WLAN无线网络安全技术研究及应用

2019-09-13苏杰

通信电源技术 2019年8期

苏杰

（众至诚信息技术股份有限公司，山西太原 030006）

1 WLAN无线网络应用及面临的风险

1.1 流氓AP

流氓AP风险的特点在于不易察觉，一般在内网下无法被察觉。在流氓AP信号覆盖范围内，大幅度增加了内网被入侵的可能性。采取传统的技术手段通常无法发挥作用，如防火墙等。流氓AP会采取各种方法隐藏自己，不易被察觉，虽然网络管理人员在检查过程中无法发现，一旦被黑客发现，则会对流氓AP进行攻击。因此，流氓AP的网络安全隐患直接影响了WLAN无线网络的安全运行。

1.2 无线钓鱼

如果终端以往连接了一个WLAN网络，那么终端会记住它。如果WLAN网络终端被打开，那么终端会自动连接以往曾经连接过的WLAN网络。WLAN网络构架的属性，能实现人们对WLAN网络中某个特定AP的指定使用，并自主切换到另一个WLAN网络。如果连接到某一WLAN网络后，终端将会自动漫游在众多AP中。使用者一般难以分辨这些AP中隐藏着的钓鱼AP，一旦其他AP的信号强度低于钓鱼AP，终端将会立即连接钓鱼AP，从而直接影响WLAN网络的安全使用[1]。

黑客在攻击无线钓鱼时，采取的步骤主要如下。

（1）WLAN网络密匙的获取。如果WLAN网络是WEP或WPA认证，一般黑客在网络密匙破解过程中通过无线破解工具进行操作。如果密匙的破解难度较大，一般会将社会工程方法应用于实际来获取网络密匙。

（2）WLAN网络的伪造。在WLAN网络的伪造过程中，黑客一般采用1台相同的SSID钓鱼AP设置无线网络密匙。为了增加终端自动连接被伪造的WLAN网络的概率，黑客会在信号强度方面下工夫，其通过与高增益天线的配合，从而达到扩大无线覆盖范围的目的[2]。

（3）流量截获或进一步攻击。为了达到用户终端的控制效果，在连接无线钓鱼后，黑客将获取移动终端的数据流量。另外，黑客可进一步进行攻击，主要是获取HTTP请求，并将攻击代码、木马植入用户。

1.3 非法外联

WLAN无线功能在大多数移动终端都比较常见，虽然企业采取各种手段管制网络安全，但企业周围存在很多免费无线网络热点，使员工们不由自主地连接这些WLAN网络。员工们频繁切换所连接的内网与外网，可能会存在网络安全问题，如手机终端、电脑终端内信息被盗等，甚至会给内网运行埋下安全隐患，使内网出现感染病毒。

1.4 中间人攻击

中间人是2台通信计算机之间放置1台虚拟的计算机，中间人可以由黑客控制。黑客能够实现双方数据的获取与交换，从而使黑客完全控制两端通信过程，监听两端的所有通信。攻击者还可以通过拦截双方通话或者更改原有的信息，将新的内容插入其中，从而使通信双方接收到的内容与实际不相符。

2 WLAN无线网络安全关键技术

2.1 高精度链路层协议分析

高精度的协议分析和自适应匹配算法是无线链路攻击检测技术在解码和特征检测过程中对无线安全引擎计算的主要方法，具有准确性和高效性优势。在入侵环节，协议分析占据重要地位，能够提高特征匹配的精度，且能够减少特征匹配计算量[3]。网络攻击特点的研究是展开高精度链路层协议分析的第一步，一般在对其分析前需提取特征知识库中的协议信息。攻击研究和特征知识库进行的分析深度差异，是协议分析质量的关键差异。

2.2 多模匹配算法选择

报文中匹配多个串模式是在一个报文匹配运算中耗时量最大的匹配运算。实际上，多种多串并行匹配算法越来越多。但是，由于受到市场的考验，这种算法在商业产品中应用较为广泛。Aho-Corasick自动机算法、Wu-Manber算法以及ExB算法都是多种多串并行匹配算法的变种。

3 WLAN无线网络安全防护技术应用

3.1 无线网络入侵防御技术

为了保证WLAN无线网络安全，可在结合射频信号与802.11特点的基础上，进一步创新无线安全策略。在非法用户接入阻止过程中，可充分利用射频信号。这一过程必须以AP或Station属性为前提，目的是构建物理安全的无线安全区域，保证用户网络安全。要想达到无线入侵防御功能，检测与阻断一些非法无线设备是关键，如无线扫描、DoS等，能够防止内网机密通过无线网络外传。将入侵防御设备设置于无线网络、有线网络边界处，能够实现可管、可控的无线网络系统。

无线安全引擎设备部署在AP覆盖的区域，是将无线安全引擎设备部署于暂定每台AP旁。无线网络区域中心位置是部署位置的前提条件，需要注意，尽可能大范围覆盖。一般，覆盖范围是无线AP可以覆盖的所有区域，如图1所示。

图1 无线网络防御设备部署

在实现其他连接的完全阻断过程中，可在设备上设置合法网络部署，并应用合法客户端一对一的允许策略，使非法网络阻止连接，只连接合法的网络，监控网络实际情况。将审计数据写入数据库，如果发现非法AP即时告警，并将连接阻断。在引擎管理中采用web，能够实现引擎上报的告警信息关注。其中，无线扫描、无线破解以及拒绝服务攻击等是监视并防范的主要内容。

为了使管理质量满足实际需求，可应用集中管理的方式，通过专门集中管理软件有效管理多台部署的无线安全引擎设备，实现集中配置无线安全引擎，可在数据收集方面达到集中收集效果，同时具有其他功能，如日志查询等[4]。

对于无线安全告警事件的存储，集中管理中心可以实现便捷的管理效果，根据告警级别、类型等输入报表，为更好地追踪溯源奠定基础。

3.2 无线有线一体化关联分析技术

为了实现防御的整体安全性，应当有效结合无线安全和有效安全，以达到一体化的安全防御。为了实现无线网络安全威胁的准确定位，在无线网络安全因素分析过程中，不能只分析无线网络，还需要统一考虑有线网络，即无线有限一体化关联分析技术。实际中需要扫描和探测无线网络和有线网络，持续了解网络中的攻击特征，并不断汇总无线网络攻击特点。另外，需要分析无线网络、有线网络设备的特点与属性。