?1.WLAN 的安全演進

在空中傳輸的 Wi-Fi 數據包很容易被黑客所捕獲，從而解析出銀行賬戶、郵箱密碼、賬戶信息等涉及個人隱私的機密信息。因此 Wi-Fi 聯盟在 1997 年引入了最初的安全協議WEP，其安全架構是基站對用戶進行單向鑒別，用戶鑒別采用開放式的系統鑒別。由于WEP核心的 RC4數據加密算法的不足，WEP安全機制已于 2001 年被完全破解。

針對 WEP 協議 的安全問題，Wi-Fi 聯盟于 2002 年推出 WPA 安全協議，其加密使用臨時密鑰完整性協議（TKIP）進行密鑰升級。但因TKIP仍然使用 RC4 加密算法，所以依然不夠安全，在使用中會出現密鑰攻擊、中間人攻擊等問題。

2004 年IEEE802.11i 安全標準制定完畢，Wi-Fi 聯盟經過修訂后推出了具有與 802.11i 相同功能的 WPA2。2017 年 8 月，研究人員發現了 WPA2 的 KRACK （Key Reinstallation Attack）漏洞[1]。

隨后為解決 Wi-Fi 安全性問題，2018年1月Wi-Fi 聯盟推出了新一代安全協議WPA3。其主要包括使用更安全的握手協議 SAE（Simultaneous Authentication of Equals），更強大的加密算法 CNSA（Commercial National Security Algorithms Suite），以及專門針對開放式公共網絡的加密方式 OWE（ Opportunistic Wireless Encryption）。雖然 Wi-Fi 聯盟推出了 WPA3 安全機制，但其大規模部署仍然需要一段時間。因此為了保證WLAN無線網絡安全，在安全協議之外還需要采取一定的防護措施。

2.WLAN 的安全威脅

Wi-Fi 所面臨的安全威脅主要分為主動攻擊和被動攻擊。主動攻擊是指未授權的實體接入網絡、并修改信息、數據或文件內容的一種攻擊方式，主要包括偽裝攻擊、重放攻擊、篡改消息和拒絕服務攻擊等。被動攻擊指的是未經授權的實體簡單地訪問網絡但不修改其中內容的攻擊方式。被動攻擊可能是簡單的竊聽或流量分析，竊聽是指攻擊者監視消息傳送，獲取其內容；流量分析是指攻擊者通過監視消息的傳輸來分析通信方式，從而獲得大量有價值的信息，以便進一步對網絡實施攻擊[2]。

2.1 數據信息的非法截取

無線網絡傳送數據是利用無線電波的輻射完成，攻擊者只需在其輻射范圍內即可對網絡數據進行監聽，并對數據中的有效信息進行分析，從而獲取攻擊者想要的數據，而用戶的數據信息一般進行加密處理，需采用暴力破解捕獲的數據來獲取有用信息。如圖 1 所示。

圖1  截取無線信號

2.2 中間人攻擊 -偽造 AP

攻擊者在目標主機與合法 AP(網關或服務器)之間偽造一個非法的 AP，惡意的攔截、插入、偽造、中斷數據包，達到截獲對方登陸賬戶及密碼，偽造身份等目的。現在的無線設備基本上都可以設置成 AP，可以使目標主機不經過授權而連入網絡。如圖 2 所示。

圖2  偽造AP

2.3 非法外聯

WLAN 無線功能在大多數移動終端都比較常見，雖然企業采取各種手段管制網絡安全，但企業周圍存在很多免費無線網絡熱點，使員工們不由自主地連接這些 WLAN 網絡。員工們頻繁切換所連接的內網與外網，可能會存在網絡安全問題，如手機終端、電腦終端內信息被盜等，甚至會給內網運行埋下安全隱患，使內網感染病毒。

3.WLAN安全防護措施

3.1 有效隔離

在 WLAN 中，可以利用虛擬局域網（VLAN）把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個 VLAN 分配不同的 SSID，當 WLAN 與某個特定的 VLAN 關聯時，用戶通過 SSID 可以獲得對該 VLAN 上的網絡資源的訪問權限。

同時若將 AP 安裝在像防火墻這樣的網絡安全設備的外面，可以阻止流量監聽和流量分析等攻擊手段。

此外，通過對無線網絡設備的設定，建立基于 MAC 地址的訪問控制列表，AP 將對收到的每個數據包的源地址做出過濾，只有在訪問控制列表中的地址才能被轉發，否則將會被丟棄或攔阻。

3.2  加強 WLAN 的身份認證

身份認證是防護網絡安全的前提，一般家庭用戶可以啟用預共享密鑰 PSK 來進行用戶的身份認證，但如果對安全要求較高的企業和政府部門的 WLAN 系統必須使用增強的企業級安全認證方案 802.1x/EAP。802.1x/EAP-TLS 認證方式中，802.1x 的客戶端認證請求可以結合外部的RADIUS服務器進行認證，由于RADIUS部署的性價比較高，目前已成為中小型企業身份認證的首選。

3.3 監測非法無線局域網設備

無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估，首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高，則無線環境信息采集的精確度越高，同時部署的密度越高，信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀，獲取到各種 AP 與無線終端設備的相關信息，如：MAC 地址、服務集標識、信道、信號強度、噪聲、工作方式、運行時間等，再通過分析采集到的終端設備和 AP 發送信息，可以繪制出無線局域網拓撲結構，檢測出釣魚接入點（Rogue Access Point，簡稱 Rogue AP）、 違規外聯內網終端與 Ad-Hoc（點對點）無線直連模式，進而評估整個無線局域網環境下的設備安全狀況，除此之外，對于設備的嚴格控制，可以通過設置黑白名單實時對非授權設備進行報警。

