李樹丹

(中共遼寧省委黨校，遼寧 沈陽(yáng) 110000)

0 引言

隨著以安卓和蘋果為主的智能手機(jī)、平板電腦等智能移動(dòng)終端的普及以及近年來(lái)線上網(wǎng)課的增加，人們對(duì)無(wú)線網(wǎng)絡(luò)的使用和依賴日益劇增，無(wú)線網(wǎng)絡(luò)已成為移動(dòng)終端接入互聯(lián)網(wǎng)的主要方式。相比于傳統(tǒng)網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)具有移動(dòng)性好、易組建、可擴(kuò)展等特點(diǎn)。無(wú)線網(wǎng)絡(luò)主要是為用戶在辦公區(qū)、公共區(qū)、會(huì)議場(chǎng)所等地提供無(wú)線網(wǎng)絡(luò)服務(wù)。無(wú)線網(wǎng)絡(luò)在給人們的生活帶來(lái)便利的同時(shí)，安全性問(wèn)題也日益突出。

1 無(wú)線網(wǎng)絡(luò)安全問(wèn)題

1.1 網(wǎng)絡(luò)開放性導(dǎo)致的問(wèn)題

無(wú)線網(wǎng)絡(luò)本身具有開放的屬性，缺少防御邊界，這就使得無(wú)線網(wǎng)絡(luò)更容易被監(jiān)聽和受到主動(dòng)攻擊，從而引發(fā)網(wǎng)絡(luò)的安全問(wèn)題。由于無(wú)線網(wǎng)絡(luò)是以無(wú)線電波為載體進(jìn)行傳輸數(shù)據(jù)的，理論上只要取得登錄密碼，無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)的任何一臺(tái)設(shè)備都可以登錄無(wú)線網(wǎng)絡(luò)，訪問(wèn)網(wǎng)絡(luò)資源。若這些接入點(diǎn)沒有或采用的加密協(xié)議不夠安全，網(wǎng)絡(luò)管理者沒有設(shè)置口令或設(shè)置了弱口令，則該接入點(diǎn)完全有可能被破解，入侵者進(jìn)入內(nèi)部網(wǎng)絡(luò)，就可以非法使用網(wǎng)絡(luò)資源或進(jìn)行破壞活動(dòng)。因此，無(wú)線網(wǎng)絡(luò)的開放性給網(wǎng)絡(luò)的安全性帶來(lái)了一系列的問(wèn)題。

1.2 網(wǎng)絡(luò)節(jié)點(diǎn)的動(dòng)態(tài)變化增加了管理難度

在日常的無(wú)線網(wǎng)絡(luò)環(huán)境中，無(wú)線網(wǎng)絡(luò)的結(jié)點(diǎn)是動(dòng)態(tài)變化的，而安全方案的實(shí)施必須依賴所有結(jié)點(diǎn)的共同參與，這就增加了安全技術(shù)的復(fù)雜性，加大了方案實(shí)施的難度，攻擊者很可能利用這一特點(diǎn)對(duì)網(wǎng)絡(luò)進(jìn)行破壞性攻擊，而且無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中動(dòng)態(tài)變化的節(jié)點(diǎn)加大了安全方案的實(shí)施難度。移動(dòng)性是指無(wú)線終端可以在無(wú)線信號(hào)覆蓋的范圍內(nèi)任意移動(dòng)，并且還可在任意節(jié)點(diǎn)AP之間自由切換實(shí)現(xiàn)漫游。但問(wèn)題也隨之而來(lái)，如果AP節(jié)點(diǎn)沒有相應(yīng)的防護(hù)，就很容易被入侵、被攻擊。攻擊者可以在無(wú)線信號(hào)覆蓋范圍內(nèi)的任何位置，連接至任意AP節(jié)點(diǎn)進(jìn)行破壞行動(dòng)，而在無(wú)線信號(hào)覆蓋范圍內(nèi)定位一個(gè)移動(dòng)的接入端是很困難的。另外，通過(guò)已入侵的節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)實(shí)施攻擊而造成的破壞更大也更難于檢測(cè)。

