WLAN技术之WLAN安全

概述

WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。通过配置WLAN安全，可以防止攻击者对WLAN网络的攻击，并有效保护合法用户的信息和业务。

WLAN安全主要包括以下方面：

1、用户接入安全：对用户接入无线网络必须有合法性和安全性措施，包括：链路认证，用户接入认证和数据加密。

2、边界防御安全：未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等对WLAN网络很容易构成网络威胁。无线入侵检测系统WIDS（Wireless Intrusion Detection System）可以检测非法的用户或AP；无线干扰防御系统WIPS（Wireless Intrusion Prevention System）可以保护企业网络和用户不被无线网络上未经授权的设备访问。

3、业务安全：保证用户的业务数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获。

用户接入安全

1.WEP——WLAN网络的第一个安全标准是有线等效加密WEP（Wired Equivalent Privacy）协议，用来保护WLAN的授权用户所传输的数据的安全性，防止这些数据被窃听。WEP采用RC4算法，加密密钥长度有64位、128位和152位，其中有24bit的IV（初始向量）是由系统产生的，因此WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥，接入同一SSID下的所有STA使用相同的密钥访问无线网络。

WEP安全策略包括了链路认证机制和数据加密机制，不涉及网络层的接入认证和密钥协商。

链路认证分为开放系统认证和共享密钥认证。

如果选择开放系统认证方式，链路认证过程不需要WEP加密。用户上线后，可以通过配置选择是否对业务数据进行WEP加密。

如果选择共享密钥认证方式，链路认证过程中完成了密钥协商。用户上线后，通过协商出来的密钥对业务数据进行WEP加密。

注意：WEP使用共享密钥认证用户和加密业务报文，但易被破解，安全性低，不建议使用。

2. WPA/WPA2——WEP共享密钥认证采用的是基于RC4对称流的加密算法，需要预先配置相同的静态密钥，因此，无论从加密机制还是从加密算法本身，其WEP安全性都较低。IEEE 802.11i工作组致力新一代安全标准IEEE 802.11i 研发，针对WEP加密缺陷做改进，增强WLAN数据加密和认证性能。在802.11i标准没有正式推出安全性更高的安全策略之前， Wi-Fi联盟提出保护接入（WPA）体系，替代WEP，它不是IEEE标准，是802.11i草案中一部分，WPA是802.11i安全标准一个子集，在802.11i获批后， Wi-Fi联盟要求WPA升级到与802.11i兼容。

WPA的核心加密算法还是采用RC4，但在WEP基础上使用了临时密钥完整性协议TKIP（Temporal Key Integrity Protocol）加密算法，并且采用了802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2，区别于WPA，WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。WPA/WPA2用户接入安全涉及了链路认证、接入认证、密钥协商和数据加密。

3.WAPI——中国提出了WLAN安全标准“无线局域网鉴别与保密基础结构WAPI（WLAN Authentication and Privacy Infrastructure）” ，并通过了IEEE认证和授权。WAPI能够提供比WEP和WPA更强的安全性，WAPI协议由以下两部分构成：

•无线局域网鉴别基础结构WAI（WLAN Authentication Infrastructure）：用于无线局域网中身份鉴别和密钥管理；

•无线局域网保密基础结构WPI（WLAN Privacy Infrastructure）：用于无线局域网中数据传输保护，包括数据加密、数据鉴别和重放保护等功能。

•WAPI采用了基于公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于无线设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息的加密保护。

•WAPI是中国无线局域网安全强制性标准。国内三大电信运营商建设的公共无线局域网络设备(AP/AC)均具备WAPI能力，并已在电力、金融、教育等行业逐步推广。

4.802.1X认证——802.lX认证是IEEE制定的基于端口的接入控制标准。IEEE 802.1X能根据用户的账号ID或设备，在局域网接入设备的端口对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就对它开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就对它关闭，终端设备就不能访问局域网中的资源。

在无线网络部署中，802.lX通常采用RADIUS(远程认证拨号用户服务)方法，采用典型的Client/Server结构，包括三个部分：客户端（Client）、设备端（Device）和认证服务器（Server），分别对应:请求方、认证方和授权服务器，如图所示802.1X认证系统。

