WLAN安全问题详解

今天继续给大家讲解WLAN安全相关内容，本文主要内容是无线局域网有哪些安全问题，可以采取哪些方式进行安全增强以及华为设备如何进行安全检测与反制。

一、WLAN安全风险

由于WLAN处于无线通信介质中，因此信息安全问题非常突出，大体有以下三种安全风险：
1、未经授权使用网络
2、非法AP
3、无线数据安全

二、WLAN安全问题解决

针对上述三种风险，可以采取身份认证、加密和系统防护三种手段分别进行安全增强，本文主要介绍的是WLAN安全中的系统安全防护手段，在以后的文章中还会介绍WLAN认证和加密的相关内容，感兴趣的同学欢迎关注我的博客。
WLAN安全系统防护措施主要有两种，无线入侵检测系统（WIDS，Wireless Introduction Detection System）和无线入侵防御系统（WIPS，Wireless Introduction Protection System）。WIDS和WIPS的区别在于WIDS可以发现非法用户并告警，但是不能采取措施，而WIPS不仅可以实现WIDS的功能，还能够采取措施对可能存在的入侵进行反制。

三、华为设备非法设备检测

华为AP可以工作在以下三种模式：接入模式，检测模式和混合模式。处于接入模式的AP能够正常提供STA无线接入功能，处于检测模式的AP可以扫描其他无线设备但是不能被STA接入，处于混合模式的AP兼具有以上两种功能。在华为设备组网架构中，只有AP处于检测模式或者缓和模式，才可以使能WIDS或WIPS功能。
华为设备WIDS和WIPS的原理是：AP将收集到的设备信息定期上报AC，AC通过检测结果判断非法设备。非法设备包括以下5种：
1、干扰AP。和检测AP的工作先导相同或者相邻的对AP信道产生影响的AP设备。
2、非法AP。既不是本AC管理的AP，也不在合法AP列表中的AP被称为非法AP。
3、非法STA。不再本AC上线的STA被称为非法STA。
4、非法网桥。不属于本地管理的WDS设备被认为非法网桥。
5、非法Ad hoc。检测到的Ad hoc组网的网络设备，由于可能会对本地网络产生干扰，因此也被认为是非法设备。
华为AC针对非法AP检测流程如下：

华为AC针对非法客户端检测流程如下：

四、华为设备非法设备反制

华为设备可以针对非法设备进行一系列的反制措施。
针对非法AP：如果AC确定非法AP后，将非法AP告知检测AP。检测AP以非法AP的身份发送广播解除认证Deauthentication帧，这样，接入非法AP的STA收到Deauthentication帧后，就会断开与非法AP的连接。通过这种反制机制，可以阻止STA与非法AP的连接。
针对非法STA：AC在确定非法STA后，将非法STA告知检测AP，检测AP以非法STA的身份发送Deauthentication帧，这样非法STA接入的AP在接收到Deauthentication帧后，就会断开与非法STA的连接。通过这种反制机制，可以阻止AP与非法STA的连接。
针对非法Ad hoc设备：AC在确定Ad hoc设备后，将Ad hoc设备告知检测AP。检测AP以Ad hoc设备的身份（即Ad hoc设备的BSSID和MAC地址）发送Deauthentication解除帧。这样，接入Ad hoc网络的STA在收到解除认证帧后，就会断开与Ad hoc网络设备的连接。通过这种反制机制，可以组织STA与Ad hoc设备的连接。

五、华为设备非法入侵检测与

除了上述五种非法设备检测之外，WDIS还支持Flood攻击检测、Weak IV攻击检测和Spoof检测等三种攻击检测机制。
Flood攻击检测是指当恶意用户发送大量的链接请求报文至AP时，这些报文会被AP转发到AC设备上进行处理吗，这样会对内部网络连接造成冲击。如果启动Flood Attack检测以及动态黑名单功能，这样所有的来自该用户的报文会被全部丢弃，从而实现了对于网络的安全防御。
Weak IV攻击检测是指对客户端的数据报文，如果该报文使用了WEO加密算法，则启动IV检测，根据IV的安全性策略判断是否存在weak IV攻击。当一个有弱初始化向量的报文被检测到时，这个检测将立即被记录到日志中。
Sppof攻击检测试纸当潜在攻击者以其他设备的名义发送攻击报文时，例如恶意AP或者恶意用户发送欺骗的接触认证报文时，将该报文立刻定义为欺骗攻击并记录到日志中。