WLAN無線網絡安全技術研究及應用

蘇 杰

（眾至誠信息技術股份有限公司，山西 太原 030006）

1 WLAN無線網絡應用及面臨的風險

1.1 流氓AP

流氓AP風險的特點在于不易察覺，一般在內網下無法被察覺。在流氓AP信號覆蓋范圍內，大幅度增加了內網被入侵的可能性。采取傳統的技術手段通常無法發揮作用，如防火墻等。流氓AP會采取各種方法隱藏自己，不易被察覺，雖然網絡管理人員在檢查過程中無法發現，一旦被黑客發現，則會對流氓AP進行攻擊。因此，流氓AP的網絡安全隱患直接影響了WLAN無線網絡的安全運行。

1.2 無線釣魚

如果終端以往連接了一個WLAN網絡，那么終端會記住它。如果WLAN網絡終端被打開，那么終端會自動連接以往曾經連接過的WLAN網絡。WLAN網絡構架的屬性，能實現人們對WLAN網絡中某個特定AP的指定使用，并自主切換到另一個WLAN網絡。如果連接到某一WLAN網絡后，終端將會自動漫游在眾多AP中。使用者一般難以分辨這些AP中隱藏著的釣魚AP，一旦其他AP的信號強度低于釣魚AP，終端將會立即連接釣魚AP，從而直接影響WLAN網絡的安全使用[1]。

黑客在攻擊無線釣魚時，采取的步驟主要如下。

（1）WLAN網絡密匙的獲取。如果WLAN網絡是WEP或WPA認證，一般黑客在網絡密匙破解過程中通過無線破解工具進行操作。如果密匙的破解難度較大，一般會將社會工程方法應用于實際來獲取網絡密匙。

（2）WLAN網絡的偽造。在WLAN網絡的偽造過程中，黑客一般采用1臺相同的SSID釣魚AP設置無線網絡密匙。為了增加終端自動連接被偽造的WLAN網絡的概率，黑客會在信號強度方面下工夫，其通過與高增益天線的配合，從而達到擴大無線覆蓋范圍的目的[2]。

（3）流量截獲或進一步攻擊。為了達到用戶終端的控制效果，在連接無線釣魚后，黑客將獲取移動終端的數據流量。另外，黑客可進一步進行攻擊，主要是獲取HTTP請求，并將攻擊代碼、木馬植入用戶。

1.3 非法外聯

WLAN無線功能在大多數移動終端都比較常見，雖然企業采取各種手段管制網絡安全，但企業周圍存在很多免費無線網絡熱點，使員工們不由自主地連接這些WLAN網絡。員工們頻繁切換所連接的內網與外網，可能會存在網絡安全問題，如手機終端、電腦終端內信息被盜等，甚至會給內網運行埋下安全隱患，使內網出現感染病毒。

1.4 中間人攻擊

中間人是2臺通信計算機之間放置1臺虛擬的計算機，中間人可以由黑客控制。黑客能夠實現雙方數據的獲取與交換，從而使黑客完全控制兩端通信過程，監聽兩端的所有通信。攻擊者還可以通過攔截雙方通話或者更改原有的信息，將新的內容插入其中，從而使通信雙方接收到的內容與實際不相符。

2 WLAN無線網絡安全關鍵技術

2.1 高精度鏈路層協議分析

高精度的協議分析和自適應匹配算法是無線鏈路攻擊檢測技術在解碼和特征檢測過程中對無線安全引擎計算的主要方法，具有準確性和高效性優勢。在入侵環節，協議分析占據重要地位，能夠提高特征匹配的精度，且能夠減少特征匹配計算量[3]。網絡攻擊特點的研究是展開高精度鏈路層協議分析的第一步，一般在對其分析前需提取特征知識庫中的協議信息。攻擊研究和特征知識庫進行的分析深度差異，是協議分析質量的關鍵差異。

2.2 多模匹配算法選擇

報文中匹配多個串模式是在一個報文匹配運算中耗時量最大的匹配運算。實際上，多種多串并行匹配算法越來越多。但是，由于受到市場的考驗，這種算法在商業產品中應用較為廣泛。Aho-Corasick自動機算法、Wu-Manber算法以及ExB算法都是多種多串并行匹配算法的變種。

3 WLAN無線網絡安全防護技術應用

3.1 無線網絡入侵防御技術

為了保證WLAN無線網絡安全，可在結合射頻信號與802.11特點的基礎上，進一步創新無線安全策略。在非法用戶接入阻止過程中，可充分利用射頻信號。這一過程必須以AP或Station屬性為前提，目的是構建物理安全的無線安全區域，保證用戶網絡安全。要想達到無線入侵防御功能，檢測與阻斷一些非法無線設備是關鍵，如無線掃描、DoS等，能夠防止內網機密通過無線網絡外傳。將入侵防御設備設置于無線網絡、有線網絡邊界處，能夠實現可管、可控的無線網絡系統。

無線安全引擎設備部署在AP覆蓋的區域，是將無線安全引擎設備部署于暫定每臺AP旁。無線網絡區域中心位置是部署位置的前提條件，需要注意，盡可能大范圍覆蓋。一般，覆蓋范圍是無線AP可以覆蓋的所有區域，如圖1所示。

圖1 無線網絡防御設備部署

在實現其他連接的完全阻斷過程中，可在設備上設置合法網絡部署，并應用合法客戶端一對一的允許策略，使非法網絡阻止連接，只連接合法的網絡，監控網絡實際情況。將審計數據寫入數據庫，如果發現非法AP即時告警，并將連接阻斷。在引擎管理中采用web，能夠實現引擎上報的告警信息關注。其中，無線掃描、無線破解以及拒絕服務攻擊等是監視并防范的主要內容。

為了使管理質量滿足實際需求，可應用集中管理的方式，通過專門集中管理軟件有效管理多臺部署的無線安全引擎設備，實現集中配置無線安全引擎，可在數據收集方面達到集中收集效果，同時具有其他功能，如日志查詢等[4]。

對于無線安全告警事件的存儲，集中管理中心可以實現便捷的管理效果，根據告警級別、類型等輸入報表，為更好地追蹤溯源奠定基礎。

3.2 無線有線一體化關聯分析技術

為了實現防御的整體安全性，應當有效結合無線安全和有效安全，以達到一體化的安全防御。為了實現無線網絡安全威脅的準確定位，在無線網絡安全因素分析過程中，不能只分析無線網絡，還需要統一考慮有線網絡，即無線有限一體化關聯分析技術。實際中需要掃描和探測無線網絡和有線網絡，持續了解網絡中的攻擊特征，并不斷匯總無線網絡攻擊特點。另外，需要分析無線網絡、有線網絡設備的特點與屬性。

4 結 論

WLAN無線網絡安全隱患給人們的工作與生活帶來了不利影響。為了保證WLAN無線網絡的安全使用，完善WLAN無線網絡安全防范措施具有重要意義。本文通過對WLAN無線網絡安全技術及應用進行探究，為提高WLAN無線網絡的安全運行提供了一些參考，促進了WLAN無線網絡良好發展。