隨著Internet的迅猛發(fā)展，以及便攜電腦、智能手機(jī)等移動(dòng)智能終端的使用日益頻繁，以無(wú)線信道作為傳輸媒介的無(wú)線局域網(wǎng)(WLAN)技術(shù)給用戶提供了有線網(wǎng)絡(luò)無(wú)可比擬的可移動(dòng)、漫游的便利。無(wú)線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE定義的 802.11系列標(biāo)準(zhǔn)，早期應(yīng)用定位于家庭、企業(yè)內(nèi)部以及運(yùn)營(yíng)商鋪設(shè)的熱點(diǎn)地區(qū)，比如機(jī)場(chǎng)、寫(xiě)字樓、咖啡廳等。隨著技術(shù)的成熟以及移動(dòng)互聯(lián)網(wǎng)應(yīng)用的發(fā)展，WLAN如今已成為主流互聯(lián)網(wǎng)高速接入技術(shù)之一。但在WLAN業(yè)務(wù)系統(tǒng)日漸壯大的同時(shí)，也不斷暴露出各種安全問(wèn)題，

　　下面是由學(xué)習(xí)啦小編整理的從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對(duì)WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進(jìn)行分析，并對(duì)部分業(yè)務(wù)安全問(wèn)題提出了目前的解決方案，希望大家喜歡!

　　WLAN 安全接入標(biāo)準(zhǔn)

　　無(wú)線網(wǎng)絡(luò)WLAN安全接入標(biāo)準(zhǔn)，大致有三種，分別是WEP、WPA和WAPI。

　　WEP(Wired Equivalent Privacy)

　　WEP(Wired Equivalent Privacy)是802.11b采用的安全標(biāo)準(zhǔn)，用于提供一種加密機(jī)制，保護(hù)數(shù)據(jù)鏈路層的安全，使無(wú)線網(wǎng)絡(luò)WLAN的數(shù)據(jù)傳輸安全達(dá)到與有線LAN相同的級(jí)別。

　　WPA (Wi-Fi Protected Access)

　　WPA(Wi-Fi Protected Access)是保護(hù)Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個(gè)版本，是WEP的升級(jí)版本，針對(duì)WEP的幾個(gè)缺點(diǎn)進(jìn)行了彌補(bǔ)。是802.11i的組成部分，在802.11i沒(méi)有完備之前，是802.11i的臨時(shí)替代版本。

　　WAPI (WLAN Authentication and PrivacyInfrastructure)

　　WAPI(WLAN Authentication and Privacy Infrastructure)是我國(guó)自主研發(fā)并大力推行的無(wú)線WLAN安全規(guī)范，它通過(guò)了IEEE(注意，不是Wi-Fi)認(rèn)證和授權(quán)，是一種認(rèn)證和私密性保護(hù)協(xié)議，其作用類(lèi)似于802.11b中的WEP，但是能提供更加完善的安全保護(hù)。

　　WLAN 系統(tǒng)面臨安全風(fēng)險(xiǎn)和問(wèn)題

　　進(jìn)入階段

　　WPA/WPA2及WEP標(biāo)準(zhǔn)安全性：目前主流的WPA-PSK類(lèi)型的無(wú)線網(wǎng)絡(luò)可利用PSK+ssid先生成PMK，然后結(jié)合握手包中的客戶端MAC、AP的BSSID、A-NONCE、S-NONCE計(jì)算PTK，再加上原始的報(bào)文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較的方式進(jìn)行暴力破解，這一方法被稱為字典跑包。另外一種較為主流的破解方式為PIN碼破解，也被稱為WPS破解，主要原理為利用WPS存在的安全問(wèn)題，通過(guò)PIN碼可以直接提取密碼。而PIN碼是一個(gè)8位的整數(shù)，破解過(guò)程時(shí)間比較短。WPS PIN碼的第8位數(shù)是一個(gè)校驗(yàn)和，因此黑客只需計(jì)算前7位數(shù)。另外前7位中的前四位和后三位分開(kāi)認(rèn)證。所以破解pin碼最多只需要1.1萬(wàn)次嘗試，順利的情況下在3小時(shí)左右。而WEP由于自身設(shè)計(jì)缺陷，早已在2003年被Wi-Fi Protected Access (WPA) 淘汰，又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)(又稱為 WPA2)所取代，但現(xiàn)網(wǎng)中仍有部分老舊設(shè)備仍使用簡(jiǎn)單的WEP標(biāo)準(zhǔn)提供服務(wù)。

