无线局域网的安全防护措施概述

2022年6月9日15:46:39评论93 views字数 4596阅读15分19秒阅读模式

摘要

随着智能设备的普及和网络设备成本的降低，无线局域网（WLAN）已经成为当今极为重要的组网与接入方式，在商业环境和公共应用中已经占据了主流的地位。由于WLAN安装简单、易于扩展以及其可移动性等特性，导致无线网的安全隐患同样很大。因此，为了给人们创建一个安全的无线网络环境，研究 WLAN 无线网络安全防护具有重要意义。

1.WLAN 的安全演进

在空中传输的 Wi-Fi 数据包很容易被黑客所捕获，从而解析出银行账户、邮箱密码、账户信息等涉及个人隐私的机密信息。因此 Wi-Fi 联盟在 1997 年引入了最初的安全协议WEP，其安全架构是基站对用户进行单向鉴别，用户鉴别采用开放式的系统鉴别。由于WEP核心的 RC4数据加密算法的不足，WEP安全机制已于 2001 年被完全破解。

针对 WEP 协议的安全问题，Wi-Fi 联盟于 2002 年推出 WPA 安全协议，其加密使用临时密钥完整性协议（TKIP）进行密钥升级。但因TKIP仍然使用 RC4 加密算法，所以依然不够安全，在使用中会出现密钥攻击、中间人攻击等问题。

2004 年IEEE802.11i 安全标准制定完毕，Wi-Fi 联盟经过修订后推出了具有与 802.11i 相同功能的 WPA2。2017 年 8 月，研究人员发现了 WPA2 的 KRACK （Key Reinstallation Attack）漏洞[1]。

随后为解决 Wi-Fi 安全性问题，2018年1月Wi-Fi 联盟推出了新一代安全协议WPA3。其主要包括使用更安全的握手协议 SAE（Simultaneous Authentication of Equals），更强大的加密算法 CNSA（Commercial National Security Algorithms Suite），以及专门针对开放式公共网络的加密方式 OWE（ Opportunistic Wireless Encryption）。虽然 Wi-Fi 联盟推出了 WPA3 安全机制，但其大规模部署仍然需要一段时间。因此为了保证WLAN无线网络安全，在安全协议之外还需要采取一定的防护措施。

2.WLAN 的安全威胁

Wi-Fi 所面临的安全威胁主要分为主动攻击和被动攻击。主动攻击是指未授权的实体接入网络、并修改信息、数据或文件内容的一种攻击方式，主要包括伪装攻击、重放攻击、篡改消息和拒绝服务攻击等。被动攻击指的是未经授权的实体简单地访问网络但不修改其中内容的攻击方式。被动攻击可能是简单的窃听或流量分析，窃听是指攻击者监视消息传送，获取其内容；流量分析是指攻击者通过监视消息的传输来分析通信方式，从而获得大量有价值的信息，以便进一步对网络实施攻击[2]。

2.1 数据信息的非法截取

无线网络传送数据是利用无线电波的辐射完成，攻击者只需在其辐射范围内即可对网络数据进行监听，并对数据中的有效信息进行分析，从而获取攻击者想要的数据，而用户的数据信息一般进行加密处理，需采用暴力破解捕获的数据来获取有用信息。如图 1 所示。

图1 截取无线信号

2.2 中间人攻击 -伪造 AP

攻击者在目标主机与合法 AP(网关或服务器)之间伪造一个非法的 AP，恶意的拦截、插入、伪造、中断数据包，达到截获对方登陆账户及密码，伪造身份等目的。现在的无线设备基本上都可以设置成 AP，可以使目标主机不经过授权而连入网络。如图 2 所示。

图2 伪造AP

2.3 非法外联

WLAN 无线功能在大多数移动终端都比较常见，虽然企业采取各种手段管制网络安全，但企业周围存在很多免费无线网络热点，使员工们不由自主地连接这些 WLAN 网络。员工们频繁切换所连接的内网与外网，可能会存在网络安全问题，如手机终端、电脑终端内信息被盗等，甚至会给内网运行埋下安全隐患，使内网感染病毒。

3.WLAN安全防护措施

3.1 有效隔离

在 WLAN 中，可以利用虚拟局域网（VLAN）把一个局域网从逻辑上分成几个独立的广播域。网络将根据无线客户端的身份,而不是它的物理位置分配和执行 WLAN 策略。根据不同的身份为每个 VLAN 分配不同的 SSID，当 WLAN 与某个特定的 VLAN 关联时，用户通过 SSID 可以获得对该 VLAN 上的网络资源的访问权限。

同时若将 AP 安装在像防火墙这样的网络安全设备的外面，可以阻止流量监听和流量分析等攻击手段。

此外，通过对无线网络设备的设定，建立基于 MAC 地址的访问控制列表，AP 将对收到的每个数据包的源地址做出过滤，只有在访问控制列表中的地址才能被转发，否则将会被丢弃或拦阻。