1.3 WEP和WPA的缺陷導(dǎo)致的問(wèn)題

無(wú)線網(wǎng)絡(luò)不同于有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)主要的傳輸介質(zhì)是無(wú)線電波。為了提高網(wǎng)絡(luò)傳輸?shù)陌踩裕琖EP和WPA對(duì)無(wú)線客戶的身份認(rèn)證和數(shù)據(jù)傳輸都分別進(jìn)行了加密處理，然而入侵者會(huì)利用協(xié)議本身的漏洞，對(duì)網(wǎng)絡(luò)進(jìn)行破壞或入侵無(wú)線網(wǎng)絡(luò)，非法獲取網(wǎng)絡(luò)資源，對(duì)其他合法用戶進(jìn)行攻擊。

2 常見的無(wú)線網(wǎng)絡(luò)攻擊方式

2.1 破解WEP和WPA加密

有線等效保密協(xié)議(Wired Equivalent Privacy，WEP)主要是通過(guò)對(duì)無(wú)線網(wǎng)絡(luò)中傳送的數(shù)據(jù)進(jìn)行加密，防止傳輸數(shù)據(jù)被竊取，阻止攻擊者非法入侵無(wú)線網(wǎng)絡(luò)，從而提高整個(gè)無(wú)線網(wǎng)絡(luò)的安全等級(jí)。后來(lái)，WEP被發(fā)現(xiàn)存在許多漏洞，比如在身份認(rèn)證、加密算法、密鑰分發(fā)管理等方面存在漏洞，于2003年正式退役，取而代之的是WiFi訪問(wèn)保護(hù)(Wi-Fi Protected Access，WPA)。WPA發(fā)展到今天，包含了WPA，WPA2和WPA3 3個(gè)標(biāo)準(zhǔn)。WPA之所以替代WEP，是因?yàn)閃PA解決了WEP所不能解決的安全問(wèn)題，比如提高了傳輸網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)能力和接入控制的安全級(jí)別。WPA和WEP一樣，采用了RC4加密算法，所以只要監(jiān)聽到的數(shù)據(jù)包足夠多，就可以對(duì)數(shù)據(jù)包進(jìn)行破解，從而可以計(jì)算出網(wǎng)絡(luò)密鑰，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞。

2.2 滲透無(wú)線內(nèi)網(wǎng)

攻擊者為了實(shí)現(xiàn)種種目的，會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行入侵或破壞，這在行動(dòng)之初是極其隱蔽和不易察覺的。一旦攻擊者通過(guò)破解的方式獲取到WEP或者WPA的加密密碼，就可以通過(guò)配置自己的無(wú)線網(wǎng)卡連接到目標(biāo)網(wǎng)絡(luò)，即滲透到目標(biāo)網(wǎng)絡(luò)內(nèi)，進(jìn)行網(wǎng)絡(luò)的監(jiān)聽或入侵破壞，而網(wǎng)絡(luò)管理者卻很難鎖定攻擊來(lái)源。在攻擊者進(jìn)入內(nèi)網(wǎng)后，首先確認(rèn)該網(wǎng)絡(luò)內(nèi)部資源的分布及安全情況，一般會(huì)通過(guò)端口掃描的方式找出路由器、服務(wù)器地址、開放服務(wù)及端口等。攻擊者通過(guò)端口掃描，發(fā)現(xiàn)開放端口，判斷對(duì)象設(shè)備當(dāng)前運(yùn)行的服務(wù)及具體版本等信息，從而為進(jìn)一步攻擊行動(dòng)做準(zhǔn)備。無(wú)線滲透攻擊如圖1所示。

