現(xiàn)在網(wǎng)絡(luò)安全成為互聯(lián)網(wǎng)的一個熱點問題，包括有線網(wǎng)絡(luò)和無線局域網(wǎng)WLAN，對于WLAN有什么趨勢呢，有沒有什么安全預(yù)防措施?　　下面是由學(xué)習(xí)啦小編整理的從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進(jìn)行分析，并對部分業(yè)務(wù)安全問題提出了目前的解決方案，希望大家喜歡!

WLAN系統(tǒng)相關(guān)設(shè)備設(shè)置復(fù)雜的口令;

對于開啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字，除非必要不開啟具有寫權(quán)限的通信字，并對可訪問地址進(jìn)行嚴(yán)格限制;

采用端口訪問技術(shù)(802.1x)進(jìn)行控制，防止非授權(quán)的非法接入和訪問;

對AP和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定;

禁止AP向外廣播其SSID;

布置AP的時候要在公司辦公區(qū)域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區(qū)域(難度較大)，同時要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò);

開啟日志，并定期查看系統(tǒng)日志。在攻擊者掃描時一般會在系統(tǒng)中留下較明顯的日志，如圖1所示即為一 AC設(shè)備上的登錄日志，從日志即可看出來該IP地址對AC設(shè)備賬號密碼進(jìn)行了掃描解除;

RADIUS系統(tǒng)存儲的WLAN用戶賬號密碼，應(yīng)采用加密方式保存，同時增強(qiáng)WLAN用戶密碼生成機(jī)制的安全性，避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令。

攻擊防護(hù)

做好用戶隔離，開啟AC用戶隔離功能和交換機(jī)端口隔離功能。正常情況下，未認(rèn)證用戶不能訪問網(wǎng)絡(luò)內(nèi)其他用戶，認(rèn)證后用戶在同一AP、同一熱點不同AP 下不能互通。

根據(jù)需要為AC劃分管理VLAN和用戶VLAN， VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間，以及內(nèi)部不同安全域之間通過防火墻實現(xiàn)隔離及訪問控制，細(xì)化訪問控制策略嚴(yán)格限制可登錄維護(hù)地址范圍與端口。

高級入侵防護(hù)

區(qū)域部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測系統(tǒng)、防火墻，在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕和網(wǎng)頁防篡改軟件。

加強(qiáng)審計，對WLAN網(wǎng)絡(luò)內(nèi)的所有節(jié)點都做好統(tǒng)計

綠盟安全無線防御系統(tǒng)

產(chǎn)品綜述

安全無線防御系統(tǒng)主要由以下幾部分組成：

安全無線防御系統(tǒng)：部署需要安全防護(hù)的無線網(wǎng)絡(luò)中，融合多種安全能力，針對無線掃描、無線欺騙、無線DoS、無線解除等無線網(wǎng)絡(luò)威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的安全無線防御設(shè)備。

無線安全集中數(shù)據(jù)分析中心：無線安全數(shù)據(jù)分析是無線安全產(chǎn)品海量信息的后臺處理中心。主要完成安全無線防御系統(tǒng)的日志和安全事件的存儲、分析、審計和處理功能。

產(chǎn)品特性

綠盟安全無線防御系統(tǒng)的主要特性包括：

無線防火墻，結(jié)合射頻信號及802.11特點，提供創(chuàng)新的無線防火墻安全策略，可根據(jù)AP或Station的安全屬性定制無線網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過射頻信號阻止非法用戶接入，建立射頻安全區(qū)，提供具有物理安全、可信的無線網(wǎng)絡(luò)。

安全無線防御，提供包括無線掃描、欺騙、DoS、解除等多個大類數(shù)十種無線攻擊的檢測、告警、阻斷功能，同時提供多種類型流氓AP的檢測與阻斷，徹底杜絕內(nèi)網(wǎng)機(jī)密通過無線網(wǎng)絡(luò)向外泄露。

豐富的報表統(tǒng)計，提供無線網(wǎng)絡(luò)實時拓?fù)?、雷達(dá)圖、柱狀圖、餅狀圖、攻擊排名等多種豐富統(tǒng)計，無線安全狀態(tài)一目了然。

綠盟科技可提供專業(yè)化的無線安全防護(hù)方案。各企業(yè)用戶可根據(jù)企業(yè)規(guī)模、人才儲備、業(yè)務(wù)特點等情況，在不同攻擊層面對自身WLAN業(yè)務(wù)進(jìn)行防護(hù)加固，降低安全風(fēng)險，避免安全損失，保障企業(yè)效益。

WLAN 安全接入標(biāo)準(zhǔn)

無線網(wǎng)絡(luò)WLAN安全接入標(biāo)準(zhǔn)，大致有三種，分別是WEP、WPA和WAPI。

WEP(Wired Equivalent Privacy)

WEP(Wired Equivalent Privacy)是802.11b采用的安全標(biāo)準(zhǔn)，用于提供一種加密機(jī)制，保護(hù)數(shù)據(jù)鏈路層的安全，使無線網(wǎng)絡(luò)WLAN的數(shù)據(jù)傳輸安全達(dá)到與有線LAN相同的級別。

