（天津市醫(yī)學科學技術信息研究所 天津 300070）

1 引言

無線局域網(wǎng)（WLAN）作為無線高速數(shù)據(jù)通信的主流技術，突破了物理線路傳輸?shù)木窒扌?，具有帶寬高、構建成本低廉、部署方便、拓撲結構靈活、易于維護管理等特點，被廣泛地應用于各種密集用戶場景中。隨著企事業(yè)等機構信息化建設步伐的加快，移動辦公的需求也日益激增，WLAN 使筆記本電腦、平板電腦、手機等移動終端設備成為便攜的辦公工具，甚至WLAN 功能還被集成在如打印機、掃描儀、投影儀等辦公設備上，因而使用WLAN 的設備數(shù)量迅速增長。2018 年10 月WiFi 聯(lián)盟將基于IEEE 802.11ax 標準的WiFi 正式納入“麾下”，即成為第六代WiFi 技術，802.11ax 將最大物理速率提升至9.6Gbps，進一步滿足萬人會場、高密辦公、智慧工廠等高速率、大容量、低延時場景的應用需求。但是，無線局域網(wǎng)的普及也導致其安全問題成了關注的焦點。無線網(wǎng)絡的無邊界化、信號開放等特性使無線局域網(wǎng)面臨更多的安全威脅。因此對于無線局域網(wǎng)的安全接入和管理，以及接入之后如何維護內部網(wǎng)絡安全，保證業(yè)務系統(tǒng)正常運行都需要有效的無線安全解決方案。為此，本文分析總結了WLAN 的安全性威脅，并相應地提出可實施的防范策略與技術。

2 無線局域網(wǎng)絡的安全性威脅分析

由于無線局域網(wǎng)絡具有固有的物理結構和電磁傳輸方式，使得針對無線局域網(wǎng)的攻擊相當隱蔽，導致其較有線網(wǎng)絡安全風險更高。本章分析了無線局域網(wǎng)面臨的安全問題，總結出幾種典型的攻擊方式。

2.1 加密破解

WPA2 作為目前普遍使用的WLAN 安全協(xié)議，采用802.1X/EAP框架實現(xiàn)身份認證和動態(tài)密鑰管理，雖然增加了高級加密標準（AES）加密算法和計數(shù)器模式密碼塊鏈信息認證碼（CCM）認證方式，較WPA 安全性更高，但仍存在密碼短語破解、密鑰重新安裝攻擊（KRACK）等安全漏洞。2020 年初受到Wi-Fi 芯片的高危漏洞Kr00k的攻擊影響，國內外著名的設備廠商制造的無線設備達數(shù)十億臺，攻擊者無須連接受害者的無線網(wǎng)絡，使用KRACK 攻擊技術就可輕易地竊取加密數(shù)據(jù)。在實現(xiàn)四次握手時由于802.11 標準中沒有定義何時安裝協(xié)商密鑰，通過安裝相同的密鑰方式，KRACK 攻擊重置是通過加密協(xié)議運用的隨機數(shù)以及重放計數(shù)裝置，導致無線局域網(wǎng)傳輸中的數(shù)據(jù)包存在被竊取修改、嗅探的風險，無法及時進行處理。密鑰重新安裝攻擊影響的范圍度廣，危害性高，在使用WPA2 個人版和WPA2 企業(yè)版協(xié)議的網(wǎng)絡中也存在此種漏洞。