圖1 無(wú)線滲透攻擊

2.3 偽造無(wú)線AP

偽造無(wú)線AP攻擊指在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)安裝AP，偽裝AP的SSID、MAC地址與被攻擊網(wǎng)絡(luò)的相同，如果有客戶端連接到該AP，通過(guò)監(jiān)聽程序就可以竊取連接到該AP的無(wú)線客戶端的數(shù)據(jù)包，然后通過(guò)一些破解程序?qū)?shù)據(jù)包進(jìn)行破解，就能獲得入侵者想要的信息。為了達(dá)到無(wú)線AP的欺詐目的，入侵者首先利用專用的掃描工具，對(duì)網(wǎng)絡(luò)進(jìn)行掃描，獲得想要入侵的網(wǎng)絡(luò)的一些信息，比如信號(hào)強(qiáng)度、SSID名、加密方式等；然后為偽造的AP確定合適的位置，通常會(huì)選取比合法AP信號(hào)強(qiáng)的位置；最后將偽造AP的SSID和MAC地址設(shè)置成與合法AP相同，確保無(wú)線客戶可以在合法AP和欺詐AP之間切換，惡意AP可以提供強(qiáng)大的信號(hào)并嘗試欺騙一個(gè)無(wú)線基站使其成為協(xié)助對(duì)象，以達(dá)到泄露隱私數(shù)據(jù)和重要信息的目的。

2.4 無(wú)線DOS攻擊

拒絕服務(wù)攻擊(Denial of Services，DoS)指攻擊者不斷地向服務(wù)器發(fā)送請(qǐng)求，阻塞正常的網(wǎng)絡(luò)帶寬、消耗服務(wù)器提供正常服務(wù)的能力，使得合法用戶發(fā)送的正常請(qǐng)求不能得到響應(yīng)[1]。而無(wú)線DoS攻擊是指對(duì)AP(接入點(diǎn))進(jìn)行攻擊，消耗AP的資源，導(dǎo)致AP服務(wù)中斷、過(guò)載、丟包，最終使AP喪失為合法用戶提供正常接入無(wú)線網(wǎng)絡(luò)的能力。常見的無(wú)線DoS攻擊包括：Deauth Flood攻擊、Auth Flood攻擊、Association Flood攻擊、Disassociation Flood攻擊等，其中Deauth Flood 是指攻擊者通過(guò)廣播插入偽造取消身份驗(yàn)證的報(bào)文，客戶端認(rèn)為該報(bào)文來(lái)自AP，致使已連接的客戶端與AP斷開連接，攻擊者通過(guò)反復(fù)發(fā)送欺騙報(bào)文，致使客戶端持續(xù)不能連接到AP。Deauth Flood攻擊如圖2所示。

圖2 Deauth Flood攻擊

2.5 釣魚AP

網(wǎng)絡(luò)釣魚(Phishing)指在無(wú)線網(wǎng)絡(luò)中的釣魚手法，但無(wú)線網(wǎng)絡(luò)傳輸協(xié)議和有線網(wǎng)絡(luò)不同，使得無(wú)線釣魚和有線釣魚略有不同[2]。一般情況下，攻擊者會(huì)對(duì)合法AP進(jìn)行攻擊，以獲取密鑰、加密方式、信道、SSID等一些信息，然后再架設(shè)釣魚AP，通常釣魚AP的信號(hào)強(qiáng)度比合法AP強(qiáng)，對(duì)合法AP進(jìn)行DoS攻擊，迫使合法AP不能提供正常的接入服務(wù)，這樣就迫使想正常接入網(wǎng)絡(luò)的客戶端接入釣魚AP，而一般情況下釣魚AP會(huì)通過(guò)橋接的方式連接到另外一個(gè)網(wǎng)絡(luò)。釣魚AP對(duì)無(wú)線網(wǎng)絡(luò)的安全威脅比較嚴(yán)重，常見的有偽造站點(diǎn)+DNS欺騙、偽造電子郵件+偽造站點(diǎn)攻擊。

