無線安全監測防護研究與實踐

李偉淵 何偉賢 譚彬

摘 要：移動化已經支撐起企業運行的各個方面，關鍵業務從有線網絡轉移到無線網絡，不但贏得了時間，還數倍提升了運轉效率。然而，在無線網絡正逐漸成為無線辦公系統主要基礎架構的同時，無線WiFi的安全風險卻正與日俱增，人們對無線WiFi網絡安全擔憂加劇。論文簡要介紹了無線安全監測及防護系統建設思路。從海量無線安全攻防對抗中，抽取無線安全監測、管理、射頻阻斷、引流防護等技術，構筑無線安全防護屏障，為無線WiFi系統提供可靠、持續的環境監測，對非法無線攻擊行為實施有效檢測，對危害性高、具備流行趨勢的無線安全事件進行智能化反制，最終實現WLAN系統的全面安全保障。

關鍵詞：無線安全；射頻阻斷；無線WiFi防護

中圖分類號：TP309 文獻標識碼：D

Abstract： Mobile has supported all aspects of enterprise operation， the key business from wired networks to wireless networks， not only won time， but also several times to improve operational efficiency. However， while WLAN is gradually becoming the main infrastructure of IT systems， the security risks of WLAN are increasing day by day， and people are increasingly worried about WLAN network security. This paper briefly introduces the construction of wireless security monitoring and protection system. From the massive wireless security attack and defense countermeasure， the wireless security monitoring， management， radio frequency blocking， drainage protection and other technologies are extracted to construct the wireless security protection barrier， provide reliable and continuous environmental monitoring for WLAN system， carry out effective detection of illegal wireless attacks， and have high harmfulness and popular trend of wireless security. The incident is intelligently counteracted， so that the overall security of the WLAN system will eventually be realized.

Key words： wireless security；radiofrequency blocking；wifi protect

1 引言

近年來，央視3.15晚會先后曝光了欺詐、釣魚Wifi和Wifi暴力破解等無線網絡環境安全性問題。與此同時，智能手機、平板電腦等智能終端普及迅速，員工私自搭建無線路由器或軟AP連接到企業內網的現象也日益泛濫，只通過安全管理要求，并不能有效控制。這些私自接到內網的AP，躲避了有線鏈路的監測，而且大部分直接使用默認密碼、弱口令甚至沒有密碼，這就相當于開了無數個大門，讓外部人員可以輕易訪問企業內網。同時，企業的內部員工惡意通過移動的熱點、WiFi 或Ad-hoc、直接鏈接等手段就很容易將內部信息泄露出去。這些違規行為，在傳統的有線網絡安全防護體系中是沒有記錄的，更無法稽核，這使得企業辦公環境中的無線網絡安全形勢日益嚴峻。

無線攻擊事件發生一旦發生，可能會導致企業商業機密、財務信息、客戶資料泄漏，造成巨大損失。因此，針對無線網絡接入安全，必須對試圖接入企業無線網絡的內部或訪客移動終端進行有效監管，防患于未然。

2 現狀問題分析

企業的有線網絡安全設備都主要部署在各個網絡出口上，防范由外到內的安全威脅。由于網絡物理鏈路位置以及現有保護技術的限制，對無線局域網的安全威脅基本上都是無能為力的。而防火墻只能通過有線網絡層，在網絡出口上通過MAC地址、IP等特征阻止非法無線客戶端，無法阻止無線的客戶端通過射頻信號與AP通信，而一旦有非法用戶端接入內部網絡AP，相當于已經侵入企業內網，不法分子可以通過嗅探、中間人攻擊等獲取企業的各種信息并可能控制部分服務器設備。

最具攻擊性并且風險最高的無線安全事件，如圖1所示。

使用傳統的安全防護方案，對流氓AP熱點的架設和訪問是無法阻止的（例如內部員工對有線網絡AP的個人訪問），只能通過有線交換機的端口控制，但近來流行USB隨身WiFi，讓本就無法實現終端端口控制的無線網絡場景被人為挖開了一個更大的缺口，內部網數據安全更加難以防護，尤其是對于無線欺騙或無線掃描和無線拒絕服務等無線攻擊更加的無能為力。

