無線安全監(jiān)測防護研究與實踐

李偉淵 何偉賢 譚彬

摘 要：移動化已經(jīng)支撐起企業(yè)運行的各個方面，關(guān)鍵業(yè)務(wù)從有線網(wǎng)絡(luò)轉(zhuǎn)移到無線網(wǎng)絡(luò)，不但贏得了時間，還數(shù)倍提升了運轉(zhuǎn)效率。然而，在無線網(wǎng)絡(luò)正逐漸成為無線辦公系統(tǒng)主要基礎(chǔ)架構(gòu)的同時，無線WiFi的安全風(fēng)險卻正與日俱增，人們對無線WiFi網(wǎng)絡(luò)安全擔憂加劇。論文簡要介紹了無線安全監(jiān)測及防護系統(tǒng)建設(shè)思路。從海量無線安全攻防對抗中，抽取無線安全監(jiān)測、管理、射頻阻斷、引流防護等技術(shù)，構(gòu)筑無線安全防護屏障，為無線WiFi系統(tǒng)提供可靠、持續(xù)的環(huán)境監(jiān)測，對非法無線攻擊行為實施有效檢測，對危害性高、具備流行趨勢的無線安全事件進行智能化反制，最終實現(xiàn)WLAN系統(tǒng)的全面安全保障。

關(guān)鍵詞：無線安全；射頻阻斷；無線WiFi防護

中圖分類號：TP309 文獻標識碼：D

Abstract： Mobile has supported all aspects of enterprise operation， the key business from wired networks to wireless networks， not only won time， but also several times to improve operational efficiency. However， while WLAN is gradually becoming the main infrastructure of IT systems， the security risks of WLAN are increasing day by day， and people are increasingly worried about WLAN network security. This paper briefly introduces the construction of wireless security monitoring and protection system. From the massive wireless security attack and defense countermeasure， the wireless security monitoring， management， radio frequency blocking， drainage protection and other technologies are extracted to construct the wireless security protection barrier， provide reliable and continuous environmental monitoring for WLAN system， carry out effective detection of illegal wireless attacks， and have high harmfulness and popular trend of wireless security. The incident is intelligently counteracted， so that the overall security of the WLAN system will eventually be realized.

Key words： wireless security；radiofrequency blocking；wifi protect

1 引言

近年來，央視3.15晚會先后曝光了欺詐、釣魚Wifi和Wifi暴力破解等無線網(wǎng)絡(luò)環(huán)境安全性問題。與此同時，智能手機、平板電腦等智能終端普及迅速，員工私自搭建無線路由器或軟AP連接到企業(yè)內(nèi)網(wǎng)的現(xiàn)象也日益泛濫，只通過安全管理要求，并不能有效控制。這些私自接到內(nèi)網(wǎng)的AP，躲避了有線鏈路的監(jiān)測，而且大部分直接使用默認密碼、弱口令甚至沒有密碼，這就相當于開了無數(shù)個大門，讓外部人員可以輕易訪問企業(yè)內(nèi)網(wǎng)。同時，企業(yè)的內(nèi)部員工惡意通過移動的熱點、WiFi 或Ad-hoc、直接鏈接等手段就很容易將內(nèi)部信息泄露出去。這些違規(guī)行為，在傳統(tǒng)的有線網(wǎng)絡(luò)安全防護體系中是沒有記錄的，更無法稽核，這使得企業(yè)辦公環(huán)境中的無線網(wǎng)絡(luò)安全形勢日益嚴峻。

無線攻擊事件發(fā)生一旦發(fā)生，可能會導(dǎo)致企業(yè)商業(yè)機密、財務(wù)信息、客戶資料泄漏，造成巨大損失。因此，針對無線網(wǎng)絡(luò)接入安全，必須對試圖接入企業(yè)無線網(wǎng)絡(luò)的內(nèi)部或訪客移動終端進行有效監(jiān)管，防患于未然。

2 現(xiàn)狀問題分析

企業(yè)的有線網(wǎng)絡(luò)安全設(shè)備都主要部署在各個網(wǎng)絡(luò)出口上，防范由外到內(nèi)的安全威脅。由于網(wǎng)絡(luò)物理鏈路位置以及現(xiàn)有保護技術(shù)的限制，對無線局域網(wǎng)的安全威脅基本上都是無能為力的。而防火墻只能通過有線網(wǎng)絡(luò)層，在網(wǎng)絡(luò)出口上通過MAC地址、IP等特征阻止非法無線客戶端，無法阻止無線的客戶端通過射頻信號與AP通信，而一旦有非法用戶端接入內(nèi)部網(wǎng)絡(luò)AP，相當于已經(jīng)侵入企業(yè)內(nèi)網(wǎng)，不法分子可以通過嗅探、中間人攻擊等獲取企業(yè)的各種信息并可能控制部分服務(wù)器設(shè)備。

