无线局域网的安全防护措施概述.docxVIP

无线局域网的安全防护措施概述

摘要

随着智能设备的普及和网络设备成本的降低，无线局域网（WLAN）已经成为当今极为重要的组网与接入方式，在商业环境和公共应用中已经占据了主流的地位。由于WLAN安装简单、易于扩展以及其可移动性等特性，导致无线网的安全隐患同样很大。因此，为了给人们创建一个安全的无线网络环境，研究WLAN无线网络安全防护具有重要意义。

1.WLAN的安全演进

在空中传输的Wi-Fi数据包很容易被黑客所捕获，从而解析出银行账户、邮箱密码、账户信息等涉及个人隐私的机密信息。因此Wi-Fi联盟在1997年引入了最初的安全协议WEP，其安全架构是基站对用户进行单向鉴别，用户鉴别采用开放式的系统鉴别。由于WEP核心的RC4数据加密算法的不足，WEP安全机制已于2001年被完全破解。

针对WEP协议的安全问题，Wi-Fi联盟于2002年推出WPA安全协议，其加密使用临时密钥完整性协议（TKIP）进行密钥升级。但因TKIP仍然使用RC4加密算法，所以依然不够安全，在使用中会出现密钥攻击、中间人攻击等问题。

2004年IEEE802.11i安全标准制定完毕，Wi-Fi联盟经过修订后推出了具有与802.11i相同功能的WPA2。2017年8月，研究人员发现了WPA2的KRACK（KeyReinstallationAttack）漏洞[1]。

随后为解决Wi-Fi安全性问题，2018年1月Wi-Fi联盟推出了新一代安全协议WPA3。其主要包括使用更安全的握手协议SAE（SimultaneousAuthenticationofEquals），更强大的加密算法CNSA（CommercialNationalSecurityAlgorithmsSuite），以及专门针对开放式公共网络的加密方式OWE（OpportunisticWirelessEncryption）。虽然Wi-Fi联盟推出了WPA3安全机制，但其大规模部署仍然需要一段时间。因此为了保证WLAN无线网络安全，在安全协议之外还需要采取一定的防护措施。

2.WLAN的安全威胁

Wi-Fi所面临的安全威胁主要分为主动攻击和被动攻击。主动攻击是指未授权的实体接入网络、并修改信息、数据或文件内容的一种攻击方式，主要包括伪装攻击、重放攻击、篡改消息和拒绝服务攻击等。被动攻击指的是未经授权的实体简单地访问网络但不修改其中内容的攻击方式。被动攻击可能是简单的窃听或流量分析，窃听是指攻击者监视消息传送，获取其内容；流量分析是指攻击者通过监视消息的传输来分析通信方式，从而获得大量有价值的信息，以便进一步对网络实施攻击[2]。

2.1数据信息的非法截取

无线网络传送数据是利用无线电波的辐射完成，攻击者只需在其辐射范围内即可对网络数据进行监听，并对数据中的有效信息进行分析，从而获取攻击者想要的数据，而用户的数据信息一般进行加密处理，需采用暴力破解捕获的数据来获取有用信息。如图1所示。

图1截取无线信号

2.2中间人攻击-伪造AP

攻击者在目标主机与合法AP(网关或服务器)之间伪造一个非法的AP，恶意的拦截、插入、伪造、中断数据包，达到截获对方登陆账户及密码，伪造身份等目的。现在的无线设备基本上都可以设置成AP，可以使目标主机不经过授权而连入网络。如图2所示。

图2伪造AP

2.3非法外联

WLAN无线功能在大多数移动终端都比较常见，虽然企业采取各种手段管制网络安全，但企业周围存在很多免费无线网络热点，使员工们不由自主地连接这些WLAN网络。员工们频繁切换所连接的内网与外网，可能会存在网络安全问题，如手机终端、电脑终端内信息被盗等，甚至会给内网运行埋下安全隐患，使内网感染病毒。

3.WLAN安全防护措施

3.1有效隔离

在WLAN中，可以利用虚拟局域网（VLAN）把一个局域网从逻辑上分成几个独立的广播域。网络将根据无线客户端的身份,而不是它的物理位置分配和执行WLAN策略。根据不同的身份为每个VLAN分配不同的SSID，当WLAN与某个特定的VLAN关联时，用户通过SSID可以获得对该VLAN上的网络资源的访问权限。

同时若将AP安装在像防火墙这样的网络安全设备的外面，可以阻止流量监听和流量分析等攻击手段。

此外，通过对无线网络设备的设定，建立基于MAC地址的访问控制列表，AP将对收到的每个数据包的源地址做出过滤，只有在访问控制列表中的地址才能被转发，否则将会被丢弃或拦阻。

3.2加强WLAN的身份认证

身份认证是防护网络安全的前提，一般家庭用户可以启用预共享密钥PSK来进行用户的身份认证，但如果对安全要求较高的企业和政府部门的WLAN系统必须使用增强的企业级安全认证方案802.1x/EAP。802.1x/EAP-TLS认证方式中，802.1x的客户端认证请求可以结合外部的RADIUS