淺析無線局域網安全風險及防護策略

（天津市醫學科學技術信息研究所 天津 300070）

1 引言

無線局域網（WLAN）作為無線高速數據通信的主流技術，突破了物理線路傳輸的局限性，具有帶寬高、構建成本低廉、部署方便、拓撲結構靈活、易于維護管理等特點，被廣泛地應用于各種密集用戶場景中。隨著企事業等機構信息化建設步伐的加快，移動辦公的需求也日益激增，WLAN 使筆記本電腦、平板電腦、手機等移動終端設備成為便攜的辦公工具，甚至WLAN 功能還被集成在如打印機、掃描儀、投影儀等辦公設備上，因而使用WLAN 的設備數量迅速增長。2018 年10 月WiFi 聯盟將基于IEEE 802.11ax 標準的WiFi 正式納入“麾下”，即成為第六代WiFi 技術，802.11ax 將最大物理速率提升至9.6Gbps，進一步滿足萬人會場、高密辦公、智慧工廠等高速率、大容量、低延時場景的應用需求。但是，無線局域網的普及也導致其安全問題成了關注的焦點。無線網絡的無邊界化、信號開放等特性使無線局域網面臨更多的安全威脅。因此對于無線局域網的安全接入和管理，以及接入之后如何維護內部網絡安全，保證業務系統正常運行都需要有效的無線安全解決方案。為此，本文分析總結了WLAN 的安全性威脅，并相應地提出可實施的防范策略與技術。

2 無線局域網絡的安全性威脅分析

由于無線局域網絡具有固有的物理結構和電磁傳輸方式，使得針對無線局域網的攻擊相當隱蔽，導致其較有線網絡安全風險更高。本章分析了無線局域網面臨的安全問題，總結出幾種典型的攻擊方式。

2.1 加密破解

WPA2 作為目前普遍使用的WLAN 安全協議，采用802.1X/EAP框架實現身份認證和動態密鑰管理，雖然增加了高級加密標準（AES）加密算法和計數器模式密碼塊鏈信息認證碼（CCM）認證方式，較WPA 安全性更高，但仍存在密碼短語破解、密鑰重新安裝攻擊（KRACK）等安全漏洞。2020 年初受到Wi-Fi 芯片的高危漏洞Kr00k的攻擊影響，國內外著名的設備廠商制造的無線設備達數十億臺，攻擊者無須連接受害者的無線網絡，使用KRACK 攻擊技術就可輕易地竊取加密數據。在實現四次握手時由于802.11 標準中沒有定義何時安裝協商密鑰，通過安裝相同的密鑰方式，KRACK 攻擊重置是通過加密協議運用的隨機數以及重放計數裝置，導致無線局域網傳輸中的數據包存在被竊取修改、嗅探的風險，無法及時進行處理。密鑰重新安裝攻擊影響的范圍度廣，危害性高，在使用WPA2 個人版和WPA2 企業版協議的網絡中也存在此種漏洞。

2.2 欺騙攻擊

最常見的欺騙攻擊手段有會話劫持攻擊以及中間人攻擊兩種。因為無線局域網認證協議基于端口認證協議，當用戶驗證成功時，它可以與接入點進行正常通信，在無線設備已經成功認證之后，會話劫持攻擊者可以輕易劫持其合法會話，違法設備繼續使用網絡流量，并根據劫持的設備發送數據幀。而中間人攻擊，黑客并不直接登入用戶的網絡，而是將它設定成AP，冒充正常的網絡AP，有著正常的網絡AP 的設置，并發送很強的信號，一般用戶將誤判為公司的AP，并向它發送資料。中間人利用這個所謂的中繼點來欺騙誘導用戶和其他接入節點，利用未經授權的設備發送數據，還可以竊聽來自受害者主機的無線流量數據采集以及數據操作。因為IEEE 802.11 標準使用網絡名稱（SSID）以及MAC 地址（BSSID）作為無線接入點的唯一識別標記，同時組建無線局域網又相對簡單，易于擴展，很難對無線局域網設備進行有效監控管理，所以以上這幾點因素使得仿造欺騙性的流氓無線接入點AP 并不困難。即便用戶使用了SSL 和其他加密技術，現有的免費工具仍然可以消除SSL 加密并動態創建虛假證書，從而實現對加密流量的中間人進行攻擊。

2.3 拒絕服務攻擊DoS

拒絕服務（DoS）攻擊作為一種常見的損壞攻擊技術，通過使用各種方法來影響網絡的正常運行，實現網絡不能提供服務的目的。由于目前的安全協議側重于確保數據的安全，如何確保無線局域網可以正常使用沒有涉及，這導致無線局域網無法預防DoS 攻擊。無線局域網一般會遭受到兩種類型的拒絕服務攻擊：物理層DoS 攻擊和MAC 層DoS 攻擊。物理層的DoS 攻擊主要通過信號干擾來實現的，MAC 層DoS 攻擊的類型有四種，第一種是通過偽造大量相關幀或認證幀，使AP 內存耗盡導致無法及時響應合法的請求；第二種方法是通過連續發送相關幀或是認證幀，破壞STA（站點）和AP（無線接入點）之間的連接，使合法用戶無法正常上網；第三種攻擊類型由802.11 標準電源管理協議攻擊，使休眠的節點永遠無法喚醒或丟失數據；第四種DoS 攻擊使用攻擊MAC 層進行攻擊，它可以直接在短幀間間隔最短的時間區段發送數據包，所以其他節點沒有發送數據的機會。

