WLAN無線網(wǎng)絡(luò)安全技術(shù)研究及應用

蘇 杰

（眾至誠信息技術(shù)股份有限公司，山西 太原 030006）

1 WLAN無線網(wǎng)絡(luò)應用及面臨的風險

1.1 流氓AP

流氓AP風險的特點在于不易察覺，一般在內(nèi)網(wǎng)下無法被察覺。在流氓AP信號覆蓋范圍內(nèi)，大幅度增加了內(nèi)網(wǎng)被入侵的可能性。采取傳統(tǒng)的技術(shù)手段通常無法發(fā)揮作用，如防火墻等。流氓AP會采取各種方法隱藏自己，不易被察覺，雖然網(wǎng)絡(luò)管理人員在檢查過程中無法發(fā)現(xiàn)，一旦被黑客發(fā)現(xiàn)，則會對流氓AP進行攻擊。因此，流氓AP的網(wǎng)絡(luò)安全隱患直接影響了WLAN無線網(wǎng)絡(luò)的安全運行。

1.2 無線釣魚

如果終端以往連接了一個WLAN網(wǎng)絡(luò)，那么終端會記住它。如果WLAN網(wǎng)絡(luò)終端被打開，那么終端會自動連接以往曾經(jīng)連接過的WLAN網(wǎng)絡(luò)。WLAN網(wǎng)絡(luò)構(gòu)架的屬性，能實現(xiàn)人們對WLAN網(wǎng)絡(luò)中某個特定AP的指定使用，并自主切換到另一個WLAN網(wǎng)絡(luò)。如果連接到某一WLAN網(wǎng)絡(luò)后，終端將會自動漫游在眾多AP中。使用者一般難以分辨這些AP中隱藏著的釣魚AP，一旦其他AP的信號強度低于釣魚AP，終端將會立即連接釣魚AP，從而直接影響WLAN網(wǎng)絡(luò)的安全使用[1]。

黑客在攻擊無線釣魚時，采取的步驟主要如下。

（1）WLAN網(wǎng)絡(luò)密匙的獲取。如果WLAN網(wǎng)絡(luò)是WEP或WPA認證，一般黑客在網(wǎng)絡(luò)密匙破解過程中通過無線破解工具進行操作。如果密匙的破解難度較大，一般會將社會工程方法應用于實際來獲取網(wǎng)絡(luò)密匙。

（2）WLAN網(wǎng)絡(luò)的偽造。在WLAN網(wǎng)絡(luò)的偽造過程中，黑客一般采用1臺相同的SSID釣魚AP設(shè)置無線網(wǎng)絡(luò)密匙。為了增加終端自動連接被偽造的WLAN網(wǎng)絡(luò)的概率，黑客會在信號強度方面下工夫，其通過與高增益天線的配合，從而達到擴大無線覆蓋范圍的目的[2]。

（3）流量截獲或進一步攻擊。為了達到用戶終端的控制效果，在連接無線釣魚后，黑客將獲取移動終端的數(shù)據(jù)流量。另外，黑客可進一步進行攻擊，主要是獲取HTTP請求，并將攻擊代碼、木馬植入用戶。

1.3 非法外聯(lián)

WLAN無線功能在大多數(shù)移動終端都比較常見，雖然企業(yè)采取各種手段管制網(wǎng)絡(luò)安全，但企業(yè)周圍存在很多免費無線網(wǎng)絡(luò)熱點，使員工們不由自主地連接這些WLAN網(wǎng)絡(luò)。員工們頻繁切換所連接的內(nèi)網(wǎng)與外網(wǎng)，可能會存在網(wǎng)絡(luò)安全問題，如手機終端、電腦終端內(nèi)信息被盜等，甚至會給內(nèi)網(wǎng)運行埋下安全隱患，使內(nèi)網(wǎng)出現(xiàn)感染病毒。

1.4 中間人攻擊

中間人是2臺通信計算機之間放置1臺虛擬的計算機，中間人可以由黑客控制。黑客能夠?qū)崿F(xiàn)雙方數(shù)據(jù)的獲取與交換，從而使黑客完全控制兩端通信過程，監(jiān)聽兩端的所有通信。攻擊者還可以通過攔截雙方通話或者更改原有的信息，將新的內(nèi)容插入其中，從而使通信雙方接收到的內(nèi)容與實際不相符。

2 WLAN無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

2.1 高精度鏈路層協(xié)議分析

高精度的協(xié)議分析和自適應匹配算法是無線鏈路攻擊檢測技術(shù)在解碼和特征檢測過程中對無線安全引擎計算的主要方法，具有準確性和高效性優(yōu)勢。在入侵環(huán)節(jié)，協(xié)議分析占據(jù)重要地位，能夠提高特征匹配的精度，且能夠減少特征匹配計算量[3]。網(wǎng)絡(luò)攻擊特點的研究是展開高精度鏈路層協(xié)議分析的第一步，一般在對其分析前需提取特征知識庫中的協(xié)議信息。攻擊研究和特征知識庫進行的分析深度差異，是協(xié)議分析質(zhì)量的關(guān)鍵差異。

