可靠的網(wǎng)絡(luò)，所以無線網(wǎng)絡(luò)和有線核心網(wǎng)絡(luò)要隔離開，很多單位將無線網(wǎng)絡(luò)布置在如接待室、多功能會議室等特定公共區(qū)域，作為提供給來訪者的接入方式。應(yīng)將網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面，如防火墻的外面，接入訪問核心網(wǎng)絡(luò)采用VPN 方式。同時如果將AP 安裝在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，可以阻止流量監(jiān)聽和流量分析等攻擊手段，還可以采用SSH、SSL、IPSec 等加密技術(shù)手段來提高數(shù)據(jù)的安全性。

3.3 無線入侵檢測系統(tǒng)

由于目前無線局域網(wǎng)存在的缺點，使得單位網(wǎng)絡(luò)和個人通信很容易受到惡意用戶的攻擊，如DOS 攻擊，為了保證數(shù)據(jù)的安全性，不能僅側(cè)重做攻擊防護(hù)工作，還要注重做好入侵檢測工作，目前應(yīng)用于無線局域網(wǎng)安全檢測系統(tǒng)的技術(shù)主要包括三種，下面分別予以列舉。

3.3.1 誤用檢測：是通過某種方式預(yù)先定義行為，然后監(jiān)視系統(tǒng)的運行，從中找出符合預(yù)先定義規(guī)則的入侵行為。它的優(yōu)點是檢測準(zhǔn)確度高，技術(shù)相對成熟，便于系統(tǒng)維護(hù)，缺點是入侵信息的收集和更新困難，難以檢測本地入侵和新的入侵行為，維護(hù)特征庫的工作量巨大。常用的檢測技術(shù)有：專家系統(tǒng)，基于模型的入侵檢測方法，簡單模式匹配和軟計算方法。

3.3.2 異常檢測：異常檢測是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。具體使用方法是在“檢測執(zhí)行內(nèi)容”事件中，設(shè)置所要執(zhí)行的命令。然后執(zhí)行其方法‘檢測執(zhí)行’。如果發(fā)現(xiàn)命令錯誤時，就發(fā)出執(zhí)行異常事件。異常檢測的優(yōu)點是能夠檢測新的入侵或從未發(fā)送的入侵；對操作系統(tǒng)的依從性小；可檢測出屬于濫用權(quán)限型的入侵。它的缺點是報警率高，行為模型建立困難，目前常用的是統(tǒng)計方法。

3.3.3 協(xié)議分析技術(shù)

協(xié)議分析技術(shù)利用網(wǎng)絡(luò)通信協(xié)議的高度規(guī)則性，首先捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，然后確定數(shù)據(jù)包屬于何種協(xié)議類型，最后利用相應(yīng)的命令解釋程序讀取攻擊字符串及所有可能的變體并做出詳細(xì)分析。該技術(shù)不僅能快速探測出WLAN 中是否有網(wǎng)絡(luò)攻擊，而且還能檢測網(wǎng)絡(luò)中的故障，指出錯誤與高風(fēng)險的網(wǎng)絡(luò)配置選項，為網(wǎng)絡(luò)維護(hù)管理提供參考?；趨f(xié)議分析技術(shù)的入侵檢測系統(tǒng)具有檢測速度快，精確度高，系統(tǒng)資源消耗低等優(yōu)點，能有效檢測入侵來源。

3.4 無線局域網(wǎng)安全使用

當(dāng)使用公共無線局域網(wǎng)時，應(yīng)避免使用無密碼保護(hù)的公共網(wǎng)絡(luò)，并盡量不使用網(wǎng)絡(luò)銀行和信用卡服務(wù)登錄網(wǎng)絡(luò)游戲和電子郵件訪問企業(yè)VPN 等服務(wù)。在構(gòu)建無線局域網(wǎng)接入點時，應(yīng)注意關(guān)閉網(wǎng)絡(luò)的SSID 廣播，提高網(wǎng)絡(luò)連接的安全系數(shù)，在確保使用功能的前提下，利用更加復(fù)雜的密碼降低無線路由器的無線傳輸功率，從而降低無線信號的覆蓋率，減少惡意攻擊的風(fēng)險。

4 結(jié)語

無線局域網(wǎng)作為一種高效接入方式，具有信息速率高、頻段開放、覆蓋范圍更廣、端口密度超高等顯著優(yōu)勢，是有線局域網(wǎng)的補(bǔ)充，為獲得安全、可靠和穩(wěn)定的無線局域網(wǎng)絡(luò)應(yīng)用環(huán)境，我們應(yīng)根據(jù)無線網(wǎng)絡(luò)不同邏輯層的安全需求，對物理設(shè)備的型號、屬性與結(jié)構(gòu)進(jìn)行合理規(guī)劃，規(guī)范無線局域網(wǎng)使用，優(yōu)化安全策略，提升無線局域網(wǎng)安全防護(hù)能力。