企業(yè)無線局域網(wǎng)安全方案研究

◆包紅林

企業(yè)無線局域網(wǎng)安全方案研究

◆包紅林

（中國石油化工股份有限公司石油物探技術(shù)研究院 上海 211103）

在國家高度重視網(wǎng)絡(luò)信息安全的大背景下，建設(shè)安全的企業(yè)無線局域網(wǎng)，避免使其成為黑客進入企業(yè)內(nèi)網(wǎng)的捷徑。文章首先調(diào)研分析了無線局域網(wǎng)黑客攻擊技術(shù)與安全防護技術(shù)，然后研究設(shè)計了企業(yè)無線局域網(wǎng)安全方案并開展安全評測，最后從用戶接入、基礎(chǔ)設(shè)施和安全防護等三個方面總結(jié)提出了企業(yè)無線局域網(wǎng)安全方案建議。

無線局域網(wǎng)；黑客攻擊技術(shù)；安全技術(shù)；安全方案；安全評測

1 引言

無線局域網(wǎng)（WLAN）是以IEEE802.11標(biāo)準(zhǔn)為基礎(chǔ)，應(yīng)用無線通信技術(shù)建設(shè)的相互通信及資源共享的網(wǎng)絡(luò)，具有安裝簡便、開放性、覆蓋范圍廣、使用靈活便捷等特點。由于無線局域網(wǎng)的開放性，使其極易受到黑客的監(jiān)聽或攻擊。多數(shù)企業(yè)開展無線局域網(wǎng)建設(shè)時，對企業(yè)無線網(wǎng)絡(luò)安全威脅認(rèn)知不足或不夠重視，使其成為企業(yè)網(wǎng)絡(luò)安全防護的一塊短板。在國家高度重視網(wǎng)絡(luò)信息安全的大背景下，應(yīng)如何設(shè)計無線局域網(wǎng)安全方案，是企業(yè)進行無線局域網(wǎng)建設(shè)應(yīng)高度關(guān)注的一個主要問題。

2 無線局域網(wǎng)安全技術(shù)

無線局域網(wǎng)安全由用戶認(rèn)證與數(shù)據(jù)加密、基礎(chǔ)設(shè)施安全和攻擊防護等三個方面組成。

2.1 用戶認(rèn)證與數(shù)據(jù)加密

無線局域網(wǎng)用戶認(rèn)證早期使用隱藏SSID、MAC地址過濾和Web+Portal認(rèn)證等數(shù)據(jù)非加密的開放認(rèn)證方式。1999年通過的IEEE802.11b標(biāo)準(zhǔn)中定義了無線局域網(wǎng)WEP協(xié)議，采用開放式系統(tǒng)認(rèn)證和共享密鑰認(rèn)證，使用40比特密鑰+24比特IV的 RC4加密算法和CRC-32技術(shù)。2003年Wi-Fi聯(lián)盟發(fā)布WPA協(xié)議，采用WPA-PSK和WPA-Enterprise認(rèn)證，使用128比特密鑰+48位IV的RC4加密算法、TKIP協(xié)議和Michael技術(shù)。2004年Wi-Fi聯(lián)盟發(fā)布WPA2協(xié)議，采用更安全的AES加密算法和CCMP協(xié)議。2017年，安全研究團隊公布WPA2協(xié)議的KRACK漏洞，使得用戶可能遭受嚴(yán)重安全威脅[1]。2018年6月Wi-Fi聯(lián)盟發(fā)布WPA3協(xié)議，支持256位密鑰的AES-GCM加密，使WPA3具備192位加密能力，使用正向加密機制的SAE握手協(xié)議可抵御離線暴力字典攻擊，使用Wi-Fi DPP協(xié)議為物聯(lián)網(wǎng)設(shè)備提供簡化且安全的配置方法，支持OWE實現(xiàn)開放網(wǎng)絡(luò)中非認(rèn)證用戶數(shù)據(jù)加密。