2.2 欺騙攻擊

最常見的欺騙攻擊手段有會話劫持攻擊以及中間人攻擊兩種。因為無線局域網(wǎng)認證協(xié)議基于端口認證協(xié)議，當用戶驗證成功時，它可以與接入點進行正常通信，在無線設備已經(jīng)成功認證之后，會話劫持攻擊者可以輕易劫持其合法會話，違法設備繼續(xù)使用網(wǎng)絡流量，并根據(jù)劫持的設備發(fā)送數(shù)據(jù)幀。而中間人攻擊，黑客并不直接登入用戶的網(wǎng)絡，而是將它設定成AP，冒充正常的網(wǎng)絡AP，有著正常的網(wǎng)絡AP 的設置，并發(fā)送很強的信號，一般用戶將誤判為公司的AP，并向它發(fā)送資料。中間人利用這個所謂的中繼點來欺騙誘導用戶和其他接入節(jié)點，利用未經(jīng)授權的設備發(fā)送數(shù)據(jù)，還可以竊聽來自受害者主機的無線流量數(shù)據(jù)采集以及數(shù)據(jù)操作。因為IEEE 802.11 標準使用網(wǎng)絡名稱（SSID）以及MAC 地址（BSSID）作為無線接入點的唯一識別標記，同時組建無線局域網(wǎng)又相對簡單，易于擴展，很難對無線局域網(wǎng)設備進行有效監(jiān)控管理，所以以上這幾點因素使得仿造欺騙性的流氓無線接入點AP 并不困難。即便用戶使用了SSL 和其他加密技術，現(xiàn)有的免費工具仍然可以消除SSL 加密并動態(tài)創(chuàng)建虛假證書，從而實現(xiàn)對加密流量的中間人進行攻擊。

2.3 拒絕服務攻擊DoS

拒絕服務（DoS）攻擊作為一種常見的損壞攻擊技術，通過使用各種方法來影響網(wǎng)絡的正常運行，實現(xiàn)網(wǎng)絡不能提供服務的目的。由于目前的安全協(xié)議側重于確保數(shù)據(jù)的安全，如何確保無線局域網(wǎng)可以正常使用沒有涉及，這導致無線局域網(wǎng)無法預防DoS 攻擊。無線局域網(wǎng)一般會遭受到兩種類型的拒絕服務攻擊：物理層DoS 攻擊和MAC 層DoS 攻擊。物理層的DoS 攻擊主要通過信號干擾來實現(xiàn)的，MAC 層DoS 攻擊的類型有四種，第一種是通過偽造大量相關幀或認證幀，使AP 內存耗盡導致無法及時響應合法的請求；第二種方法是通過連續(xù)發(fā)送相關幀或是認證幀，破壞STA（站點）和AP（無線接入點）之間的連接，使合法用戶無法正常上網(wǎng)；第三種攻擊類型由802.11 標準電源管理協(xié)議攻擊，使休眠的節(jié)點永遠無法喚醒或丟失數(shù)據(jù)；第四種DoS 攻擊使用攻擊MAC 層進行攻擊，它可以直接在短幀間間隔最短的時間區(qū)段發(fā)送數(shù)據(jù)包，所以其他節(jié)點沒有發(fā)送數(shù)據(jù)的機會。

3 無線網(wǎng)絡安全的防護策略

WPA2 及以前已發(fā)布的無線局域網(wǎng)訪問認證協(xié)議已被破解，因此必須采用保護性級別更高的接入認證協(xié)議WPA3，WPA3 采用保護性更強的管理幀技術，解決了去關聯(lián)去認證幀帶來的惡意攻擊問題。

3.1 監(jiān)測非法無線局域網(wǎng)設備

無線局域網(wǎng)環(huán)境下的設備安全狀況可以借助監(jiān)控裝置捕獲到的結果來進行分析評估，首先對捕獲設備部署數(shù)據(jù)幀以作為數(shù)據(jù)采集點。采集點設備的性能越高，則無線環(huán)境信息采集的精確度越高，同時部署的密度越高，信息采集的覆蓋率越高。然后通過監(jiān)測捕獲無線環(huán)境下的數(shù)據(jù)幀，獲取到各種AP 與無線終端設備的相關信息，如：MAC地址、服務集標識、信道、信號強度、噪聲、工作方式、運行時間等，再通過分析采集到的終端設備和AP 發(fā)送信息，可以繪制出無線局域網(wǎng)拓撲結構，檢測出釣魚接入點（Rogue Access Point，簡稱Rogue AP）、違規(guī)外聯(lián)內網(wǎng)終端與Ad-Hoc（點對點）無線直連模式，進而評估整個無線局域網(wǎng)環(huán)境下的設備安全狀況，除此之外，對于設備的嚴格控制，可以通過設置黑白名單實時對非授權設備進行報警。

