隨著Internet的迅猛發(fā)展，以及便攜電腦、智能手機等移動智能終端的使用日益頻繁，以無線信道作為傳輸媒介的無線局域網(wǎng)(WLAN)技術給用戶提供了有線網(wǎng)絡無可比擬的可移動、漫游的便利。無線局域網(wǎng)最通用的標準是IEEE定義的 802.11系列標準，早期應用定位于家庭、企業(yè)內(nèi)部以及運營商鋪設的熱點地區(qū)，比如機場、寫字樓、咖啡廳等。隨著技術的成熟以及移動互聯(lián)網(wǎng)應用的發(fā)展，WLAN如今已成為主流互聯(lián)網(wǎng)高速接入技術之一。但在WLAN業(yè)務系統(tǒng)日漸壯大的同時，也不斷暴露出各種安全問題，

　　下面是由學習啦小編整理的從設備、網(wǎng)絡、業(yè)務等層次針對WLAN業(yè)務系統(tǒng)所面臨的安全威脅進行分析，并對部分業(yè)務安全問題提出了目前的解決方案，希望大家喜歡!

　　WLAN 安全接入標準

　　無線網(wǎng)絡WLAN安全接入標準，大致有三種，分別是WEP、WPA和WAPI。

　　WEP(Wired Equivalent Privacy)

　　WEP(Wired Equivalent Privacy)是802.11b采用的安全標準，用于提供一種加密機制，保護數(shù)據(jù)鏈路層的安全，使無線網(wǎng)絡WLAN的數(shù)據(jù)傳輸安全達到與有線LAN相同的級別。

　　WPA (Wi-Fi Protected Access)

　　WPA(Wi-Fi Protected Access)是保護Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個版本，是WEP的升級版本，針對WEP的幾個缺點進行了彌補。是802.11i的組成部分，在802.11i沒有完備之前，是802.11i的臨時替代版本。

　　WAPI (WLAN Authentication and PrivacyInfrastructure)

　　WAPI(WLAN Authentication and Privacy Infrastructure)是我國自主研發(fā)并大力推行的無線WLAN安全規(guī)范，它通過了IEEE(注意，不是Wi-Fi)認證和授權，是一種認證和私密性保護協(xié)議，其作用類似于802.11b中的WEP，但是能提供更加完善的安全保護。

　　WLAN 系統(tǒng)面臨安全風險和問題

　　進入階段

　　WPA/WPA2及WEP標準安全性：目前主流的WPA-PSK類型的無線網(wǎng)絡可利用PSK+ssid先生成PMK，然后結合握手包中的客戶端MAC、AP的BSSID、A-NONCE、S-NONCE計算PTK，再加上原始的報文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較的方式進行暴力破解，這一方法被稱為字典跑包。另外一種較為主流的破解方式為PIN碼破解，也被稱為WPS破解，主要原理為利用WPS存在的安全問題，通過PIN碼可以直接提取密碼。而PIN碼是一個8位的整數(shù)，破解過程時間比較短。WPS PIN碼的第8位數(shù)是一個校驗和，因此黑客只需計算前7位數(shù)。另外前7位中的前四位和后三位分開認證。所以破解pin碼最多只需要1.1萬次嘗試，順利的情況下在3小時左右。而WEP由于自身設計缺陷，早已在2003年被Wi-Fi Protected Access (WPA) 淘汰，又在2004年由完整的 IEEE 802.11i 標準(又稱為 WPA2)所取代，但現(xiàn)網(wǎng)中仍有部分老舊設備仍使用簡單的WEP標準提供服務。

　　配置缺陷：由于許多企業(yè)并沒有啟用認證系統(tǒng)，或者是在WLAN認證Portal頁面的密碼登錄部分未設置驗證碼等機制，這些配置上的缺陷也會導致密碼被暴力破解。

　　密碼共享：隨著Wi-Fi萬能鑰匙等產(chǎn)品的流行泛濫，許多未啟用認證系統(tǒng)的企業(yè)面臨著WLAN密碼分秒被破解的窘境，企業(yè)內(nèi)網(wǎng)公然暴露在入侵者面前。

　　攻擊階段

　　設備漏洞：WLAN系統(tǒng)設備自身存在的安全漏洞、脆弱性，可被利用控制操縱WLAN設備，進而影響WLAN業(yè)務的正常使用。如果未采用詳細的訪問策略進行控制的話，用戶在接入WLAN網(wǎng)絡后，可訪問這些設備。一般AP設備安全防護較差，若存在弱口令或缺省口令，被惡意攻擊者控制后可修改配置或關閉設備，導致設備無法正常使用。AC等設備存在的一些漏洞(比如任意配置文件下載漏洞)也可導致賬號密碼、IP路由等信息泄露，進而影響系統(tǒng)的安全運行。

　　跳板攻擊：WLAN設備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離，導致WLAN設備易被攻擊控制，AC可從任意地址登錄，攻擊者可利用掃描軟件對設備進行暴力密碼掃描。

　　地址欺騙和會話攔截：由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網(wǎng)絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網(wǎng)絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前，通過會話攔截實現(xiàn)的網(wǎng)絡入侵是無法避免的。

　　高級入侵階段

　　高級入侵：一旦攻擊者進入無線網(wǎng)絡，它將成為進一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡都有一套經(jīng)過精心設置的安全設備作為網(wǎng)絡的外殼，以防止非法攻擊，但是在外殼保護的網(wǎng)絡內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡可以通過簡單配置就可快速地接入網(wǎng)絡主干，但這樣會使網(wǎng)絡暴露在攻擊者面前。即使有一定邊界安全設備的網(wǎng)絡，同樣也會使網(wǎng)絡暴露出來從而遭到進一步入侵。

