無線網絡的安全防護技術探討

李樹丹

(中共遼寧省委黨校，遼寧 沈陽 110000)

0 引言

隨著以安卓和蘋果為主的智能手機、平板電腦等智能移動終端的普及以及近年來線上網課的增加，人們對無線網絡的使用和依賴日益劇增，無線網絡已成為移動終端接入互聯網的主要方式。相比于傳統網絡，無線網絡具有移動性好、易組建、可擴展等特點。無線網絡主要是為用戶在辦公區、公共區、會議場所等地提供無線網絡服務。無線網絡在給人們的生活帶來便利的同時，安全性問題也日益突出。

1 無線網絡安全問題

1.1 網絡開放性導致的問題

無線網絡本身具有開放的屬性，缺少防御邊界，這就使得無線網絡更容易被監聽和受到主動攻擊，從而引發網絡的安全問題。由于無線網絡是以無線電波為載體進行傳輸數據的，理論上只要取得登錄密碼，無線網絡覆蓋范圍內的任何一臺設備都可以登錄無線網絡，訪問網絡資源。若這些接入點沒有或采用的加密協議不夠安全，網絡管理者沒有設置口令或設置了弱口令，則該接入點完全有可能被破解，入侵者進入內部網絡，就可以非法使用網絡資源或進行破壞活動。因此，無線網絡的開放性給網絡的安全性帶來了一系列的問題。

1.2 網絡節點的動態變化增加了管理難度

在日常的無線網絡環境中，無線網絡的結點是動態變化的，而安全方案的實施必須依賴所有結點的共同參與，這就增加了安全技術的復雜性，加大了方案實施的難度，攻擊者很可能利用這一特點對網絡進行破壞性攻擊，而且無線網絡拓撲結構中動態變化的節點加大了安全方案的實施難度。移動性是指無線終端可以在無線信號覆蓋的范圍內任意移動，并且還可在任意節點AP之間自由切換實現漫游。但問題也隨之而來，如果AP節點沒有相應的防護，就很容易被入侵、被攻擊。攻擊者可以在無線信號覆蓋范圍內的任何位置，連接至任意AP節點進行破壞行動，而在無線信號覆蓋范圍內定位一個移動的接入端是很困難的。另外，通過已入侵的節點對網絡實施攻擊而造成的破壞更大也更難于檢測。

1.3 WEP和WPA的缺陷導致的問題

無線網絡不同于有線網絡，無線網絡主要的傳輸介質是無線電波。為了提高網絡傳輸的安全性，WEP和WPA對無線客戶的身份認證和數據傳輸都分別進行了加密處理，然而入侵者會利用協議本身的漏洞，對網絡進行破壞或入侵無線網絡，非法獲取網絡資源，對其他合法用戶進行攻擊。

2 常見的無線網絡攻擊方式

2.1 破解WEP和WPA加密

有線等效保密協議(Wired Equivalent Privacy，WEP)主要是通過對無線網絡中傳送的數據進行加密，防止傳輸數據被竊取，阻止攻擊者非法入侵無線網絡，從而提高整個無線網絡的安全等級。后來，WEP被發現存在許多漏洞，比如在身份認證、加密算法、密鑰分發管理等方面存在漏洞，于2003年正式退役，取而代之的是WiFi訪問保護(Wi-Fi Protected Access，WPA)。WPA發展到今天，包含了WPA，WPA2和WPA3 3個標準。WPA之所以替代WEP，是因為WPA解決了WEP所不能解決的安全問題，比如提高了傳輸網絡數據的保護能力和接入控制的安全級別。WPA和WEP一樣，采用了RC4加密算法，所以只要監聽到的數據包足夠多，就可以對數據包進行破解，從而可以計算出網絡密鑰，對網絡進行攻擊破壞。

2.2 滲透無線內網

攻擊者為了實現種種目的，會對網絡進行入侵或破壞，這在行動之初是極其隱蔽和不易察覺的。一旦攻擊者通過破解的方式獲取到WEP或者WPA的加密密碼，就可以通過配置自己的無線網卡連接到目標網絡，即滲透到目標網絡內，進行網絡的監聽或入侵破壞，而網絡管理者卻很難鎖定攻擊來源。在攻擊者進入內網后，首先確認該網絡內部資源的分布及安全情況，一般會通過端口掃描的方式找出路由器、服務器地址、開放服務及端口等。攻擊者通過端口掃描，發現開放端口，判斷對象設備當前運行的服務及具體版本等信息，從而為進一步攻擊行動做準備。無線滲透攻擊如圖1所示。