WPA (Wi-Fi Protected Access)

WPA(Wi-Fi Protected Access)是保護(hù)Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個版本，是WEP的升級版本，針對WEP的幾個缺點進(jìn)行了彌補。是802.11i的組成部分，在802.11i沒有完備之前，是802.11i的臨時替代版本。

WAPI (WLAN Authentication and PrivacyInfrastructure)

WAPI(WLAN Authentication and Privacy Infrastructure)是我國自主研發(fā)并大力推行的無線WLAN安全規(guī)范，它通過了IEEE(注意，不是Wi-Fi)認(rèn)證和授權(quán)，是一種認(rèn)證和私密性保護(hù)協(xié)議，其作用類似于802.11b中的WEP，但是能提供更加完善的安全保護(hù)。

WLAN 系統(tǒng)面臨安全風(fēng)險和問題

進(jìn)入階段

WPA/WPA2及WEP標(biāo)準(zhǔn)安全性：目前主流的WPA-PSK類型的無線網(wǎng)絡(luò)可利用PSK+ssid先生成PMK，然后結(jié)合握手包中的客戶端MAC、AP的BSSID、A-NONCE、S-NONCE計算PTK，再加上原始的報文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較的方式進(jìn)行暴力解除，這一方法被稱為字典跑包。另外一種較為主流的解除方式為PIN碼解除，也被稱為WPS解除，主要原理為利用WPS存在的安全問題，通過PIN碼可以直接提取密碼。而PIN碼是一個8位的整數(shù)，解除過程時間比較短。WPS PIN碼的第8位數(shù)是一個校驗和，因此黑客只需計算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證。所以解除pin碼最多只需要1.1萬次嘗試，順利的情況下在3小時左右。而WEP由于自身設(shè)計缺陷，早已在2003年被Wi-Fi Protected Access (WPA) 淘汰，又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)(又稱為 WPA2)所取代，但現(xiàn)網(wǎng)中仍有部分老舊設(shè)備仍使用簡單的WEP標(biāo)準(zhǔn)提供服務(wù)。

配置缺陷：由于許多企業(yè)并沒有啟用認(rèn)證系統(tǒng)，或者是在WLAN認(rèn)證Portal頁面的密碼登錄部分未設(shè)置驗證碼等機(jī)制，這些配置上的缺陷也會導(dǎo)致密碼被暴力解除。

密碼共享：隨著Wi-Fi萬能鑰匙等產(chǎn)品的流行泛濫，許多未啟用認(rèn)證系統(tǒng)的企業(yè)面臨著WLAN密碼分秒被解除的窘境，企業(yè)內(nèi)網(wǎng)公然暴露在入侵者面前。

攻擊階段

設(shè)備漏洞：WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性，可被利用控制操縱WLAN設(shè)備，進(jìn)而影響WLAN業(yè)務(wù)的正常使用。如果未采用詳細(xì)的訪問策略進(jìn)行控制的話，用戶在接入WLAN網(wǎng)絡(luò)后，可訪問這些設(shè)備。一般AP設(shè)備安全防護(hù)較差，若存在弱口令或缺省口令，被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備，導(dǎo)致設(shè)備無法正常使用。AC等設(shè)備存在的一些漏洞(比如任意配置文件下載漏洞)也可導(dǎo)致賬號密碼、IP路由等信息泄露，進(jìn)而影響系統(tǒng)的安全運行。

跳板攻擊：WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離，導(dǎo)致WLAN設(shè)備易被攻擊控制，AC可從任意地址登錄，攻擊者可利用掃描軟件對設(shè)備進(jìn)行暴力密碼掃描。

地址欺騙和會話攔截：由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對每一個802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

高級入侵階段

高級入侵：一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使網(wǎng)絡(luò)暴露出來從而遭到進(jìn)一步入侵。

WLAN系統(tǒng)安全防護(hù)

針對上述安全風(fēng)險，為確保WLAN系統(tǒng)正常運行，應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流，在各個環(huán)節(jié)、各個層面做好基本安全防護(hù)。

接入防護(hù)

接入防護(hù)是確保WLAN系統(tǒng)的所有設(shè)備安全運行最基本的保障。AP被控制可能會導(dǎo)致用戶根本無法接入;AC被控制將影響AC所管理的所有AP設(shè)備，導(dǎo)致大量用戶無法正常接入，并有可能將用戶引入攻擊者設(shè)計的Portal頁面;RADIUS被控制影響用戶的管理;網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問;RADIUS、Portal出現(xiàn)問題影響用戶的認(rèn)證與計費;網(wǎng)管設(shè)備出現(xiàn)問題導(dǎo)致被管對象運行異常，甚至?xí)?dǎo)致攻擊者從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，進(jìn)而發(fā)起更深層次的攻擊。所以列出如下幾點建議對WLAN接入防護(hù)進(jìn)行加固：