无线安全监测防护研究与实践

李伟渊 何伟贤 谭彬

摘 要：移动化已经支撑起企业运行的各个方面，关键业务从有线网络转移到无线网络，不但赢得了时间，还数倍提升了运转效率。然而，在无线网络正逐渐成为无线办公系统主要基础架构的同时，无线WiFi的安全风险却正与日俱增，人们对无线WiFi网络安全担忧加剧。论文简要介绍了无线安全监测及防护系统建设思路。从海量无线安全攻防对抗中，抽取无线安全监测、管理、射频阻断、引流防护等技术，构筑无线安全防护屏障，为无线WiFi系统提供可靠、持续的环境监测，对非法无线攻击行为实施有效检测，对危害性高、具备流行趋势的无线安全事件进行智能化反制，最终实现WLAN系统的全面安全保障。

关键词：无线安全；射频阻断；无线WiFi防护

中图分类号：TP309 文献标识码：D

Abstract： Mobile has supported all aspects of enterprise operation， the key business from wired networks to wireless networks， not only won time， but also several times to improve operational efficiency. However， while WLAN is gradually becoming the main infrastructure of IT systems， the security risks of WLAN are increasing day by day， and people are increasingly worried about WLAN network security. This paper briefly introduces the construction of wireless security monitoring and protection system. From the massive wireless security attack and defense countermeasure， the wireless security monitoring， management， radio frequency blocking， drainage protection and other technologies are extracted to construct the wireless security protection barrier， provide reliable and continuous environmental monitoring for WLAN system， carry out effective detection of illegal wireless attacks， and have high harmfulness and popular trend of wireless security. The incident is intelligently counteracted， so that the overall security of the WLAN system will eventually be realized.

Key words： wireless security；radiofrequency blocking；wifi protect

1 引言

近年来，央视3.15晚会先后曝光了欺诈、钓鱼Wifi和Wifi暴力破解等无线网络环境安全性问题。与此同时，智能手机、平板电脑等智能终端普及迅速，员工私自搭建无线路由器或软AP连接到企业内网的现象也日益泛滥，只通过安全管理要求，并不能有效控制。这些私自接到内网的AP，躲避了有線链路的监测，而且大部分直接使用默认密码、弱口令甚至没有密码，这就相当于开了无数个大门，让外部人员可以轻易访问企业内网。同时，企业的内部员工恶意通过移动的热点、WiFi 或Ad-hoc、直接链接等手段就很容易将内部信息泄露出去。这些违规行为，在传统的有线网络安全防护体系中是没有记录的，更无法稽核，这使得企业办公环境中的无线网络安全形势日益严峻。

无线攻击事件发生一旦发生，可能会导致企业商业机密、财务信息、客户资料泄漏，造成巨大损失。因此，针对无线网络接入安全，必须对试图接入企业无线网络的内部或访客移动终端进行有效监管，防患于未然。

2 现状问题分析

企业的有线网络安全设备都主要部署在各个网络出口上，防范由外到内的安全威胁。由于网络物理链路位置以及现有保护技术的限制，对无线局域网的安全威胁基本上都是无能为力的。而防火墙只能通过有线网络层，在网络出口上通过MAC地址、IP等特征阻止非法无线客户端，无法阻止无线的客户端通过射频信号与AP通信，而一旦有非法用户端接入内部网络AP，相当于已经侵入企业内网，不法分子可以通过嗅探、中间人攻击等获取企业的各种信息并可能控制部分服务器设备。

最具攻击性并且风险最高的无线安全事件，如图1所示。

使用传统的安全防护方案，对流氓AP热点的架设和访问是无法阻止的（例如内部员工对有线网络AP的个人访问），只能通过有线交换机的端口控制，但近来流行USB随身WiFi，让本就无法实现终端端口控制的无线网络场景被人为挖开了一个更大的缺口，内部网数据安全更加难以防护，尤其是对于无线欺骗或无线扫描和无线拒绝服务等无线攻击更加的无能为力。