圖1 無線滲透攻擊

2.3 偽造無線AP

偽造無線AP攻擊指在無線網絡覆蓋范圍內安裝AP，偽裝AP的SSID、MAC地址與被攻擊網絡的相同，如果有客戶端連接到該AP，通過監聽程序就可以竊取連接到該AP的無線客戶端的數據包，然后通過一些破解程序對數據包進行破解，就能獲得入侵者想要的信息。為了達到無線AP的欺詐目的，入侵者首先利用專用的掃描工具，對網絡進行掃描，獲得想要入侵的網絡的一些信息，比如信號強度、SSID名、加密方式等；然后為偽造的AP確定合適的位置，通常會選取比合法AP信號強的位置；最后將偽造AP的SSID和MAC地址設置成與合法AP相同，確保無線客戶可以在合法AP和欺詐AP之間切換，惡意AP可以提供強大的信號并嘗試欺騙一個無線基站使其成為協助對象，以達到泄露隱私數據和重要信息的目的。

2.4 無線DOS攻擊

拒絕服務攻擊(Denial of Services，DoS)指攻擊者不斷地向服務器發送請求，阻塞正常的網絡帶寬、消耗服務器提供正常服務的能力，使得合法用戶發送的正常請求不能得到響應[1]。而無線DoS攻擊是指對AP(接入點)進行攻擊，消耗AP的資源，導致AP服務中斷、過載、丟包，最終使AP喪失為合法用戶提供正常接入無線網絡的能力。常見的無線DoS攻擊包括：Deauth Flood攻擊、Auth Flood攻擊、Association Flood攻擊、Disassociation Flood攻擊等，其中Deauth Flood 是指攻擊者通過廣播插入偽造取消身份驗證的報文，客戶端認為該報文來自AP，致使已連接的客戶端與AP斷開連接，攻擊者通過反復發送欺騙報文，致使客戶端持續不能連接到AP。Deauth Flood攻擊如圖2所示。

圖2 Deauth Flood攻擊

2.5 釣魚AP

網絡釣魚(Phishing)指在無線網絡中的釣魚手法，但無線網絡傳輸協議和有線網絡不同，使得無線釣魚和有線釣魚略有不同[2]。一般情況下，攻擊者會對合法AP進行攻擊，以獲取密鑰、加密方式、信道、SSID等一些信息，然后再架設釣魚AP，通常釣魚AP的信號強度比合法AP強，對合法AP進行DoS攻擊，迫使合法AP不能提供正常的接入服務，這樣就迫使想正常接入網絡的客戶端接入釣魚AP，而一般情況下釣魚AP會通過橋接的方式連接到另外一個網絡。釣魚AP對無線網絡的安全威脅比較嚴重，常見的有偽造站點+DNS欺騙、偽造電子郵件+偽造站點攻擊。

3 無線網絡安全策略

3.1 使用WPA加密認證

WPA繼承了WEP的基本原理，同時又解決了WEP所面臨的問題。WPA針對WEP中存在的問題和缺陷，進行了升級和優化，主要體現在數據傳輸加密和認證協議兩方面。WPA認證主要分為兩種方式，一種是企業級WPA-Enterprise，一種是個人用戶WPA-PSK，這兩種認證方式安全級別不同，所對應的應用場景也不同。WPA的傳輸加密是根據使用的密鑰和接入設備網卡的MAC地址，并與一個初始化向量合并，針對每個接入節點生成不同的密鑰流，隨后TKIP會使用RC4加密算法對數據進行加密，但與WEP不同的是TKIP出于安全考慮，修改了常用密鑰，從而提高了安全性。WPA2是第二代WPA，最初的WPA2和WPA之間的主要差別是WPA2需要高級加密標準AES來加密數據，而WPA是采用TKIP進行加密，后來WPA也支持AES加密，因為采用AES的加密技術可以提供更高的安全標準，從而滿足企業或個人的網絡安全防護需要。一般而言，為了提高設備的兼容性，支持WPA2認證的無線設備也兼容WPA和WEP，即在一個網絡環境中可以同時運行WEP，WPA，WPA2的網絡設備。而WPA3是繼WPA2推出后，于2018年1月在國際消費電子展(CES)上發布的新加密協議標準。WPA3和WPA2類似，也分為企業版和個人版。WPA3企業版在WPA2企業版的基礎上，增加了一種更為安全的模式——WPA3-Enterprise 192bit，該模式主要是在數據、密鑰、流量、管理幀等方面提供更安全的保護。WPA3個人版采用更安全的對等實體同時驗證(SAE)取代WPA2個人版采用的預共享密鑰(PSK)的認證方式。同時WPA3在開放認證的基礎上提出了增強型開放式網絡認證，即OWE認證，在保留開放式認證便利性的同時，對用戶所使用的無線設備和AP之間傳送的數據進行加密，讓攻擊者無法獲取用戶傳輸的數據，從而提高開放式網絡的安全性。