3 無線3安全監測及防護系統研究

3.1無線安全監測及防護能力構建

對無線安全檢測及防護，需要結合企業自身安全需求，制定企業自身的安全策略并落實防護，主要的無線安全檢測及防護要求舉例。

提供完善的無線設備安全準入策略：依據公司自身的無線局域網組網情況，以及資產屬性制定無線安全策略，以無線局域網資產分類定義（如以不同的廠家來進行區分），建立各個具有物理安全特性的射頻安全區。

可靠的無線射頻阻斷：可使用射頻信號阻斷非法無線局域網設備的訪問，從發射源頭阻斷攻擊者的攻擊，使其無法接入無線網絡，從而防止無線攻擊的持續進行，有效保障無線網絡能具備有線網絡同等的物理安全。

無線入侵檢測需要提對無線攻擊方式進行研究，形成豐富的攻擊檢測特征庫及快速分析統計能力：包括對無線掃描或無線釣魚、無線欺騙、無線嗅探、暴力破解和惡意AP以及DoS等攻擊手段檢測，不間斷的保障公司無線網絡的安全。

3.2 無線安全監測及防護體系建立

確認無線安全的監測和防護能力需求后，需要及時建立有效的無線安全監測防護體系。

無線安全的防御體系主要特性包括幾個方面。

無線發現，自動發現檢測區域內的AP和客戶端，識別非法設備（如惡意/釣魚AP），展示WiFi網絡狀態/拓撲/信道等信息。

無線隔離，通過結合射頻信號和802.11特性從而實現防火墻的無線安全策略。根據無線AP或者站點的安全屬性，無線防火墻可以自定無線網絡的接入規則，利用射頻信號阻斷非法對無線局域網設備的訪問，并相應的建立射頻安全區，保證無線網絡的物理安全行性可信度。

安全無線防御，檢測、告警、阻斷包括無線掃描、無線嗅探、無線釣魚、WiFi暴力破解、無線欺騙、DoS等類型的無線攻擊，同時提供多種類型惡意AP的檢測以及阻斷，從而杜絕了通過無線網絡向外泄露內網機密。

無線安全狀態、報表實時展示，將無線網絡實時拓撲與蜘蛛圖、餅狀圖、柱狀圖、折線圖、攻擊排名以及其他豐富的統計數據直觀、實時展示出來，全方位了解無線安全狀態。

3.3 無線安全監測及防護技術分析

3.3.1 基于無線網絡架構的自動學習技術

對于傳統有線網絡來說，網絡管理員在網絡布局時，通過將具體的網絡設施以及用戶終端與指定的物理端口進行對應，才能方便地進行管理。而對于無線網絡來說，由于終端的無線性和便攜性，使得網絡管理員很難將無線用戶映射到特定的物理位置，甚至要了解無線網絡的運行狀態也是一項困難的任務。

無線入侵防御系統需要通過自動學習功能，準備識別無線網絡的變化，并將其網絡狀態和無線拓撲以及無線設備屬性等內容展示給用戶，為企業提供直觀的無線分析以及管理方法。系統通過偵聽模式，盡可能學習更多無線設備，并對無線設備的屬性進行詳細統計。

無線設備詳細屬性舉例：SSID；IP；MAC；信道；加密方式；Beacon間隔；工作模式；信號強度；上電時間；廠商屬性。

3.3.2 高效的無線攻擊檢測技術

有別于有限網絡的攻擊都集中在網絡層，無線網絡無法像有限網絡一樣通過部署IDS、IPS進行檢測，需要通過不同的無線攻擊識別技術實現，無線安全監測防御系統利用無線檢測技術及算法，形成覆蓋無線協議的攻擊特征庫，使得無線安全監測及防護系統能夠高效的檢測無線欺騙、無線破解、流氓AP、無線DoS攻擊等多個分類中數十種基于無線網絡架構的攻擊。

3.3.3 基于射頻的精確阻斷技術

在無線網絡環境，無線入侵防御系統采用基于無線鏈路層的阻斷技術，滿足企業對精準阻斷的要求，杜絕無阻斷情況。

傳統的射頻干擾（通過高功率、長時間發送所在頻段的干擾信號，干擾無線設備的正常接收）的阻斷方式，無法實現精確阻斷，因此無線入侵防御系統需要采用更先進攻擊反制方式：利用無線報文反制攻擊設備，壓制甚至阻斷其攻擊行為。例如，當有無線攻擊包對辦公AP進行攻擊時，無線入侵防御系統可通過發送放棄握手包，致使攻擊行為無效。