3 無(wú)線網(wǎng)絡(luò)安全策略

3.1 使用WPA加密認(rèn)證

WPA繼承了WEP的基本原理，同時(shí)又解決了WEP所面臨的問(wèn)題。WPA針對(duì)WEP中存在的問(wèn)題和缺陷，進(jìn)行了升級(jí)和優(yōu)化，主要體現(xiàn)在數(shù)據(jù)傳輸加密和認(rèn)證協(xié)議兩方面。WPA認(rèn)證主要分為兩種方式，一種是企業(yè)級(jí)WPA-Enterprise，一種是個(gè)人用戶WPA-PSK，這兩種認(rèn)證方式安全級(jí)別不同，所對(duì)應(yīng)的應(yīng)用場(chǎng)景也不同。WPA的傳輸加密是根據(jù)使用的密鑰和接入設(shè)備網(wǎng)卡的MAC地址，并與一個(gè)初始化向量合并，針對(duì)每個(gè)接入節(jié)點(diǎn)生成不同的密鑰流，隨后TKIP會(huì)使用RC4加密算法對(duì)數(shù)據(jù)進(jìn)行加密，但與WEP不同的是TKIP出于安全考慮，修改了常用密鑰，從而提高了安全性。WPA2是第二代WPA，最初的WPA2和WPA之間的主要差別是WPA2需要高級(jí)加密標(biāo)準(zhǔn)AES來(lái)加密數(shù)據(jù)，而WPA是采用TKIP進(jìn)行加密，后來(lái)WPA也支持AES加密，因?yàn)椴捎肁ES的加密技術(shù)可以提供更高的安全標(biāo)準(zhǔn)，從而滿足企業(yè)或個(gè)人的網(wǎng)絡(luò)安全防護(hù)需要。一般而言，為了提高設(shè)備的兼容性，支持WPA2認(rèn)證的無(wú)線設(shè)備也兼容WPA和WEP，即在一個(gè)網(wǎng)絡(luò)環(huán)境中可以同時(shí)運(yùn)行WEP，WPA，WPA2的網(wǎng)絡(luò)設(shè)備。而WPA3是繼WPA2推出后，于2018年1月在國(guó)際消費(fèi)電子展(CES)上發(fā)布的新加密協(xié)議標(biāo)準(zhǔn)。WPA3和WPA2類似，也分為企業(yè)版和個(gè)人版。WPA3企業(yè)版在WPA2企業(yè)版的基礎(chǔ)上，增加了一種更為安全的模式——WPA3-Enterprise 192bit，該模式主要是在數(shù)據(jù)、密鑰、流量、管理幀等方面提供更安全的保護(hù)。WPA3個(gè)人版采用更安全的對(duì)等實(shí)體同時(shí)驗(yàn)證(SAE)取代WPA2個(gè)人版采用的預(yù)共享密鑰(PSK)的認(rèn)證方式。同時(shí)WPA3在開放認(rèn)證的基礎(chǔ)上提出了增強(qiáng)型開放式網(wǎng)絡(luò)認(rèn)證，即OWE認(rèn)證，在保留開放式認(rèn)證便利性的同時(shí)，對(duì)用戶所使用的無(wú)線設(shè)備和AP之間傳送的數(shù)據(jù)進(jìn)行加密，讓攻擊者無(wú)法獲取用戶傳輸?shù)臄?shù)據(jù)，從而提高開放式網(wǎng)絡(luò)的安全性。