最具攻擊性并且風(fēng)險最高的無線安全事件，如圖1所示。

使用傳統(tǒng)的安全防護方案，對流氓AP熱點的架設(shè)和訪問是無法阻止的（例如內(nèi)部員工對有線網(wǎng)絡(luò)AP的個人訪問），只能通過有線交換機的端口控制，但近來流行USB隨身WiFi，讓本就無法實現(xiàn)終端端口控制的無線網(wǎng)絡(luò)場景被人為挖開了一個更大的缺口，內(nèi)部網(wǎng)數(shù)據(jù)安全更加難以防護，尤其是對于無線欺騙或無線掃描和無線拒絕服務(wù)等無線攻擊更加的無能為力。

3 無線3安全監(jiān)測及防護系統(tǒng)研究

3.1無線安全監(jiān)測及防護能力構(gòu)建

對無線安全檢測及防護，需要結(jié)合企業(yè)自身安全需求，制定企業(yè)自身的安全策略并落實防護，主要的無線安全檢測及防護要求舉例。

提供完善的無線設(shè)備安全準入策略：依據(jù)公司自身的無線局域網(wǎng)組網(wǎng)情況，以及資產(chǎn)屬性制定無線安全策略，以無線局域網(wǎng)資產(chǎn)分類定義（如以不同的廠家來進行區(qū)分），建立各個具有物理安全特性的射頻安全區(qū)。

可靠的無線射頻阻斷：可使用射頻信號阻斷非法無線局域網(wǎng)設(shè)備的訪問，從發(fā)射源頭阻斷攻擊者的攻擊，使其無法接入無線網(wǎng)絡(luò)，從而防止無線攻擊的持續(xù)進行，有效保障無線網(wǎng)絡(luò)能具備有線網(wǎng)絡(luò)同等的物理安全。

無線入侵檢測需要提對無線攻擊方式進行研究，形成豐富的攻擊檢測特征庫及快速分析統(tǒng)計能力：包括對無線掃描或無線釣魚、無線欺騙、無線嗅探、暴力破解和惡意AP以及DoS等攻擊手段檢測，不間斷的保障公司無線網(wǎng)絡(luò)的安全。

3.2 無線安全監(jiān)測及防護體系建立

確認無線安全的監(jiān)測和防護能力需求后，需要及時建立有效的無線安全監(jiān)測防護體系。

無線安全的防御體系主要特性包括幾個方面。

無線發(fā)現(xiàn)，自動發(fā)現(xiàn)檢測區(qū)域內(nèi)的AP和客戶端，識別非法設(shè)備（如惡意/釣魚AP），展示W(wǎng)iFi網(wǎng)絡(luò)狀態(tài)/拓撲/信道等信息。

無線隔離，通過結(jié)合射頻信號和802.11特性從而實現(xiàn)防火墻的無線安全策略。根據(jù)無線AP或者站點的安全屬性，無線防火墻可以自定無線網(wǎng)絡(luò)的接入規(guī)則，利用射頻信號阻斷非法對無線局域網(wǎng)設(shè)備的訪問，并相應(yīng)的建立射頻安全區(qū)，保證無線網(wǎng)絡(luò)的物理安全行性可信度。

安全無線防御，檢測、告警、阻斷包括無線掃描、無線嗅探、無線釣魚、WiFi暴力破解、無線欺騙、DoS等類型的無線攻擊，同時提供多種類型惡意AP的檢測以及阻斷，從而杜絕了通過無線網(wǎng)絡(luò)向外泄露內(nèi)網(wǎng)機密。

無線安全狀態(tài)、報表實時展示，將無線網(wǎng)絡(luò)實時拓撲與蜘蛛圖、餅狀圖、柱狀圖、折線圖、攻擊排名以及其他豐富的統(tǒng)計數(shù)據(jù)直觀、實時展示出來，全方位了解無線安全狀態(tài)。

3.3 無線安全監(jiān)測及防護技術(shù)分析

3.3.1 基于無線網(wǎng)絡(luò)架構(gòu)的自動學(xué)習(xí)技術(shù)