3 無線網絡安全的防護策略

WPA2 及以前已發布的無線局域網訪問認證協議已被破解，因此必須采用保護性級別更高的接入認證協議WPA3，WPA3 采用保護性更強的管理幀技術，解決了去關聯去認證幀帶來的惡意攻擊問題。

3.1 監測非法無線局域網設備

無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估，首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高，則無線環境信息采集的精確度越高，同時部署的密度越高，信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀，獲取到各種AP 與無線終端設備的相關信息，如：MAC地址、服務集標識、信道、信號強度、噪聲、工作方式、運行時間等，再通過分析采集到的終端設備和AP 發送信息，可以繪制出無線局域網拓撲結構，檢測出釣魚接入點（Rogue Access Point，簡稱Rogue AP）、違規外聯內網終端與Ad-Hoc（點對點）無線直連模式，進而評估整個無線局域網環境下的設備安全狀況，除此之外，對于設備的嚴格控制，可以通過設置黑白名單實時對非授權設備進行報警。

3.2 有效隔離

由于無線網絡非常容易受到攻擊，因此被認為是一種不可靠的網絡，所以無線網絡和有線核心網絡要隔離開，很多單位將無線網絡布置在如接待室、多功能會議室等特定公共區域，作為提供給來訪者的接入方式。應將網絡布置在核心網絡防護外殼的外面，如防火墻的外面，接入訪問核心網絡采用VPN 方式。同時如果將AP 安裝在像防火墻這樣的網絡安全設備的外面，可以阻止流量監聽和流量分析等攻擊手段，還可以采用SSH、SSL、IPSec 等加密技術手段來提高數據的安全性。

3.3 無線入侵檢測系統

由于目前無線局域網存在的缺點，使得單位網絡和個人通信很容易受到惡意用戶的攻擊，如DOS 攻擊，為了保證數據的安全性，不能僅側重做攻擊防護工作，還要注重做好入侵檢測工作，目前應用于無線局域網安全檢測系統的技術主要包括三種，下面分別予以列舉。

3.3.1 誤用檢測：是通過某種方式預先定義行為，然后監視系統的運行，從中找出符合預先定義規則的入侵行為。它的優點是檢測準確度高，技術相對成熟，便于系統維護，缺點是入侵信息的收集和更新困難，難以檢測本地入侵和新的入侵行為，維護特征庫的工作量巨大。常用的檢測技術有：專家系統，基于模型的入侵檢測方法，簡單模式匹配和軟計算方法。

3.3.2 異常檢測：異常檢測是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。具體使用方法是在“檢測執行內容”事件中，設置所要執行的命令。然后執行其方法‘檢測執行’。如果發現命令錯誤時，就發出執行異常事件。異常檢測的優點是能夠檢測新的入侵或從未發送的入侵；對操作系統的依從性小；可檢測出屬于濫用權限型的入侵。它的缺點是報警率高，行為模型建立困難，目前常用的是統計方法。

3.3.3 協議分析技術

協議分析技術利用網絡通信協議的高度規則性，首先捕獲并分析網絡數據包，然后確定數據包屬于何種協議類型，最后利用相應的命令解釋程序讀取攻擊字符串及所有可能的變體并做出詳細分析。該技術不僅能快速探測出WLAN 中是否有網絡攻擊，而且還能檢測網絡中的故障，指出錯誤與高風險的網絡配置選項，為網絡維護管理提供參考。基于協議分析技術的入侵檢測系統具有檢測速度快，精確度高，系統資源消耗低等優點，能有效檢測入侵來源。

3.4 無線局域網安全使用

當使用公共無線局域網時，應避免使用無密碼保護的公共網絡，并盡量不使用網絡銀行和信用卡服務登錄網絡游戲和電子郵件訪問企業VPN 等服務。在構建無線局域網接入點時，應注意關閉網絡的SSID 廣播，提高網絡連接的安全系數，在確保使用功能的前提下，利用更加復雜的密碼降低無線路由器的無線傳輸功率，從而降低無線信號的覆蓋率，減少惡意攻擊的風險。

4 結語

無線局域網作為一種高效接入方式，具有信息速率高、頻段開放、覆蓋范圍更廣、端口密度超高等顯著優勢，是有線局域網的補充，為獲得安全、可靠和穩定的無線局域網絡應用環境，我們應根據無線網絡不同邏輯層的安全需求，對物理設備的型號、屬性與結構進行合理規劃，規范無線局域網使用，優化安全策略，提升無線局域網安全防護能力。