2.2 無線基礎(chǔ)設(shè)施安全

無線基礎(chǔ)設(shè)施安全包括無線網(wǎng)絡(luò)設(shè)備的安全管理及通信鏈路數(shù)據(jù)的安全傳輸。無線控制器通過綜合識別機制白名單、SUDI、802.1X認(rèn)證等實現(xiàn)AP接入安全管理。無線控制器與AP間通過CAPWAP協(xié)議實現(xiàn)控制管理數(shù)據(jù)鏈路隧道加密，采用DTLS協(xié)議實現(xiàn)用戶無線數(shù)據(jù)的傳輸加密。

2.3 無線安全防護

無線安全防護由無線AP掃描和無線WIPS構(gòu)成。無線AP掃描包括Air/RF檢測分類、非Wi-Fi設(shè)備干擾檢測、DoS攻擊檢測定位、在非標(biāo)準(zhǔn)或反向通道上檢測惡意AP等。無線WIPS由攻擊檢測、識別反制等安全機制組成（見圖1）。由于AP還負(fù)有無線掃描、攻擊檢測與反制等安全防護功能，目前國內(nèi)廠商AP產(chǎn)品性能不能同時滿足用戶接入與安全防護，需專門配置執(zhí)行安全防護功能的安全監(jiān)控AP，構(gòu)建用戶接入+安全監(jiān)控的AP部署模式。

3 無線局域網(wǎng)黑客攻擊技術(shù)

黑客不需要高深的專業(yè)技能，其使用配置無線網(wǎng)卡的筆記本，安裝使用成熟配套軟件工具包（kali、BackTrace4），進入企業(yè)或在企業(yè)周邊進行探測攻擊。黑客利用無線局域網(wǎng)協(xié)議漏洞，通過破解WEP、WPA/WPA-PSK用戶密鑰，解密抓取的無線數(shù)據(jù)包分析獲取目標(biāo)信息。黑客通過搭建克隆虛假AP，誘騙用戶連接或誤關(guān)聯(lián)克隆AP，進行中間人攻擊或會話劫持攻擊，分析截獲的用戶數(shù)據(jù)獲取目標(biāo)信息，或?qū)⒂脩粽T騙至木馬病毒網(wǎng)站。黑客還可搭建仿冒的認(rèn)證服務(wù)器與克隆AP連接，對SSLPortal或WPA2-Enterpris認(rèn)證進行破解攻擊，獲取或破解用戶密鑰。黑客獲取用戶密鑰后可進入企業(yè)有線網(wǎng)絡(luò)開展進一步攻擊。黑客還會實施無線DOS主動攻擊，對企業(yè)無線局域網(wǎng)使用進行破壞。黑客對隱藏SSID、MAC地址過濾、WebPortal認(rèn)證等安全防護技術(shù)破解輕而易舉。黑客對WEP認(rèn)證加密破解毫不費力，一般不會超過10分鐘。黑客對WAP/WPA2-PSK認(rèn)證加密破解比較費力，需要預(yù)先編制并使用密碼字典，如果密碼字典中包含預(yù)共享密鑰，一般不會超過30分鐘就能完成破解。對SSLPortal與WPA2-Enterpris認(rèn)證，目前還不具備直接破解能力，需通過破解SSLPortal認(rèn)證攻擊與WPA2-EnterprisPEAP攻擊，直接獲取或字典暴力破解用戶密鑰[1-2]。

4 無線局域網(wǎng)安全方案設(shè)計及評測

企業(yè)應(yīng)結(jié)合黑客攻擊技術(shù)及無線網(wǎng)絡(luò)安全防護技術(shù)，分析無線局域網(wǎng)業(yè)務(wù)構(gòu)成、信任模型、敵手模型，確定無線局域網(wǎng)安全建設(shè)目標(biāo)[3]，從用戶接入、基礎(chǔ)設(shè)施和無線安全等三個方面出發(fā)，根據(jù)適度安全、最小權(quán)限、協(xié)同與深度防御等原則，結(jié)合企業(yè)有線網(wǎng)絡(luò)安全防護體系進行總體規(guī)劃（見圖2）及方案設(shè)計。我院設(shè)計的無線用戶接入安全方案見表1，通過開展無線網(wǎng)絡(luò)安全風(fēng)險評測工作（見表2），共發(fā)現(xiàn)無線安全漏洞12項，高安全風(fēng)險漏洞主要集中在不加密開放式認(rèn)證的訪客與啞終端接入上，認(rèn)證服務(wù)器使用自簽名證書導(dǎo)致SSL portal與WPA2-Enterpris認(rèn)證存在被黑客釣魚攻擊的安全風(fēng)險。