對于傳統(tǒng)有線網(wǎng)絡(luò)來說，網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)布局時，通過將具體的網(wǎng)絡(luò)設(shè)施以及用戶終端與指定的物理端口進行對應(yīng)，才能方便地進行管理。而對于無線網(wǎng)絡(luò)來說，由于終端的無線性和便攜性，使得網(wǎng)絡(luò)管理員很難將無線用戶映射到特定的物理位置，甚至要了解無線網(wǎng)絡(luò)的運行狀態(tài)也是一項困難的任務(wù)。

無線入侵防御系統(tǒng)需要通過自動學(xué)習(xí)功能，準備識別無線網(wǎng)絡(luò)的變化，并將其網(wǎng)絡(luò)狀態(tài)和無線拓撲以及無線設(shè)備屬性等內(nèi)容展示給用戶，為企業(yè)提供直觀的無線分析以及管理方法。系統(tǒng)通過偵聽模式，盡可能學(xué)習(xí)更多無線設(shè)備，并對無線設(shè)備的屬性進行詳細統(tǒng)計。

無線設(shè)備詳細屬性舉例：SSID；IP；MAC；信道；加密方式；Beacon間隔；工作模式；信號強度；上電時間；廠商屬性。

3.3.2 高效的無線攻擊檢測技術(shù)

有別于有限網(wǎng)絡(luò)的攻擊都集中在網(wǎng)絡(luò)層，無線網(wǎng)絡(luò)無法像有限網(wǎng)絡(luò)一樣通過部署IDS、IPS進行檢測，需要通過不同的無線攻擊識別技術(shù)實現(xiàn)，無線安全監(jiān)測防御系統(tǒng)利用無線檢測技術(shù)及算法，形成覆蓋無線協(xié)議的攻擊特征庫，使得無線安全監(jiān)測及防護系統(tǒng)能夠高效的檢測無線欺騙、無線破解、流氓AP、無線DoS攻擊等多個分類中數(shù)十種基于無線網(wǎng)絡(luò)架構(gòu)的攻擊。

3.3.3 基于射頻的精確阻斷技術(shù)

在無線網(wǎng)絡(luò)環(huán)境，無線入侵防御系統(tǒng)采用基于無線鏈路層的阻斷技術(shù)，滿足企業(yè)對精準阻斷的要求，杜絕無阻斷情況。

傳統(tǒng)的射頻干擾（通過高功率、長時間發(fā)送所在頻段的干擾信號，干擾無線設(shè)備的正常接收）的阻斷方式，無法實現(xiàn)精確阻斷，因此無線入侵防御系統(tǒng)需要采用更先進攻擊反制方式：利用無線報文反制攻擊設(shè)備，壓制甚至阻斷其攻擊行為。例如，當有無線攻擊包對辦公AP進行攻擊時，無線入侵防御系統(tǒng)可通過發(fā)送放棄握手包，致使攻擊行為無效。

另一方面，當無線入侵防御系統(tǒng)的工作區(qū)域內(nèi)，沒有出現(xiàn)攻擊行為時，設(shè)備將處于監(jiān)聽的狀態(tài)，對外也不發(fā)射任何的射頻信號，一旦攻擊行為出現(xiàn)并被有效檢測，設(shè)備即開始針對性的反制動作。

此外，精確阻斷不會對其他無線設(shè)備的工作造成任何的不良影響，甚至在同一無線AP下的非法終端被反制，也不會對合法接入的無線終端造成影響，并且策略支持用戶自定義或自動策略下發(fā)。這種智能的攻擊反制方式，是傳統(tǒng)射頻干擾器無法比擬的。

目前，無線入侵防御系統(tǒng)的攻擊反制手段包括針對無線設(shè)備、針對無線關(guān)聯(lián)關(guān)系實施防御策略。在技術(shù)手段上，采用了泛洪反制、AirJack反制 、FakeAP反制等；無線入侵防御系統(tǒng)能夠自動、靈活、動態(tài)下發(fā)的反制策略，實現(xiàn)可靠的攻擊反制效果。

4 無線安全監(jiān)測及防護系統(tǒng)實現(xiàn)

4.1 無線安全監(jiān)測及防護系統(tǒng)架構(gòu)