3.2 服務(wù)集標(biāo)識(shí)符匹配

服務(wù)集標(biāo)識(shí)符(Service Set Identifier，SSID)可以被看成無(wú)線網(wǎng)絡(luò)的名稱。當(dāng)用戶要接入一個(gè)無(wú)線網(wǎng)絡(luò)，首先會(huì)選擇無(wú)線網(wǎng)絡(luò)的SSID，然后輸入網(wǎng)絡(luò)安全密鑰，驗(yàn)證成功后就可以接入無(wú)線網(wǎng)絡(luò)。用戶可以通過(guò)設(shè)置不同的SSID名稱[3]來(lái)區(qū)分不同的無(wú)線網(wǎng)絡(luò)，從而實(shí)現(xiàn)業(yè)務(wù)分離。在企業(yè)級(jí)AP中，每個(gè)AP可以創(chuàng)建多個(gè)SSID，每一個(gè)SSID可以分別設(shè)置加密方式和網(wǎng)絡(luò)安全密鑰，只有通過(guò)身份驗(yàn)證后才能進(jìn)入對(duì)應(yīng)的無(wú)線網(wǎng)絡(luò)。用戶可以把不同的業(yè)務(wù)或網(wǎng)絡(luò)資源通過(guò)SSID加以區(qū)分，這樣不同SSID網(wǎng)絡(luò)之間就實(shí)現(xiàn)了用戶之間的隔離，從而提高了安全性。另外，一些對(duì)安全性要求高的無(wú)線網(wǎng)絡(luò)可以通過(guò)關(guān)閉廣播避免被攻擊者搜索到。因?yàn)楣粽咴谌肭志W(wǎng)絡(luò)時(shí)，一般會(huì)通過(guò)掃描來(lái)了解網(wǎng)絡(luò)的基本狀況，而關(guān)閉SSID廣播可以躲避一些軟件的掃描，從而降低無(wú)線網(wǎng)絡(luò)被入侵的概率。

3.3 無(wú)線AC結(jié)合WEB認(rèn)證方式

無(wú)線AP按接入模式可以分為FAT模式和FIT模式，即人們常說(shuō)的“胖”AP和“瘦”AP，并且兩種模式可以相互切換。傳統(tǒng)的無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)一般會(huì)采用FAT-AP模式。工作在FAT-AP模式的AP就相當(dāng)于一個(gè)獨(dú)立的無(wú)線熱點(diǎn)，既可以進(jìn)行管理，又可以單獨(dú)配置SSID，并且AP本身還可以完成加密認(rèn)證等任務(wù)。由于每個(gè)AP都需要單獨(dú)地進(jìn)行配置和管理，如果AP數(shù)量多，就會(huì)增加管理難度，并且當(dāng)AP受到攻擊與干擾時(shí)也難以發(fā)現(xiàn)，所以此種模式適合應(yīng)用在小型的無(wú)線網(wǎng)絡(luò)中。FIT-AP是一種新興的WLAN組網(wǎng)模式，和FAT-AP不同，F(xiàn)IT-AP對(duì)每個(gè)AP的配置和管理是通過(guò)無(wú)線網(wǎng)絡(luò)控制器(AC)來(lái)實(shí)現(xiàn)的，在AP端實(shí)現(xiàn)零配置。這種方式將AP的配置和管理轉(zhuǎn)移到無(wú)線控制器中統(tǒng)一實(shí)現(xiàn)，不僅提高了維護(hù)和管理的效率，而且還提高了整個(gè)網(wǎng)絡(luò)的工作效率，并且還可以對(duì)整個(gè)無(wú)線射頻環(huán)境進(jìn)行監(jiān)控，進(jìn)而發(fā)現(xiàn)非法的AP。

無(wú)線網(wǎng)絡(luò)主要功能是為合法無(wú)線終端用戶提供訪問(wèn)網(wǎng)絡(luò)資源的服務(wù)。使用WEP或WPA進(jìn)行加密認(rèn)證，如果加密密鑰被破解，非法用戶便可連接到無(wú)線網(wǎng)絡(luò)，給整個(gè)網(wǎng)絡(luò)的安全帶來(lái)威脅。因此在用戶接入無(wú)線網(wǎng)的認(rèn)證設(shè)計(jì)上，可采取FIT-AP + 無(wú)線控制器(AC)+Web認(rèn)證服務(wù)器的方式。Web認(rèn)證是當(dāng)用戶選擇接入網(wǎng)絡(luò)時(shí)，終端瀏覽器會(huì)被無(wú)線網(wǎng)絡(luò)的AC(控制器)強(qiáng)制跳轉(zhuǎn)到指定的Protal服務(wù)器認(rèn)證網(wǎng)頁(yè)，并要求用戶輸入賬號(hào)和密碼進(jìn)行身份認(rèn)證一種方式，當(dāng)用戶通過(guò)認(rèn)證時(shí)，可以正常使用網(wǎng)絡(luò)資源，如使用內(nèi)網(wǎng)的相關(guān)服務(wù)或訪問(wèn)互聯(lián)網(wǎng)；當(dāng)用戶未認(rèn)證或認(rèn)證未通過(guò)時(shí)，則不能使用內(nèi)網(wǎng)的相關(guān)服務(wù)或只可使用Protal服務(wù)器上的有限服務(wù)。