圖2 思科無線網(wǎng)絡(luò)多層安全防護設(shè)計示意圖

5 無線局域網(wǎng)安全方案建議

（1）用戶接入安全。企業(yè)員工無線接入應(yīng)選擇WPA2-Enterpris認(rèn)證并使用權(quán)威CA證書（不使用自簽名證書），對用戶密碼進行強口令策略管理。不提供https Portal的訪客無線接入。針對啞終端等物聯(lián)網(wǎng)設(shè)備接入，應(yīng)嚴(yán)格控制其網(wǎng)絡(luò)訪問范圍與權(quán)限，使用物聯(lián)網(wǎng)設(shè)備準(zhǔn)入管理系統(tǒng)甄別非法無線設(shè)備連接，或在WPA3普及后使用其DPP協(xié)議進行物聯(lián)網(wǎng)設(shè)備安全接入配置。

表1 企業(yè)無線用戶接入安全方案表

表2 無線網(wǎng)絡(luò)安全評估測試方案表

（2）基礎(chǔ)設(shè)施安全。應(yīng)全面實施無線基礎(chǔ)設(shè)施安全管理策略。對有園區(qū)或類似條件的企業(yè)，在滿足業(yè)務(wù)需求的前提下，可考慮控制無線信號覆蓋范圍與加強進出企業(yè)人員管理相結(jié)合的方法，盡量減少被黑客直接攻擊的概率。

（3）無線安全防護。建議企業(yè)構(gòu)建無線AP掃描+WIPS的無線安全防護平臺，其可根據(jù)安全策略自動對黑客攻擊事件進行檢測與阻斷。安全監(jiān)控AP部署應(yīng)與用戶接入AP統(tǒng)一規(guī)劃，同步部署，或可根據(jù)企業(yè)安全威脅大小分步部署，例如先在樓層大廳、候客區(qū)、會議室等安全風(fēng)險較高的公共場所部署，后期再完成其他點位部署，實現(xiàn)無線安全防護全覆蓋。如果企業(yè)沒有構(gòu)建無線安全防護平臺，管理員應(yīng)定期查看無線控制器日志，檢查是否存在非法AP及AP異常管理記錄來判斷攻擊事件發(fā)生，使用Wi-Fi 網(wǎng)絡(luò)狀態(tài)檢測工具[4]或采購移動無線檢測設(shè)備，查找無線攻擊源并進行清除。

6 結(jié)語

隨著無線網(wǎng)絡(luò)在企業(yè)應(yīng)用普及，企業(yè)應(yīng)高度重視無線網(wǎng)絡(luò)安全建設(shè)，應(yīng)從用戶接入、基礎(chǔ)設(shè)施和無線安全防護三個方面構(gòu)建安全的無線網(wǎng)絡(luò)，避免使其成為黑客入侵企業(yè)網(wǎng)絡(luò)的捷徑。隨著黑客攻擊技術(shù)未來從平臺化向智能化發(fā)展，無線網(wǎng)絡(luò)安全防護也應(yīng)對此開展相關(guān)技術(shù)研究工作。

[1]孫余強，王濤. KaliLinux無線滲透測試指南（第3版）[M] .北京：人民郵電出版社，2018：14-153.

[2]楊哲.無線網(wǎng)絡(luò)黑客攻防[M]. 北京：中國鐵道出版社，2015：31-223.

[3]任偉. 無線網(wǎng)絡(luò)安全問題初探[J]. 信息網(wǎng)絡(luò)安全，2012，（01）：10-13.

[4]陳國凱. Wi-Fi網(wǎng)絡(luò)安全狀態(tài)的檢測分析[J]. 白城師范學(xué)院學(xué)報，2019，33（06）：5-10.