无线网络的安全防护技术探讨

李树丹

(中共辽宁省委党校，辽宁 沈阳 110000)

0 引言

随着以安卓和苹果为主的智能手机、平板电脑等智能移动终端的普及以及近年来线上网课的增加，人们对无线网络的使用和依赖日益剧增，无线网络已成为移动终端接入互联网的主要方式。相比于传统网络，无线网络具有移动性好、易组建、可扩展等特点。无线网络主要是为用户在办公区、公共区、会议场所等地提供无线网络服务。无线网络在给人们的生活带来便利的同时，安全性问题也日益突出。

1 无线网络安全问题

1.1 网络开放性导致的问题

无线网络本身具有开放的属性，缺少防御边界，这就使得无线网络更容易被监听和受到主动攻击，从而引发网络的安全问题。由于无线网络是以无线电波为载体进行传输数据的，理论上只要取得登录密码，无线网络覆盖范围内的任何一台设备都可以登录无线网络，访问网络资源。若这些接入点没有或采用的加密协议不够安全，网络管理者没有设置口令或设置了弱口令，则该接入点完全有可能被破解，入侵者进入内部网络，就可以非法使用网络资源或进行破坏活动。因此，无线网络的开放性给网络的安全性带来了一系列的问题。

1.2 网络节点的动态变化增加了管理难度

在日常的无线网络环境中，无线网络的结点是动态变化的，而安全方案的实施必须依赖所有结点的共同参与，这就增加了安全技术的复杂性，加大了方案实施的难度，攻击者很可能利用这一特点对网络进行破坏性攻击，而且无线网络拓扑结构中动态变化的节点加大了安全方案的实施难度。移动性是指无线终端可以在无线信号覆盖的范围内任意移动，并且还可在任意节点AP之间自由切换实现漫游。但问题也随之而来，如果AP节点没有相应的防护，就很容易被入侵、被攻击。攻击者可以在无线信号覆盖范围内的任何位置，连接至任意AP节点进行破坏行动，而在无线信号覆盖范围内定位一个移动的接入端是很困难的。另外，通过已入侵的节点对网络实施攻击而造成的破坏更大也更难于检测。

1.3 WEP和WPA的缺陷导致的问题

无线网络不同于有线网络，无线网络主要的传输介质是无线电波。为了提高网络传输的安全性，WEP和WPA对无线客户的身份认证和数据传输都分别进行了加密处理，然而入侵者会利用协议本身的漏洞，对网络进行破坏或入侵无线网络，非法获取网络资源，对其他合法用户进行攻击。

2 常见的无线网络攻击方式

2.1 破解WEP和WPA加密

有线等效保密协议(Wired Equivalent Privacy，WEP)主要是通过对无线网络中传送的数据进行加密，防止传输数据被窃取，阻止攻击者非法入侵无线网络，从而提高整个无线网络的安全等级。后来，WEP被发现存在许多漏洞，比如在身份认证、加密算法、密钥分发管理等方面存在漏洞，于2003年正式退役，取而代之的是WiFi访问保护(Wi-Fi Protected Access，WPA)。WPA发展到今天，包含了WPA，WPA2和WPA3 3个标准。WPA之所以替代WEP，是因为WPA解决了WEP所不能解决的安全问题，比如提高了传输网络数据的保护能力和接入控制的安全级别。WPA和WEP一样，采用了RC4加密算法，所以只要监听到的数据包足够多，就可以对数据包进行破解，从而可以计算出网络密钥，对网络进行攻击破坏。

2.2 渗透无线内网

攻击者为了实现种种目的，会对网络进行入侵或破坏，这在行动之初是极其隐蔽和不易察觉的。一旦攻击者通过破解的方式获取到WEP或者WPA的加密密码，就可以通过配置自己的无线网卡连接到目标网络，即渗透到目标网络内，进行网络的监听或入侵破坏，而网络管理者却很难锁定攻击来源。在攻击者进入内网后，首先确认该网络内部资源的分布及安全情况，一般会通过端口扫描的方式找出路由器、服务器地址、开放服务及端口等。攻击者通过端口扫描，发现开放端口，判断对象设备当前运行的服务及具体版本等信息，从而为进一步攻击行动做准备。无线渗透攻击如图1所示。