無線入侵防御系統(tǒng)主要由兩部分組成：無線入侵防御、無線安全引擎。

無線入侵防御：針對于無線掃描、WiFi暴力破解、無線釣魚、無線欺騙以及惡意AP、DoS等無線網(wǎng)絡(luò)的威脅，提供可靠、實時、有效、精確、持續(xù)的無線安全監(jiān)測和防御能力。

無線安全引擎：進行無線安全事件的存儲和審計、分析以及處理，是無線安全產(chǎn)品海量信息處理中心。

無線入侵防御系統(tǒng)涵蓋無線入侵檢測、無線攻擊防御及無線安全態(tài)勢評估，本著安全、高效原則將各層功能模塊化設(shè)計，整個過程數(shù)據(jù)信息由系統(tǒng)統(tǒng)一監(jiān)控、配置和調(diào)整。

4.2 無線安全監(jiān)測及防護系統(tǒng)拓撲

采用分布式無線安全防護思想，即無線安全控制器+無線探針，探針供電采用802.3af/802.1at標準以太網(wǎng)供電方案（Power over Ethernet，PoE），通過以太網(wǎng)線來匯聚無線環(huán)境實時拓撲與安全事件數(shù)據(jù)流。利用無線安全控制器下發(fā)安全策略；利用無線入侵防御探針，實現(xiàn)對無線接入系統(tǒng)非法入侵無線、非法外聯(lián)、外部系統(tǒng)的有效監(jiān)測、并實時阻斷非法無線設(shè)備（無線AP、無線終端等）發(fā)起的非法入侵行為。

4.3 應(yīng)用效果

通過研究并實施無線安全監(jiān)測以及防護系統(tǒng)，有效遏制外部攻擊及規(guī)范內(nèi)部無線辦公網(wǎng)絡(luò)發(fā)布及使用的行為，具體有七方面效益。

（1）監(jiān)控所有無線信號，并進行安全檢測。有效控制無線網(wǎng)絡(luò)數(shù)量，保障已發(fā)布的無線信號規(guī)范安全。

（2）阻斷所有非授權(quán)的連接，保護內(nèi)部網(wǎng)絡(luò)，阻斷安全攻擊。

（3）監(jiān)控所有信道使用情況，提高無線網(wǎng)絡(luò)效率。

（4）記錄所有安全事件，為事后追溯提供證據(jù)。

（5）統(tǒng)計所有無線流量，提供高效的網(wǎng)絡(luò)管理。

（6）定位所有無線設(shè)備位置，提供精確的位置信息，發(fā)現(xiàn)違規(guī)設(shè)備。

（7）防止內(nèi)部信息泄漏及保障服務(wù)可用性，提供對未許可AP/Router、 Ad-hoc 連接、 Honey-pot AP、DoS 攻擊等安全威脅的探測及阻斷功能。

5 結(jié)束語

多數(shù)企業(yè)用戶網(wǎng)上業(yè)務(wù)辦理時沒有有效的安全無線防護機制和措施，營業(yè)廳WLAN系統(tǒng)以及企業(yè)用戶極易受到無線釣魚和無線DDoS等攻擊，造成企業(yè)級客戶敏感信息被竊取、業(yè)務(wù)辦理停滯、公信力降低、損害公司信形象等問題。

通過建立全面的無線安全防護體系并部署無線安全監(jiān)測防御系統(tǒng)，實現(xiàn)無線發(fā)現(xiàn)、無線防護墻、無線安全入侵防御、無線安全狀態(tài)實時展示等功能，達到對無線網(wǎng)絡(luò)從接入到認證、從數(shù)據(jù)傳輸?shù)綗o縫漫游等全面的安全保障，同時對無線設(shè)備（AP、終端）等合法接入設(shè)備提供7×24小時的入侵防御能力，最終實現(xiàn)對移動應(yīng)用環(huán)境的無線系統(tǒng)的安全防護。

參考文獻

[1] 徐振華.無線網(wǎng)絡(luò)安全現(xiàn)狀及對策研究[M].北京：知識產(chǎn)權(quán)出版社，2016.

[2] 姚琳，林馳，王雷.無線網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2018.

[3] 馮光升，林雪綱，呂宏武.無線網(wǎng)絡(luò)安全及實踐[M].黑龍江：哈爾濱工程大學(xué)出版社，2017.

[4] 馬建峰.無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2018.

[5] 易平.無線網(wǎng)絡(luò)攻防教程[M].北京；清華大學(xué)出版社，2015.

[6] 無線安全技術(shù)白皮書[R].Beijing Venustech Cybervision Co.，Ltd.2012.