3.2 加强 WLAN 的身份认证

身份认证是防护网络安全的前提，一般家庭用户可以启用预共享密钥 PSK 来进行用户的身份认证，但如果对安全要求较高的企业和政府部门的 WLAN 系统必须使用增强的企业级安全认证方案 802.1x/EAP。802.1x/EAP-TLS 认证方式中，802.1x 的客户端认证请求可以结合外部的RADIUS服务器进行认证，由于RADIUS部署的性价比较高，目前已成为中小型企业身份认证的首选。

3.3 监测非法无线局域网设备

无线局域网环境下的设备安全状况可以借助监控装置捕获到的结果来进行分析评估，首先对捕获设备部署数据帧以作为数据采集点。采集点设备的性能越高，则无线环境信息采集的精确度越高，同时部署的密度越高，信息采集的覆盖率越高。然后通过监测捕获无线环境下的数据帧，获取到各种 AP 与无线终端设备的相关信息，如：MAC 地址、服务集标识、信道、信号强度、噪声、工作方式、运行时间等，再通过分析采集到的终端设备和 AP 发送信息，可以绘制出无线局域网拓扑结构，检测出钓鱼接入点（Rogue Access Point，简称 Rogue AP）、违规外联内网终端与 Ad-Hoc（点对点）无线直连模式，进而评估整个无线局域网环境下的设备安全状况，除此之外，对于设备的严格控制，可以通过设置黑白名单实时对非授权设备进行报警。

3.4 部署无线入侵防御系统（WIPS）

WIPS（Wireless Intrusion Prevention System）可以对有恶意的用户攻击和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。WIPS 可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。可以进行对非法 AP 及非法的客户端进行检测，防御 DOS 攻击及进行无线网络的接入控制[3]。

目前应用于无线局域网安全检测系统的技术主要包括三种，下面分别予以列举：

3.4.1 误用检测

误用检测是通过某种方式预先定义行为，然后监视系统的运行，从中找出符合预先定义规则的入侵行为。它的优点是检测准确度高，技术相对成熟，便于系统维护，缺点是入侵信息的收集和更新困难，难以检测本地入侵和新的入侵行为，维护特征库的工作量巨大。常用的检测技术有：专家系统，基于模型的入侵检测方法，简单模式匹配和软计算方法。

3.4.2 异常检测

异常检测是指通过攻击行为的特征库，采用特征匹配的方法确定攻击事件。具体使用方法是在“检测执行内容”事件中，设置所要执行的命令，然后执行其方法。如果发现命令错误时，就发出执行异常事件。异常检测的优点是能够检测新的入侵或从未发送的入侵；对操作系统的依从性小；可检测出属于滥用权限型的入侵。越来越多的多种多串并行匹配算法也使得报文匹配运算速度得以加快。它的缺点是报警率高，行为模型建立困难，目前常用的是统计方法。

3.4.3 协议分析技术

协议分析技术利用网络通信协议的高度规则性，首先捕获并分析网络数据包，然后确定数据包属于何种协议类型，最后利用相应的命令解释程序读取攻击字符串及所有可能的变体并做出详细分析。

在入侵环节，协议分析占据重要地位，能够提高特征匹配的精度，且能够减少特征匹配计算量。网络攻击特点的研究是展开高精度链路层协议分析的第一步，一般在对其分析前需提取特征知识库中的协议信息。攻击研究和特征知识库的分析深度，是协议分析质量的关键。

该技术不仅能快速探测出 WLAN 中是否有网络攻击，而且还能检测网络中的故障，指出错误与高风险的网络配置选项，为网络维护管理提供参考。基于协议分析技术的入侵检测系统具有检测速度快，精确度高，系统资源消耗低等优点，能有效检测入侵来源。

4.WLAN安全防护技术应用-WIPS

无线入侵防御系统在阻止非法用户接入过程中，充分利用射频信号。基于AP 或 Station 属性，构建物理安全的无线安全区域，保证用户网络安全[4]。

Dos、无线扫描等无线非法无线设备的检测与阻断，是实现无线入侵防御的关键，能够防止内网机密通过无线网络外传。将入侵防御设备设置于无线网络、有线网络边界处，能够实现可管、可控的无线网络系统。无线安全引擎设备部署在 AP 覆盖的区域，基本暂定部署于每台 AP 旁，同时保证部署在无线网络区域中心位置，以尽可能大范围的覆盖。一般覆盖范围可达到无线 AP 可以覆盖的所有区域，如图 3所示。

图3 无线网络防御设备部署

在完全阻断其他连接的过程中需要在设备上对网络进行合法的部署，采用合法客户端一对一允许策略，阻止连接非法网络并只与合法网络连接，对网络实际情况进行有效的监控。在数据库中写入审计数据，若非法 AP 一旦被发现需立即告警并阻断连接。采用 Web 做好引擎管理，高度重视引擎上报的各种告警信息。其中，无线扫描、无线破解以及拒绝服务攻击等是监视并防范的主要内容。

为了使管理质量满足实际需求，可应用集中管理的方式，通过专门集中管理软件有效管理多台部署的无线安全引擎设备，实现集中配置无线安全引擎，可在数据收集方面达到集中收集效果，同时具有其他功能，如日志查询等。对于无线安全告警事件的存储，集中管理中心可以实现便捷的管理效果，根据告警级别、类型等输入报表，为更好地追踪溯源奠定基础。