3.2 有效隔離

由于無線網(wǎng)絡非常容易受到攻擊，因此被認為是一種不可靠的網(wǎng)絡，所以無線網(wǎng)絡和有線核心網(wǎng)絡要隔離開，很多單位將無線網(wǎng)絡布置在如接待室、多功能會議室等特定公共區(qū)域，作為提供給來訪者的接入方式。應將網(wǎng)絡布置在核心網(wǎng)絡防護外殼的外面，如防火墻的外面，接入訪問核心網(wǎng)絡采用VPN 方式。同時如果將AP 安裝在像防火墻這樣的網(wǎng)絡安全設備的外面，可以阻止流量監(jiān)聽和流量分析等攻擊手段，還可以采用SSH、SSL、IPSec 等加密技術手段來提高數(shù)據(jù)的安全性。

3.3 無線入侵檢測系統(tǒng)

由于目前無線局域網(wǎng)存在的缺點，使得單位網(wǎng)絡和個人通信很容易受到惡意用戶的攻擊，如DOS 攻擊，為了保證數(shù)據(jù)的安全性，不能僅側重做攻擊防護工作，還要注重做好入侵檢測工作，目前應用于無線局域網(wǎng)安全檢測系統(tǒng)的技術主要包括三種，下面分別予以列舉。

3.3.1 誤用檢測：是通過某種方式預先定義行為，然后監(jiān)視系統(tǒng)的運行，從中找出符合預先定義規(guī)則的入侵行為。它的優(yōu)點是檢測準確度高，技術相對成熟，便于系統(tǒng)維護，缺點是入侵信息的收集和更新困難，難以檢測本地入侵和新的入侵行為，維護特征庫的工作量巨大。常用的檢測技術有：專家系統(tǒng)，基于模型的入侵檢測方法，簡單模式匹配和軟計算方法。

3.3.2 異常檢測：異常檢測是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。具體使用方法是在“檢測執(zhí)行內容”事件中，設置所要執(zhí)行的命令。然后執(zhí)行其方法‘檢測執(zhí)行’。如果發(fā)現(xiàn)命令錯誤時，就發(fā)出執(zhí)行異常事件。異常檢測的優(yōu)點是能夠檢測新的入侵或從未發(fā)送的入侵；對操作系統(tǒng)的依從性?。豢蓹z測出屬于濫用權限型的入侵。它的缺點是報警率高，行為模型建立困難，目前常用的是統(tǒng)計方法。

3.3.3 協(xié)議分析技術

協(xié)議分析技術利用網(wǎng)絡通信協(xié)議的高度規(guī)則性，首先捕獲并分析網(wǎng)絡數(shù)據(jù)包，然后確定數(shù)據(jù)包屬于何種協(xié)議類型，最后利用相應的命令解釋程序讀取攻擊字符串及所有可能的變體并做出詳細分析。該技術不僅能快速探測出WLAN 中是否有網(wǎng)絡攻擊，而且還能檢測網(wǎng)絡中的故障，指出錯誤與高風險的網(wǎng)絡配置選項，為網(wǎng)絡維護管理提供參考?；趨f(xié)議分析技術的入侵檢測系統(tǒng)具有檢測速度快，精確度高，系統(tǒng)資源消耗低等優(yōu)點，能有效檢測入侵來源。

3.4 無線局域網(wǎng)安全使用

當使用公共無線局域網(wǎng)時，應避免使用無密碼保護的公共網(wǎng)絡，并盡量不使用網(wǎng)絡銀行和信用卡服務登錄網(wǎng)絡游戲和電子郵件訪問企業(yè)VPN 等服務。在構建無線局域網(wǎng)接入點時，應注意關閉網(wǎng)絡的SSID 廣播，提高網(wǎng)絡連接的安全系數(shù)，在確保使用功能的前提下，利用更加復雜的密碼降低無線路由器的無線傳輸功率，從而降低無線信號的覆蓋率，減少惡意攻擊的風險。

4 結語

無線局域網(wǎng)作為一種高效接入方式，具有信息速率高、頻段開放、覆蓋范圍更廣、端口密度超高等顯著優(yōu)勢，是有線局域網(wǎng)的補充，為獲得安全、可靠和穩(wěn)定的無線局域網(wǎng)絡應用環(huán)境，我們應根據(jù)無線網(wǎng)絡不同邏輯層的安全需求，對物理設備的型號、屬性與結構進行合理規(guī)劃，規(guī)范無線局域網(wǎng)使用，優(yōu)化安全策略，提升無線局域網(wǎng)安全防護能力。