3 无线3安全监测及防护系统研究

3.1无线安全监测及防护能力构建

对无线安全检测及防护，需要结合企业自身安全需求，制定企业自身的安全策略并落实防护，主要的无线安全检测及防护要求举例。

提供完善的无线设备安全准入策略：依据公司自身的无线局域网组网情况，以及资产属性制定无线安全策略，以无线局域网资产分类定义（如以不同的厂家来进行区分），建立各个具有物理安全特性的射频安全区。

可靠的无线射频阻断：可使用射频信号阻断非法无线局域网设备的访问，从发射源头阻断攻击者的攻击，使其无法接入无线网络，从而防止无线攻击的持续进行，有效保障无线网络能具备有线网络同等的物理安全。

无线入侵检测需要提对无线攻击方式进行研究，形成丰富的攻击检测特征库及快速分析统计能力：包括对无线扫描或无线钓鱼、无线欺骗、无线嗅探、暴力破解和恶意AP以及DoS等攻击手段检测，不间断的保障公司无线网络的安全。

3.2 无线安全监测及防护体系建立

确认无线安全的监测和防护能力需求后，需要及时建立有效的无线安全监测防护体系。

无线安全的防御体系主要特性包括几个方面。

无线发现，自动发现检测区域内的AP和客户端，识别非法设备（如恶意/钓鱼AP），展示WiFi网络状态/拓扑/信道等信息。

无线隔离，通过结合射频信号和802.11特性从而实现防火墙的无线安全策略。根据无线AP或者站点的安全属性，无线防火墙可以自定无线网络的接入规则，利用射频信号阻断非法对无线局域网设备的访问，并相应的建立射频安全区，保证无线网络的物理安全行性可信度。

安全无线防御，检测、告警、阻断包括无线扫描、无线嗅探、无线钓鱼、WiFi暴力破解、无线欺骗、DoS等类型的无线攻击，同时提供多种类型恶意AP的检测以及阻断，从而杜绝了通过无线网络向外泄露内网机密。

无线安全状态、报表实时展示，将无线网络实时拓扑与蜘蛛图、饼状图、柱状图、折线图、攻击排名以及其他丰富的统计数据直观、实时展示出来，全方位了解无线安全状态。

3.3 无线安全监测及防护技术分析

3.3.1 基于无线网络架构的自动学习技术

对于传统有线网络来说，网络管理员在网络布局时，通过将具体的网络设施以及用户终端与指定的物理端口进行对应，才能方便地进行管理。而对于无线网络来说，由于终端的无线性和便携性，使得网络管理员很难将无线用户映射到特定的物理位置，甚至要了解无线网络的运行状态也是一项困难的任务。

无线入侵防御系统需要通过自动学习功能，准备识别无线网络的变化，并将其网络状态和无线拓扑以及无线设备属性等内容展示给用户，为企业提供直观的无线分析以及管理方法。系统通过侦听模式，尽可能学习更多无线设备，并对无线设备的属性进行详细统计。

无线设备详细属性举例：SSID；IP；MAC；信道；加密方式；Beacon间隔；工作模式；信号强度；上电时间；厂商属性。

3.3.2 高效的无线攻击检测技术

有别于有限网络的攻击都集中在网络层，无线网络无法像有限网络一样通过部署IDS、IPS进行检测，需要通过不同的无线攻击识别技术实现，无线安全监测防御系统利用无线检测技术及算法，形成覆盖无线协议的攻击特征库，使得无线安全监测及防护系统能够高效的检测无线欺骗、无线破解、流氓AP、无线DoS攻击等多个分类中数十种基于无线网络架构的攻击。

3.3.3 基于射频的精确阻断技术

在无线网络环境，无线入侵防御系统采用基于无线链路层的阻断技术，满足企业对精准阻断的要求，杜绝无阻断情况。

传统的射频干扰（通过高功率、长时间发送所在频段的干扰信号，干扰无线设备的正常接收）的阻断方式，无法实现精确阻断，因此无线入侵防御系统需要采用更先进攻击反制方式：利用无线报文反制攻击设备，压制甚至阻断其攻击行为。例如，当有无线攻击包对办公AP进行攻击时，无线入侵防御系统可通过发送放弃握手包，致使攻击行为无效。

另一方面，当无线入侵防御系统的工作区域内，没有出现攻击行为时，设备将处于监听的状态，对外也不发射任何的射频信号，一旦攻击行为出现并被有效检测，设备即开始针对性的反制动作。