5. Portal认证——Portal认证也被称为Web认证，将浏览器作为认证客户端。当STA接入无线网络时，AC将强制用户登录到Portal认证网站进行Portal认证，即网页上会弹出输入用户名和密码的对话框。用户输入正确的用户名和密码后，如果RADIUS服务器认证成功，此时，用户可以正常访问无线网络。

6. 其它认证方式

•MAC认证：对于无线网络打印机、无线网络电话等哑终端，由于无法安装认证客户端，使用一种基于终端设备MAC地址对用户的网络访问权限进行控制的方法。设备的MAC地址将作为用户信息到RADIUS服务器进行认证，同时用户接入WLAN时，也不需要用户手动输入用户名和密码等进行认证操作。

•微信认证：用户只需在开放网络中通过关注微信公众号，无须输入用户名和密码，就可以方便地接入网络。

•PPSK认证：PPSK认证不需要部署RADIUS服务器。与PSK认证相比，使用PPSK认证可以实现为不同用户提供不同的预共享密钥，有效的提升了网络安全性。

非法设备检测和反制

对非法设备进行识别和反制，是WLAN网络边界防御安全的重要手段。

非法设备检测机制——在需要保护的网络空间中部署无线入侵检测系统WIDS（Wireless Intrusion Detection System），可以防止非法设备的入侵。用于监测的AP可以定期对无线信号进行探测，从而AC可以了解到无线网络中设备的情况，如果发现非法设备就采取相应的防范措施。

WIDS系统中需要部署监测AP，并配置好监测AP的射频工作模式。

AP射频的工作模式有两种：normal、monitor

• normal：正常模式

此时可以有两种工作状态：

1、射频仅用于传输普通的WLAN业务数据。

2、开启空口扫描的相关功能，如WIDS、频谱分析和终端定位，那么射频就具备了监控功能，但可能会对传输普通的WLAN业务数据造成一定的影响。

•monitor：监控模式

射频只能用于依赖空口扫描的WLAN业务，不能用于传输普通的WLAN业务数据。

非法设备反制机制——AC识别出非法设备后，通过配置AP对非法设备的反制机制，可以对非法设备进行反制。

• 对非法AP设备进行反制：AC确定非法AP后，将非法AP告知监测AP。监测AP以非法AP的身份发送广播解除认证Deauthentication帧，接入非法AP的STA收到解除认证帧后，就会断开与非法AP的连接，因此可以阻止STA与非法AP的连接。

•对非法STA进行反制：AC确定非法STA后，将非法STA告知监测AP。监测AP以非法STA的身份发送单播解除认证Deauthentication帧，非法STA接入的AP在接收到解除认证帧后，就会断开与非法STA的连接，从而阻止了AP与非法STA的连接。

•对Ad hoc设备进行反制：AC确定Ad hoc设备后，将Ad hoc设备告知监测AP。监测AP以Ad hoc设备的身份（使用该设备的BSSID、MAC地址）发送单播解除认证Deauthentication帧，接入Ad hoc网络的STA收到解除认证帧后，就会断开与Ad hoc设备的连接，从而阻止了STA与Ad hoc设备的连接。

配置WPA/WPA2-PSK安全策略

配置WPA/WPA2-PSK安全策略时，其认证不需要认证服务器，主要用于个人、家庭与小型SOHO网络，对网络安全要求相对较低的场景。

配置步骤：

•执行命令wlan，进入WLAN视图。

•执行命令security-profile name profile-name，进入指定的安全模板视图。

•执行命令security { wpa | wpa2 | wpa-wpa2 } psk { pass-phrase | hex } key-value { aes | tkip | aes-tkip }或执行命令security wpa-wpa2 psk { pass-phrase | hex } key-value tkip aes

例子如下：

•创建名为“wlan-security”的安全模板，并配置WPA2-PSK-AES的用户接入安全策略，密码为“abc12345”。

[AC-wlan-view] security-profile name wlan-security

[AC-wlan-sec-prof-wlan-security]security wpa-wpa2 psk pass-phrase abc12345 aes

•在名为“wlan-net”的VAP模板中，引用安全模板“wlan-security” 。

[AC-wlan-view] vap-profile name wlan-net

[AC-wlan-vap-prof-wlan-net] security-profile wlan-security

注意：以上配置完成后，用户接入WLAN时，将需要使用密码认证，数据传输也会进行加密。