图1 无线渗透攻击

2.3 伪造无线AP

伪造无线AP攻击指在无线网络覆盖范围内安装AP，伪装AP的SSID、MAC地址与被攻击网络的相同，如果有客户端连接到该AP，通过监听程序就可以窃取连接到该AP的无线客户端的数据包，然后通过一些破解程序对数据包进行破解，就能获得入侵者想要的信息。为了达到无线AP的欺诈目的，入侵者首先利用专用的扫描工具，对网络进行扫描，获得想要入侵的网络的一些信息，比如信号强度、SSID名、加密方式等；然后为伪造的AP确定合适的位置，通常会选取比合法AP信号强的位置；最后将伪造AP的SSID和MAC地址设置成与合法AP相同，确保无线客户可以在合法AP和欺诈AP之间切换，恶意AP可以提供强大的信号并尝试欺骗一个无线基站使其成为协助对象，以达到泄露隐私数据和重要信息的目的。

2.4 无线DOS攻击

拒绝服务攻击(Denial of Services，DoS)指攻击者不断地向服务器发送请求，阻塞正常的网络带宽、消耗服务器提供正常服务的能力，使得合法用户发送的正常请求不能得到响应[1]。而无线DoS攻击是指对AP(接入点)进行攻击，消耗AP的资源，导致AP服务中断、过载、丢包，最终使AP丧失为合法用户提供正常接入无线网络的能力。常见的无线DoS攻击包括：Deauth Flood攻击、Auth Flood攻击、Association Flood攻击、Disassociation Flood攻击等，其中Deauth Flood 是指攻击者通过广播插入伪造取消身份验证的报文，客户端认为该报文来自AP，致使已连接的客户端与AP断开连接，攻击者通过反复发送欺骗报文，致使客户端持续不能连接到AP。Deauth Flood攻击如图2所示。

图2 Deauth Flood攻击

2.5 钓鱼AP

网络钓鱼(Phishing)指在无线网络中的钓鱼手法，但无线网络传输协议和有线网络不同，使得无线钓鱼和有线钓鱼略有不同[2]。一般情况下，攻击者会对合法AP进行攻击，以获取密钥、加密方式、信道、SSID等一些信息，然后再架设钓鱼AP，通常钓鱼AP的信号强度比合法AP强，对合法AP进行DoS攻击，迫使合法AP不能提供正常的接入服务，这样就迫使想正常接入网络的客户端接入钓鱼AP，而一般情况下钓鱼AP会通过桥接的方式连接到另外一个网络。钓鱼AP对无线网络的安全威胁比较严重，常见的有伪造站点+DNS欺骗、伪造电子邮件+伪造站点攻击。

3 无线网络安全策略

3.1 使用WPA加密认证

WPA继承了WEP的基本原理，同时又解决了WEP所面临的问题。WPA针对WEP中存在的问题和缺陷，进行了升级和优化，主要体现在数据传输加密和认证协议两方面。WPA认证主要分为两种方式，一种是企业级WPA-Enterprise，一种是个人用户WPA-PSK，这两种认证方式安全级别不同，所对应的应用场景也不同。WPA的传输加密是根据使用的密钥和接入设备网卡的MAC地址，并与一个初始化向量合并，针对每个接入节点生成不同的密钥流，随后TKIP会使用RC4加密算法对数据进行加密，但与WEP不同的是TKIP出于安全考虑，修改了常用密钥，从而提高了安全性。WPA2是第二代WPA，最初的WPA2和WPA之间的主要差别是WPA2需要高级加密标准AES来加密数据，而WPA是采用TKIP进行加密，后来WPA也支持AES加密，因为采用AES的加密技术可以提供更高的安全标准，从而满足企业或个人的网络安全防护需要。一般而言，为了提高设备的兼容性，支持WPA2认证的无线设备也兼容WPA和WEP，即在一个网络环境中可以同时运行WEP，WPA，WPA2的网络设备。而WPA3是继WPA2推出后，于2018年1月在国际消费电子展(CES)上发布的新加密协议标准。WPA3和WPA2类似，也分为企业版和个人版。WPA3企业版在WPA2企业版的基础上，增加了一种更为安全的模式——WPA3-Enterprise 192bit，该模式主要是在数据、密钥、流量、管理帧等方面提供更安全的保护。WPA3个人版采用更安全的对等实体同时验证(SAE)取代WPA2个人版采用的预共享密钥(PSK)的认证方式。同时WPA3在开放认证的基础上提出了增强型开放式网络认证，即OWE认证，在保留开放式认证便利性的同时，对用户所使用的无线设备和AP之间传送的数据进行加密，让攻击者无法获取用户传输的数据，从而提高开放式网络的安全性。