　　WLAN系統(tǒng)安全防護

　　針對上述安全風險，為確保WLAN系統(tǒng)正常運行，應全面梳理WLAN業(yè)務的數(shù)據(jù)流與控制流，在各個環(huán)節(jié)、各個層面做好基本安全防護。

　　接入防護

　　接入防護是確保WLAN系統(tǒng)的所有設備安全運行最基本的保障。AP被控制可能會導致用戶根本無法接入;AC被控制將影響AC所管理的所有AP設備，導致大量用戶無法正常接入，并有可能將用戶引入攻擊者設計的Portal頁面;RADIUS被控制影響用戶的管理;網(wǎng)絡設備被控制將影響網(wǎng)絡訪問;RADIUS、Portal出現(xiàn)問題影響用戶的認證與計費;網(wǎng)管設備出現(xiàn)問題導致被管對象運行異常，甚至會導致攻擊者從外網(wǎng)進入內(nèi)網(wǎng)，進而發(fā)起更深層次的攻擊。所以列出如下幾點建議對WLAN接入防護進行加固：

　　WLAN系統(tǒng)相關設備設置復雜的口令;

　　對于開啟SNMP協(xié)議的設備應設置復雜的通信字，除非必要不開啟具有寫權限的通信字，并對可訪問地址進行嚴格限制;

　　采用端口訪問技術(802.1x)進行控制，防止非授權的非法接入和訪問;

　　對AP和網(wǎng)卡設置復雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定;

　　禁止AP向外廣播其SSID;

　　布置AP的時候要在公司辦公區(qū)域以外進行檢查，防止AP的覆蓋范圍超出辦公區(qū)域(難度較大)，同時要讓保安人員在公司附近進行巡查，防止外部人員在公司附近接入網(wǎng)絡;

　　開啟日志，并定期查看系統(tǒng)日志。在攻擊者掃描時一般會在系統(tǒng)中留下較明顯的日志，如圖1所示即為一 AC設備上的登錄日志，從日志即可看出來該IP地址對AC設備賬號密碼進行了掃描破解;

　　RADIUS系統(tǒng)存儲的WLAN用戶賬號密碼，應采用加密方式保存，同時增強WLAN用戶密碼生成機制的安全性，避免WLAN系統(tǒng)重置密碼是默認弱口令。

　　攻擊防護

　　做好用戶隔離，開啟AC用戶隔離功能和交換機端口隔離功能。正常情況下，未認證用戶不能訪問網(wǎng)絡內(nèi)其他用戶，認證后用戶在同一AP、同一熱點不同AP 下不能互通。

　　根據(jù)需要為AC劃分管理VLAN和用戶VLAN， VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡之間，以及內(nèi)部不同安全域之間通過防火墻實現(xiàn)隔離及訪問控制，細化訪問控制策略嚴格限制可登錄維護地址范圍與端口。

　　高級入侵防護

　　區(qū)域部署專業(yè)安全設備。在核心網(wǎng)元部署入侵檢測系統(tǒng)、防火墻，在Portal服務器所在網(wǎng)絡部署防拒絕和網(wǎng)頁防篡改軟件。

　　加強審計，對WLAN網(wǎng)絡內(nèi)的所有節(jié)點都做好統(tǒng)計

　　綠盟安全無線防御系統(tǒng)

　　產(chǎn)品綜述

　　安全無線防御系統(tǒng)主要由以下幾部分組成：

　　安全無線防御系統(tǒng)：部署需要安全防護的無線網(wǎng)絡中，融合多種安全能力，針對無線掃描、無線欺騙、無線DoS、無線破解等無線網(wǎng)絡威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的安全無線防御設備。

　　無線安全集中數(shù)據(jù)分析中心：無線安全數(shù)據(jù)分析是無線安全產(chǎn)品海量信息的后臺處理中心。主要完成安全無線防御系統(tǒng)的日志和安全事件的存儲、分析、審計和處理功能。

　　產(chǎn)品特性

　　綠盟安全無線防御系統(tǒng)的主要特性包括：

　　無線防火墻，結合射頻信號及802.11特點，提供創(chuàng)新的無線防火墻安全策略，可根據(jù)AP或Station的安全屬性定制無線網(wǎng)絡準入規(guī)則，通過射頻信號阻止非法用戶接入，建立射頻安全區(qū)，提供具有物理安全、可信的無線網(wǎng)絡。

　　安全無線防御，提供包括無線掃描、欺騙、DoS、破解等多個大類數(shù)十種無線攻擊的檢測、告警、阻斷功能，同時提供多種類型流氓AP的檢測與阻斷，徹底杜絕內(nèi)網(wǎng)機密通過無線網(wǎng)絡向外泄露。

　　豐富的報表統(tǒng)計，提供無線網(wǎng)絡實時拓撲、雷達圖、柱狀圖、餅狀圖、攻擊排名等多種豐富統(tǒng)計，無線安全狀態(tài)一目了然。

　　綠盟科技可提供專業(yè)化的無線安全防護方案。各企業(yè)用戶可根據(jù)企業(yè)規(guī)模、人才儲備、業(yè)務特點等情況，在不同攻擊層面對自身WLAN業(yè)務進行防護加固，降低安全風險，避免安全損失，保障企業(yè)效益。