3.2 服務集標識符匹配

服務集標識符(Service Set Identifier，SSID)可以被看成無線網絡的名稱。當用戶要接入一個無線網絡，首先會選擇無線網絡的SSID，然后輸入網絡安全密鑰，驗證成功后就可以接入無線網絡。用戶可以通過設置不同的SSID名稱[3]來區分不同的無線網絡，從而實現業務分離。在企業級AP中，每個AP可以創建多個SSID，每一個SSID可以分別設置加密方式和網絡安全密鑰，只有通過身份驗證后才能進入對應的無線網絡。用戶可以把不同的業務或網絡資源通過SSID加以區分，這樣不同SSID網絡之間就實現了用戶之間的隔離，從而提高了安全性。另外，一些對安全性要求高的無線網絡可以通過關閉廣播避免被攻擊者搜索到。因為攻擊者在入侵網絡時，一般會通過掃描來了解網絡的基本狀況，而關閉SSID廣播可以躲避一些軟件的掃描，從而降低無線網絡被入侵的概率。

3.3 無線AC結合WEB認證方式

無線AP按接入模式可以分為FAT模式和FIT模式，即人們常說的“胖”AP和“瘦”AP，并且兩種模式可以相互切換。傳統的無線網絡結構一般會采用FAT-AP模式。工作在FAT-AP模式的AP就相當于一個獨立的無線熱點，既可以進行管理，又可以單獨配置SSID，并且AP本身還可以完成加密認證等任務。由于每個AP都需要單獨地進行配置和管理，如果AP數量多，就會增加管理難度，并且當AP受到攻擊與干擾時也難以發現，所以此種模式適合應用在小型的無線網絡中。FIT-AP是一種新興的WLAN組網模式，和FAT-AP不同，FIT-AP對每個AP的配置和管理是通過無線網絡控制器(AC)來實現的，在AP端實現零配置。這種方式將AP的配置和管理轉移到無線控制器中統一實現，不僅提高了維護和管理的效率，而且還提高了整個網絡的工作效率，并且還可以對整個無線射頻環境進行監控，進而發現非法的AP。

無線網絡主要功能是為合法無線終端用戶提供訪問網絡資源的服務。使用WEP或WPA進行加密認證，如果加密密鑰被破解，非法用戶便可連接到無線網絡，給整個網絡的安全帶來威脅。因此在用戶接入無線網的認證設計上，可采取FIT-AP + 無線控制器(AC)+Web認證服務器的方式。Web認證是當用戶選擇接入網絡時，終端瀏覽器會被無線網絡的AC(控制器)強制跳轉到指定的Protal服務器認證網頁，并要求用戶輸入賬號和密碼進行身份認證一種方式，當用戶通過認證時，可以正常使用網絡資源，如使用內網的相關服務或訪問互聯網；當用戶未認證或認證未通過時，則不能使用內網的相關服務或只可使用Protal服務器上的有限服務。

3.4 部署無線入侵檢測系統

無線入侵檢測系統(Wireless Intrusion Detection System，WIDS)通常由兩部分組成：分布式傳感器和管理控制臺。在無線網絡中，一般會部署分布式傳感器(有的是通過部署監聽AP來實現)，這樣在WIDS系統中，可以通過部署的分布式傳感器(監聽AP)監測周圍的無線網絡，WIDS的傳感器是通過處于監聽模式的AP來完成數據包的捕獲和解析[4]，當發現解析的數據包有入侵或攻擊無線網絡的行為時，系統就會發出警報并采取相應的措施，以阻止未經授權的設備進入網絡，保護用戶的信息安全和網絡資源被合法使用。目前大多數無線控制器都具備無線入侵檢測功能，能檢測阻止類似泛洪攻擊、欺騙攻擊等惡意行為。

3.5 完善管理制度

若要合理地利用無線網絡，使用網絡提供的服務，就要規范無線網絡的使用，防止無管理、無防護狀態下使用無線網絡造成信息泄露、重要數據被破壞等嚴重后果。網絡管理人員在實際工作中，不但要定期檢查網絡設備的運行狀況，查看相關設備日志，在發現問題后采取相應的措施進行處理，同時也要出臺相關管理制度，一方面提高人員的信息安全意識，嚴禁私人安裝無線路由等AP設備，另一方面對違反規定的行為進行嚴肅處理。

4 結語

目前，在眾多無線網絡的應用中，或多或少地存在安全問題。要想提高無線網絡的安全性，需要從多方面進行提升，例如設置合理的加密認證方式，采用FIT-AP，用無線AC結合Web的方式以提高認證的安全性；要求用戶設置復雜的密碼，增加暴力破解密碼難度；在資金允許的前提下，增配無線入侵檢測系統等，同時也要建立有效的管理機制，禁止私自安裝AP，提高使用人員的安全意識等，都能夠提升無線網絡的安全性。