此外，精确阻断不会对其他无线设备的工作造成任何的不良影响，甚至在同一无线AP下的非法终端被反制，也不会对合法接入的无线终端造成影响，并且策略支持用户自定义或自动策略下发。这种智能的攻击反制方式，是传统射频干扰器无法比拟的。

目前，无线入侵防御系统的攻击反制手段包括针对无线设备、针对无线关联关系实施防御策略。在技术手段上，采用了泛洪反制、AirJack反制 、FakeAP反制等；无线入侵防御系统能够自动、灵活、动态下发的反制策略，实现可靠的攻击反制效果。

4 无线安全监测及防护系统实现

4.1 无线安全监测及防护系统架构

无线入侵防御系统主要由两部分组成：无线入侵防御、无线安全引擎。

无线入侵防御：针对于无线扫描、WiFi暴力破解、无线钓鱼、无线欺骗以及恶意AP、DoS等无线网络的威胁，提供可靠、实时、有效、精确、持续的无线安全监测和防御能力。

无线安全引擎：進行无线安全事件的存储和审计、分析以及处理，是无线安全产品海量信息处理中心。

无线入侵防御系统涵盖无线入侵检测、无线攻击防御及无线安全态势评估，本着安全、高效原则将各层功能模块化设计，整个过程数据信息由系统统一监控、配置和调整。

4.2 无线安全监测及防护系统拓扑

采用分布式无线安全防护思想，即无线安全控制器+无线探针，探针供电采用802.3af/802.1at标准以太网供电方案（Power over Ethernet，PoE），通过以太网线来汇聚无线环境实时拓扑与安全事件数据流。利用无线安全控制器下发安全策略；利用无线入侵防御探针，实现对无线接入系统非法入侵无线、非法外联、外部系统的有效监测、并实时阻断非法无线设备（无线AP、无线终端等）发起的非法入侵行为。

4.3 应用效果

通过研究并实施无线安全监测以及防护系统，有效遏制外部攻击及规范内部无線办公网络发布及使用的行为，具体有七方面效益。

（1）监控所有无线信号，并进行安全检测。有效控制无线网络数量，保障已发布的无线信号规范安全。

（2）阻断所有非授权的连接，保护内部网络，阻断安全攻击。

（3）监控所有信道使用情况，提高无线网络效率。

（4）记录所有安全事件，为事后追溯提供证据。

（5）统计所有无线流量，提供高效的网络管理。

（6）定位所有无线设备位置，提供精确的位置信息，发现违规设备。

（7）防止内部信息泄漏及保障服务可用性，提供对未许可AP/Router、 Ad-hoc 连接、 Honey-pot AP、DoS 攻击等安全威胁的探测及阻断功能。

5 结束语

多数企业用户网上业务办理时没有有效的安全无线防护机制和措施，营业厅WLAN系统以及企业用户极易受到无线钓鱼和无线DDoS等攻击，造成企业级客户敏感信息被窃取、业务办理停滞、公信力降低、损害公司信形象等问题。

通过建立全面的无线安全防护体系并部署无线安全监测防御系统，实现无线发现、无线防护墙、无线安全入侵防御、无线安全状态实时展示等功能，达到对无线网络从接入到认证、从数据传输到无缝漫游等全面的安全保障，同时对无线设备（AP、终端）等合法接入设备提供7×24小时的入侵防御能力，最终实现对移动应用环境的无线系统的安全防护。

参考文献

[1] 徐振华.无线网络安全现状及对策研究[M].北京：知识产权出版社，2016.

[2] 姚琳，林驰，王雷.无线网络安全技术[M].北京：清华大学出版社，2018.

[3] 冯光升，林雪纲，吕宏武.无线网络安全及实践[M].黑龙江：哈尔滨工程大学出版社，2017.

[4] 马建峰.无线局域网安全体系结构[M].北京：高等教育出版社，2018.

[5] 易平.无线网络攻防教程[M].北京；清华大学出版社，2015.

[6] 无线安全技术白皮书[R].Beijing Venustech Cybervision Co.，Ltd.2012.