3.2 服务集标识符匹配

服务集标识符(Service Set Identifier，SSID)可以被看成无线网络的名称。当用户要接入一个无线网络，首先会选择无线网络的SSID，然后输入网络安全密钥，验证成功后就可以接入无线网络。用户可以通过设置不同的SSID名称[3]来区分不同的无线网络，从而实现业务分离。在企业级AP中，每个AP可以创建多个SSID，每一个SSID可以分别设置加密方式和网络安全密钥，只有通过身份验证后才能进入对应的无线网络。用户可以把不同的业务或网络资源通过SSID加以区分，这样不同SSID网络之间就实现了用户之间的隔离，从而提高了安全性。另外，一些对安全性要求高的无线网络可以通过关闭广播避免被攻击者搜索到。因为攻击者在入侵网络时，一般会通过扫描来了解网络的基本状况，而关闭SSID广播可以躲避一些软件的扫描，从而降低无线网络被入侵的概率。

3.3 无线AC结合WEB认证方式

无线AP按接入模式可以分为FAT模式和FIT模式，即人们常说的“胖”AP和“瘦”AP，并且两种模式可以相互切换。传统的无线网络结构一般会采用FAT-AP模式。工作在FAT-AP模式的AP就相当于一个独立的无线热点，既可以进行管理，又可以单独配置SSID，并且AP本身还可以完成加密认证等任务。由于每个AP都需要单独地进行配置和管理，如果AP数量多，就会增加管理难度，并且当AP受到攻击与干扰时也难以发现，所以此种模式适合应用在小型的无线网络中。FIT-AP是一种新兴的WLAN组网模式，和FAT-AP不同，FIT-AP对每个AP的配置和管理是通过无线网络控制器(AC)来实现的，在AP端实现零配置。这种方式将AP的配置和管理转移到无线控制器中统一实现，不仅提高了维护和管理的效率，而且还提高了整个网络的工作效率，并且还可以对整个无线射频环境进行监控，进而发现非法的AP。

无线网络主要功能是为合法无线终端用户提供访问网络资源的服务。使用WEP或WPA进行加密认证，如果加密密钥被破解，非法用户便可连接到无线网络，给整个网络的安全带来威胁。因此在用户接入无线网的认证设计上，可采取FIT-AP + 无线控制器(AC)+Web认证服务器的方式。Web认证是当用户选择接入网络时，终端浏览器会被无线网络的AC(控制器)强制跳转到指定的Protal服务器认证网页，并要求用户输入账号和密码进行身份认证一种方式，当用户通过认证时，可以正常使用网络资源，如使用内网的相关服务或访问互联网；当用户未认证或认证未通过时，则不能使用内网的相关服务或只可使用Protal服务器上的有限服务。

3.4 部署无线入侵检测系统

无线入侵检测系统(Wireless Intrusion Detection System，WIDS)通常由两部分组成：分布式传感器和管理控制台。在无线网络中，一般会部署分布式传感器(有的是通过部署监听AP来实现)，这样在WIDS系统中，可以通过部署的分布式传感器(监听AP)监测周围的无线网络，WIDS的传感器是通过处于监听模式的AP来完成数据包的捕获和解析[4]，当发现解析的数据包有入侵或攻击无线网络的行为时，系统就会发出警报并采取相应的措施，以阻止未经授权的设备进入网络，保护用户的信息安全和网络资源被合法使用。目前大多数无线控制器都具备无线入侵检测功能，能检测阻止类似泛洪攻击、欺骗攻击等恶意行为。

3.5 完善管理制度

若要合理地利用无线网络，使用网络提供的服务，就要规范无线网络的使用，防止无管理、无防护状态下使用无线网络造成信息泄露、重要数据被破坏等严重后果。网络管理人员在实际工作中，不但要定期检查网络设备的运行状况，查看相关设备日志，在发现问题后采取相应的措施进行处理，同时也要出台相关管理制度，一方面提高人员的信息安全意识，严禁私人安装无线路由等AP设备，另一方面对违反规定的行为进行严肃处理。

4 结语

目前，在众多无线网络的应用中，或多或少地存在安全问题。要想提高无线网络的安全性，需要从多方面进行提升，例如设置合理的加密认证方式，采用FIT-AP，用无线AC结合Web的方式以提高认证的安全性；要求用户设置复杂的密码，增加暴力破解密码难度；在资金允许的前提下，增配无线入侵检测系统等，同时也要建立有效的管理机制，禁止私自安装AP，提高使用人员的安全意识等，都能够提升无线网络的安全性。