另一方面，當無線入侵防御系統的工作區域內，沒有出現攻擊行為時，設備將處于監聽的狀態，對外也不發射任何的射頻信號，一旦攻擊行為出現并被有效檢測，設備即開始針對性的反制動作。

此外，精確阻斷不會對其他無線設備的工作造成任何的不良影響，甚至在同一無線AP下的非法終端被反制，也不會對合法接入的無線終端造成影響，并且策略支持用戶自定義或自動策略下發。這種智能的攻擊反制方式，是傳統射頻干擾器無法比擬的。

目前，無線入侵防御系統的攻擊反制手段包括針對無線設備、針對無線關聯關系實施防御策略。在技術手段上，采用了泛洪反制、AirJack反制 、FakeAP反制等；無線入侵防御系統能夠自動、靈活、動態下發的反制策略，實現可靠的攻擊反制效果。

4 無線安全監測及防護系統實現

4.1 無線安全監測及防護系統架構

無線入侵防御系統主要由兩部分組成：無線入侵防御、無線安全引擎。

無線入侵防御：針對于無線掃描、WiFi暴力破解、無線釣魚、無線欺騙以及惡意AP、DoS等無線網絡的威脅，提供可靠、實時、有效、精確、持續的無線安全監測和防御能力。

無線安全引擎：進行無線安全事件的存儲和審計、分析以及處理，是無線安全產品海量信息處理中心。

無線入侵防御系統涵蓋無線入侵檢測、無線攻擊防御及無線安全態勢評估，本著安全、高效原則將各層功能模塊化設計，整個過程數據信息由系統統一監控、配置和調整。

4.2 無線安全監測及防護系統拓撲

采用分布式無線安全防護思想，即無線安全控制器+無線探針，探針供電采用802.3af/802.1at標準以太網供電方案（Power over Ethernet，PoE），通過以太網線來匯聚無線環境實時拓撲與安全事件數據流。利用無線安全控制器下發安全策略；利用無線入侵防御探針，實現對無線接入系統非法入侵無線、非法外聯、外部系統的有效監測、并實時阻斷非法無線設備（無線AP、無線終端等）發起的非法入侵行為。

4.3 應用效果

通過研究并實施無線安全監測以及防護系統，有效遏制外部攻擊及規范內部無線辦公網絡發布及使用的行為，具體有七方面效益。

（1）監控所有無線信號，并進行安全檢測。有效控制無線網絡數量，保障已發布的無線信號規范安全。

（2）阻斷所有非授權的連接，保護內部網絡，阻斷安全攻擊。

（3）監控所有信道使用情況，提高無線網絡效率。

（4）記錄所有安全事件，為事后追溯提供證據。

（5）統計所有無線流量，提供高效的網絡管理。

（6）定位所有無線設備位置，提供精確的位置信息，發現違規設備。

（7）防止內部信息泄漏及保障服務可用性，提供對未許可AP/Router、 Ad-hoc 連接、 Honey-pot AP、DoS 攻擊等安全威脅的探測及阻斷功能。

5 結束語

多數企業用戶網上業務辦理時沒有有效的安全無線防護機制和措施，營業廳WLAN系統以及企業用戶極易受到無線釣魚和無線DDoS等攻擊，造成企業級客戶敏感信息被竊取、業務辦理停滯、公信力降低、損害公司信形象等問題。

通過建立全面的無線安全防護體系并部署無線安全監測防御系統，實現無線發現、無線防護墻、無線安全入侵防御、無線安全狀態實時展示等功能，達到對無線網絡從接入到認證、從數據傳輸到無縫漫游等全面的安全保障，同時對無線設備（AP、終端）等合法接入設備提供7×24小時的入侵防御能力，最終實現對移動應用環境的無線系統的安全防護。

參考文獻

[1] 徐振華.無線網絡安全現狀及對策研究[M].北京：知識產權出版社，2016.

[2] 姚琳，林馳，王雷.無線網絡安全技術[M].北京：清華大學出版社，2018.

[3] 馮光升，林雪綱，呂宏武.無線網絡安全及實踐[M].黑龍江：哈爾濱工程大學出版社，2017.

[4] 馬建峰.無線局域網安全體系結構[M].北京：高等教育出版社，2018.

[5] 易平.無線網絡攻防教程[M].北京；清華大學出版社，2015.

[6] 無線安全技術白皮書[R].Beijing Venustech Cybervision Co.，Ltd.2012.