3.4 部署無(wú)線入侵檢測(cè)系統(tǒng)

無(wú)線入侵檢測(cè)系統(tǒng)(Wireless Intrusion Detection System，WIDS)通常由兩部分組成：分布式傳感器和管理控制臺(tái)。在無(wú)線網(wǎng)絡(luò)中，一般會(huì)部署分布式傳感器(有的是通過(guò)部署監(jiān)聽AP來(lái)實(shí)現(xiàn))，這樣在WIDS系統(tǒng)中，可以通過(guò)部署的分布式傳感器(監(jiān)聽AP)監(jiān)測(cè)周圍的無(wú)線網(wǎng)絡(luò)，WIDS的傳感器是通過(guò)處于監(jiān)聽模式的AP來(lái)完成數(shù)據(jù)包的捕獲和解析[4]，當(dāng)發(fā)現(xiàn)解析的數(shù)據(jù)包有入侵或攻擊無(wú)線網(wǎng)絡(luò)的行為時(shí)，系統(tǒng)就會(huì)發(fā)出警報(bào)并采取相應(yīng)的措施，以阻止未經(jīng)授權(quán)的設(shè)備進(jìn)入網(wǎng)絡(luò)，保護(hù)用戶的信息安全和網(wǎng)絡(luò)資源被合法使用。目前大多數(shù)無(wú)線控制器都具備無(wú)線入侵檢測(cè)功能，能檢測(cè)阻止類似泛洪攻擊、欺騙攻擊等惡意行為。

3.5 完善管理制度

若要合理地利用無(wú)線網(wǎng)絡(luò)，使用網(wǎng)絡(luò)提供的服務(wù)，就要規(guī)范無(wú)線網(wǎng)絡(luò)的使用，防止無(wú)管理、無(wú)防護(hù)狀態(tài)下使用無(wú)線網(wǎng)絡(luò)造成信息泄露、重要數(shù)據(jù)被破壞等嚴(yán)重后果。網(wǎng)絡(luò)管理人員在實(shí)際工作中，不但要定期檢查網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，查看相關(guān)設(shè)備日志，在發(fā)現(xiàn)問(wèn)題后采取相應(yīng)的措施進(jìn)行處理，同時(shí)也要出臺(tái)相關(guān)管理制度，一方面提高人員的信息安全意識(shí)，嚴(yán)禁私人安裝無(wú)線路由等AP設(shè)備，另一方面對(duì)違反規(guī)定的行為進(jìn)行嚴(yán)肅處理。

4 結(jié)語(yǔ)

目前，在眾多無(wú)線網(wǎng)絡(luò)的應(yīng)用中，或多或少地存在安全問(wèn)題。要想提高無(wú)線網(wǎng)絡(luò)的安全性，需要從多方面進(jìn)行提升，例如設(shè)置合理的加密認(rèn)證方式，采用FIT-AP，用無(wú)線AC結(jié)合Web的方式以提高認(rèn)證的安全性；要求用戶設(shè)置復(fù)雜的密碼，增加暴力破解密碼難度；在資金允許的前提下，增配無(wú)線入侵檢測(cè)系統(tǒng)等，同時(shí)也要建立有效的管理機(jī)制，禁止私自安裝AP，提高使用人員的安全意識(shí)等，都能夠提升無(wú)線網(wǎng)絡(luò)的安全性。