3.4 部署無線入侵防御系統（WIPS）

WIPS（Wireless Intrusion Prevention System）可以對有惡意的用戶攻擊和入侵行為進行早期檢測，保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測，從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測，防御 DOS 攻擊及進行無線網絡的接入控制[3]。

目前應用于無線局域網安全檢測系統的技術主要包括三種，下面分別予以列舉：

3.4.1 誤用檢測

誤用檢測是通過某種方式預先定義行為，然后監視系統的運行，從中找出符合預先定義規則的入侵行為。它的優點是檢測準確度高，技術相對成熟，便于系統維護，缺點是入侵信息的收集和更新困難，難以檢測本地入侵和新的入侵行為，維護特征庫的工作量巨大。常用的檢測技術有：專家系統，基于模型的入侵檢測方法，簡單模式匹配和軟計算方法。

3.4.2 異常檢測

異常檢測是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。具體使用方法是在“檢測執行內容”事件中，設置所要執行的命令，然后執行其方法。如果發現命令錯誤時，就發出執行異常事件。異常檢測的優點是能夠檢測新的入侵或從未發送的入侵；對操作系統的依從性小；可檢測出屬于濫用權 限型的入侵。越來越多的多種多串并行匹配算法也使得報文匹配運算速度得以加快。它的缺點是報警率高，行為模型建立困難，目前常用的是統計方法。

3.4.3 協議分析技術

協議分析技術利用網絡通信協議的高度規則性，首先捕獲并分析網絡數據包，然后確定數據包屬于何種協議類型，最后利用相應的命令解釋程序讀取攻擊字符串及所有可能的變體并做出詳細分析。

在入侵環節，協議分析占據重要地位，能夠提高特征匹配的精度，且能夠減少特征匹配計算量。網絡攻擊特點的研究是展開高精度鏈路層協議分析的第一步，一般在對其分析前需提取特征知識庫中的協議信息。攻擊研究和特征知識庫的分析深度，是協議分析質量的關鍵。

該技術不僅能快速探測出 WLAN 中是否有網絡攻擊，而且還能檢測網絡中的故障，指出錯誤與高風險的網絡配置選項，為網絡維護管理提供參考。基于協議分析技術的入侵檢測系統具有檢測速度快，精確度高，系統資源消耗低等優點，能有效檢測入侵來源。

4.WLAN安全防護技術應用-WIPS

無線入侵防御系統在阻止非法用戶接入過程中，充分利用射頻信號。基于AP 或 Station 屬性，構建物理安全的無線安全區域，保證用戶網絡安全[4]。

Dos、無線掃描等無線非法無線設備的檢測與阻斷，是實現無線入侵防御的關鍵，能夠防止內網機密通過無線網絡外傳。將入侵防御設備設置于無線網絡、有線網絡邊界處，能夠實現可管、可控的無線網絡系統。無線安全引擎設備部署在 AP 覆蓋的區域，基本暫定部署于每臺 AP 旁，同時保證部署在無線網絡區域中心位置，以盡可能大范圍的覆蓋。一般覆蓋范圍可達到無線 AP 可以覆蓋的所有區域，如圖 3所示。

圖3 無線網絡防御設備部署

在完全阻斷其他連接的過程中需要在設備上對網絡進行合法的部署，采用合法客戶端一對一允許策略，阻止連接非法網絡并只與合法網絡連接，對網絡實際情況進行有效的監控。在數據庫中寫入審計數據，若非法 AP 一旦被發現需立即告警并阻斷連接。采用 Web 做好引擎管理，高度重視引擎上報的各種告警信息。其中，無線掃描、無線破解以及拒絕服務攻擊等是監視并防范的主要內容。

為了使管理質量滿足實際需求，可應用集中管理的方式，通過專門集中管理軟件有效管理多臺部署的無線安全引擎設備，實現集中配置無線安全引擎，可在數據收集方面達到集中收集效果，同時具有其他功能，如日志查詢等。對于無線安全告警事件的存儲，集中管理中心可以實現便捷的管理效果，根據告警級別、類型等輸入報表，為更好地追蹤溯源奠定基礎。

結束語

WLAN 無線網絡安全隱患給人們的工作與生活帶來了不利影響。為了保證 WLAN 無線網絡的安全使用，完善 WLAN 無線網絡安全防范措施具有重要意義。本文在對 WLAN 無線網絡安全隱患和安全威脅進行探究的基礎上，介紹了幾種WLAN安全防護措施，為提高 WLAN 無線網絡的安全運行提供一些參考。

參考文獻

[1]Suroto S. WLAN security: threats and countermeasures[J]. JOIV: International Journal on Informatics Visualization, 2018, 2(4): 232-238.

[2]彭程,劉加.新一代無線局域網安全機制分析[J].網絡安全技術與應用,2020(09):18-19.

[3]關靜.淺析無線局域網安全風險及防護策略[J].網絡安全技術與應用,2021(04):139-140.

[4]蘇杰.WLAN無線網絡安全技術研究及應用[J].通信電源技術,2019,36(08):115-116.DOI:10.19399/j.cnki.tpt.2019.08.050.