2.2 多模匹配算法選擇

報文中匹配多個串模式是在一個報文匹配運算中耗時量最大的匹配運算。實際上，多種多串并行匹配算法越來越多。但是，由于受到市場的考驗，這種算法在商業(yè)產(chǎn)品中應用較為廣泛。Aho-Corasick自動機算法、Wu-Manber算法以及ExB算法都是多種多串并行匹配算法的變種。

3 WLAN無線網(wǎng)絡(luò)安全防護技術(shù)應用

3.1 無線網(wǎng)絡(luò)入侵防御技術(shù)

為了保證WLAN無線網(wǎng)絡(luò)安全，可在結(jié)合射頻信號與802.11特點的基礎(chǔ)上，進一步創(chuàng)新無線安全策略。在非法用戶接入阻止過程中，可充分利用射頻信號。這一過程必須以AP或Station屬性為前提，目的是構(gòu)建物理安全的無線安全區(qū)域，保證用戶網(wǎng)絡(luò)安全。要想達到無線入侵防御功能，檢測與阻斷一些非法無線設(shè)備是關(guān)鍵，如無線掃描、DoS等，能夠防止內(nèi)網(wǎng)機密通過無線網(wǎng)絡(luò)外傳。將入侵防御設(shè)備設(shè)置于無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)邊界處，能夠?qū)崿F(xiàn)可管、可控的無線網(wǎng)絡(luò)系統(tǒng)。

無線安全引擎設(shè)備部署在AP覆蓋的區(qū)域，是將無線安全引擎設(shè)備部署于暫定每臺AP旁。無線網(wǎng)絡(luò)區(qū)域中心位置是部署位置的前提條件，需要注意，盡可能大范圍覆蓋。一般，覆蓋范圍是無線AP可以覆蓋的所有區(qū)域，如圖1所示。

圖1 無線網(wǎng)絡(luò)防御設(shè)備部署

在實現(xiàn)其他連接的完全阻斷過程中，可在設(shè)備上設(shè)置合法網(wǎng)絡(luò)部署，并應用合法客戶端一對一的允許策略，使非法網(wǎng)絡(luò)阻止連接，只連接合法的網(wǎng)絡(luò)，監(jiān)控網(wǎng)絡(luò)實際情況。將審計數(shù)據(jù)寫入數(shù)據(jù)庫，如果發(fā)現(xiàn)非法AP即時告警，并將連接阻斷。在引擎管理中采用web，能夠?qū)崿F(xiàn)引擎上報的告警信息關(guān)注。其中，無線掃描、無線破解以及拒絕服務(wù)攻擊等是監(jiān)視并防范的主要內(nèi)容。

為了使管理質(zhì)量滿足實際需求，可應用集中管理的方式，通過專門集中管理軟件有效管理多臺部署的無線安全引擎設(shè)備，實現(xiàn)集中配置無線安全引擎，可在數(shù)據(jù)收集方面達到集中收集效果，同時具有其他功能，如日志查詢等[4]。

對于無線安全告警事件的存儲，集中管理中心可以實現(xiàn)便捷的管理效果，根據(jù)告警級別、類型等輸入報表，為更好地追蹤溯源奠定基礎(chǔ)。

3.2 無線有線一體化關(guān)聯(lián)分析技術(shù)

為了實現(xiàn)防御的整體安全性，應當有效結(jié)合無線安全和有效安全，以達到一體化的安全防御。為了實現(xiàn)無線網(wǎng)絡(luò)安全威脅的準確定位，在無線網(wǎng)絡(luò)安全因素分析過程中，不能只分析無線網(wǎng)絡(luò)，還需要統(tǒng)一考慮有線網(wǎng)絡(luò)，即無線有限一體化關(guān)聯(lián)分析技術(shù)。實際中需要掃描和探測無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)，持續(xù)了解網(wǎng)絡(luò)中的攻擊特征，并不斷匯總無線網(wǎng)絡(luò)攻擊特點。另外，需要分析無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)設(shè)備的特點與屬性。

4 結(jié) 論

WLAN無線網(wǎng)絡(luò)安全隱患給人們的工作與生活帶來了不利影響。為了保證WLAN無線網(wǎng)絡(luò)的安全使用，完善WLAN無線網(wǎng)絡(luò)安全防范措施具有重要意義。本文通過對WLAN無線網(wǎng)絡(luò)安全技術(shù)及應用進行探究，為提高WLAN無線網(wǎng)絡(luò)的安全運行提供了一些參考，促進了WLAN無線網(wǎng)絡(luò)良好發(fā)展。