　　配置缺陷：由于許多企業(yè)并沒(méi)有啟用認(rèn)證系統(tǒng)，或者是在WLAN認(rèn)證Portal頁(yè)面的密碼登錄部分未設(shè)置驗(yàn)證碼等機(jī)制，這些配置上的缺陷也會(huì)導(dǎo)致密碼被暴力破解。

　　密碼共享：隨著Wi-Fi萬(wàn)能鑰匙等產(chǎn)品的流行泛濫，許多未啟用認(rèn)證系統(tǒng)的企業(yè)面臨著WLAN密碼分秒被破解的窘境，企業(yè)內(nèi)網(wǎng)公然暴露在入侵者面前。

　　攻擊階段

　　設(shè)備漏洞：WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性，可被利用控制操縱WLAN設(shè)備，進(jìn)而影響WLAN業(yè)務(wù)的正常使用。如果未采用詳細(xì)的訪問(wèn)策略進(jìn)行控制的話，用戶在接入WLAN網(wǎng)絡(luò)后，可訪問(wèn)這些設(shè)備。一般AP設(shè)備安全防護(hù)較差，若存在弱口令或缺省口令，被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備，導(dǎo)致設(shè)備無(wú)法正常使用。AC等設(shè)備存在的一些漏洞(比如任意配置文件下載漏洞)也可導(dǎo)致賬號(hào)密碼、IP路由等信息泄露，進(jìn)而影響系統(tǒng)的安全運(yùn)行。

　　跳板攻擊：WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離，導(dǎo)致WLAN設(shè)備易被攻擊控制，AC可從任意地址登錄，攻擊者可利用掃描軟件對(duì)設(shè)備進(jìn)行暴力密碼掃描。

　　地址欺騙和會(huì)話攔截：由于802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過(guò)欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過(guò)非常簡(jiǎn)單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來(lái)惡意攻擊時(shí)使用。除攻擊者通過(guò)欺騙幀進(jìn)行攻擊外，攻擊者還可以通過(guò)截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過(guò)監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒(méi)有要求AP必須證明自己真是一個(gè)AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過(guò)這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒(méi)有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過(guò)會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無(wú)法避免的。

　　高級(jí)入侵階段

　　高級(jí)入侵：一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過(guò)精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無(wú)線網(wǎng)絡(luò)可以通過(guò)簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使網(wǎng)絡(luò)暴露出來(lái)從而遭到進(jìn)一步入侵。

　　WLAN系統(tǒng)安全防護(hù)

　　針對(duì)上述安全風(fēng)險(xiǎn)，為確保WLAN系統(tǒng)正常運(yùn)行，應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流，在各個(gè)環(huán)節(jié)、各個(gè)層面做好基本安全防護(hù)。

　　接入防護(hù)

　　接入防護(hù)是確保WLAN系統(tǒng)的所有設(shè)備安全運(yùn)行最基本的保障。AP被控制可能會(huì)導(dǎo)致用戶根本無(wú)法接入;AC被控制將影響AC所管理的所有AP設(shè)備，導(dǎo)致大量用戶無(wú)法正常接入，并有可能將用戶引入攻擊者設(shè)計(jì)的Portal頁(yè)面;RADIUS被控制影響用戶的管理;網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問(wèn);RADIUS、Portal出現(xiàn)問(wèn)題影響用戶的認(rèn)證與計(jì)費(fèi);網(wǎng)管設(shè)備出現(xiàn)問(wèn)題導(dǎo)致被管對(duì)象運(yùn)行異常，甚至?xí)?dǎo)致攻擊者從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，進(jìn)而發(fā)起更深層次的攻擊。所以列出如下幾點(diǎn)建議對(duì)WLAN接入防護(hù)進(jìn)行加固：

　　WLAN系統(tǒng)相關(guān)設(shè)備設(shè)置復(fù)雜的口令;

　　對(duì)于開(kāi)啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字，除非必要不開(kāi)啟具有寫(xiě)權(quán)限的通信字，并對(duì)可訪問(wèn)地址進(jìn)行嚴(yán)格限制;

　　采用端口訪問(wèn)技術(shù)(802.1x)進(jìn)行控制，防止非授權(quán)的非法接入和訪問(wèn);

　　對(duì)AP和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來(lái)確定是否需要MAC綁定;

　　禁止AP向外廣播其SSID;

　　布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區(qū)域(難度較大)，同時(shí)要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò);

　　開(kāi)啟日志，并定期查看系統(tǒng)日志。在攻擊者掃描時(shí)一般會(huì)在系統(tǒng)中留下較明顯的日志，如圖1所示即為一 AC設(shè)備上的登錄日志，從日志即可看出來(lái)該IP地址對(duì)AC設(shè)備賬號(hào)密碼進(jìn)行了掃描破解;

　　RADIUS系統(tǒng)存儲(chǔ)的WLAN用戶賬號(hào)密碼，應(yīng)采用加密方式保存，同時(shí)增強(qiáng)WLAN用戶密碼生成機(jī)制的安全性，避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令。

　　攻擊防護(hù)

　　做好用戶隔離，開(kāi)啟AC用戶隔離功能和交換機(jī)端口隔離功能。正常情況下，未認(rèn)證用戶不能訪問(wèn)網(wǎng)絡(luò)內(nèi)其他用戶，認(rèn)證后用戶在同一AP、同一熱點(diǎn)不同AP 下不能互通。

　　根據(jù)需要為AC劃分管理VLAN和用戶VLAN， VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間，以及內(nèi)部不同安全域之間通過(guò)防火墻實(shí)現(xiàn)隔離及訪問(wèn)控制，細(xì)化訪問(wèn)控制策略嚴(yán)格限制可登錄維護(hù)地址范圍與端口。

　　高級(jí)入侵防護(hù)

　　區(qū)域部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測(cè)系統(tǒng)、防火墻，在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕和網(wǎng)頁(yè)防篡改軟件。

　　加強(qiáng)審計(jì)，對(duì)WLAN網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)都做好統(tǒng)計(jì)

　　綠盟安全無(wú)線防御系統(tǒng)

　　產(chǎn)品綜述

　　安全無(wú)線防御系統(tǒng)主要由以下幾部分組成：

　　安全無(wú)線防御系統(tǒng)：部署需要安全防護(hù)的無(wú)線網(wǎng)絡(luò)中，融合多種安全能力，針對(duì)無(wú)線掃描、無(wú)線欺騙、無(wú)線DoS、無(wú)線破解等無(wú)線網(wǎng)絡(luò)威脅，實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的安全無(wú)線防御設(shè)備。

　　無(wú)線安全集中數(shù)據(jù)分析中心：無(wú)線安全數(shù)據(jù)分析是無(wú)線安全產(chǎn)品海量信息的后臺(tái)處理中心。主要完成安全無(wú)線防御系統(tǒng)的日志和安全事件的存儲(chǔ)、分析、審計(jì)和處理功能。

　　產(chǎn)品特性

　　綠盟安全無(wú)線防御系統(tǒng)的主要特性包括：

　　無(wú)線防火墻，結(jié)合射頻信號(hào)及802.11特點(diǎn)，提供創(chuàng)新的無(wú)線防火墻安全策略，可根據(jù)AP或Station的安全屬性定制無(wú)線網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過(guò)射頻信號(hào)阻止非法用戶接入，建立射頻安全區(qū)，提供具有物理安全、可信的無(wú)線網(wǎng)絡(luò)。

　　安全無(wú)線防御，提供包括無(wú)線掃描、欺騙、DoS、破解等多個(gè)大類(lèi)數(shù)十種無(wú)線攻擊的檢測(cè)、告警、阻斷功能，同時(shí)提供多種類(lèi)型流氓AP的檢測(cè)與阻斷，徹底杜絕內(nèi)網(wǎng)機(jī)密通過(guò)無(wú)線網(wǎng)絡(luò)向外泄露。

　　豐富的報(bào)表統(tǒng)計(jì)，提供無(wú)線網(wǎng)絡(luò)實(shí)時(shí)拓?fù)?、雷達(dá)圖、柱狀圖、餅狀圖、攻擊排名等多種豐富統(tǒng)計(jì)，無(wú)線安全狀態(tài)一目了然。

　　綠盟科技可提供專業(yè)化的無(wú)線安全防護(hù)方案。各企業(yè)用戶可根據(jù)企業(yè)規(guī)模、人才儲(chǔ)備、業(yè)務(wù)特點(diǎn)等情況，在不同攻擊層面對(duì)自身WLAN業(yè)務(wù)進(jìn)行防護(hù)加固，降低安全風(fēng)險(xiǎn)，避免安全損失，保障企業(yè)效益。