“防空警报”无线空口安全风险分析

一位痴迷于电脑的少年为了帮助炒股被套的朋友而精心设计了一套入侵证券系统的方案，并试图通过围墙上的排水孔将自己的电脑连接到另一端的某证券营业部的空置局域网接口，进入证券内部网络。这一事件虽然没有造成严重后果，但是却成为了人们经常谈论的话题：网络的安全性实在是太有限了。但是随着无线局域网（WLAN）的兴起，新的入侵者根本就不再需要铤而走险去寻找什么排水孔和空置局域网接口。新的入侵几乎可以发生于无形之中，物理限制在无线局域网的世界里变得苍白无力。这就是传统有线网络和无线网络的根本区别。

深圳地铁事件证实了无线空口安全风险的真实存在性,地铁方面有专家介绍，2.4GHz频段有多个信道。便携式WiFi由移动运营商自行组网，信道是随时变动的。当乘客携带便携式WiFi时，如果信道与地铁使用的信道相同时，彼此就会产生干扰。同时用户只要使用带有无线天线或无线网卡的电子设备，就能很轻易地搜索到无线信号，获取SSID、信道以及是否加密等信息。甚至个别非法用户利用一些技术手段能很轻易地侵入无线网。如果被非法入侵者利用，发布错误的行车指令，将会对列车的行车安全造成极大的安全隐患。

保障无线局域网安全有很多种方法，但是，到底哪种方法更适合于用户所在的局域网，局域网是否能够完全有效地应对基于无线系统的攻击，这些都需要根据无线局域网自身的情况，采取不同的方法。无线局域网应用逐渐变得流行起来，但无线局域网的安全问题，却一直是制约行业发展的因素之一，也是业内人士争论的焦点。

　　本文将会为你介绍无线局域网在空口传输方面的一些安全威胁与攻击方法。

　　无线局域网网络架构
　　目前市面上的无线网络产品接入产品架构分为两类。

　　胖AP架构,胖AP可以独立使用.胖AP的特点: 胖AP将WLAN的物理层、用户数据加密认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身但胖AP产品无法集中管理和集中部署安全策略。

　　瘦AP架构的解决方案是近年来新兴的无线局域网解决方案架构技术，其推出的目的，就是为了解决原有的胖AP产品无法集中管理和集中部署安全策略的重大缺陷。在这套解决方案架构中，由三个部分组成，分别是瘦无线接入点、无线控制器、无线网管平台：瘦无线接入点：瘦无线接入点（简称瘦AP）保留了原有的胖AP的无线电射频的部分，是零配置产品，位于网络接入层，其目的是将无线用户接入无线网络中；无线控制器：无线控制器是一种高性能的服务器架构产品，在无线网络中的功能是管理中心设备，它通过国际标准CAPWAP加密隧道与瘦AP建立通信，并全面控制瘦AP，瘦AP本身并不保存配置，只有受到无线控制器的控制才能工作，因此，所有用户的连接、访问、认证、权限、安全的信息都要受到无线控制器的管理；无线网管平台：作为全网的统一管理中心平台，所有无线设备的功能、无线用户的信息、无线链路的监测、拓扑、无线定位、告警、配置、报表，全部都会直观地通过网管平台反映并操作，并由无线控制器来执行。

瘦AP架构

WLAN存在的主要安全弱点
基于对无线网络系统架构的了解,可将无线网络系统依据数据帧类型分为两大类：802.11空口区域和802.3传输区域.对于802.3传输区域的安全风险,其实就是传统以太网的安全风险,使用传统安全产品便能解决大多数安全问题。

802.11 空口区域的威胁：
采用802.11a/b/g/n协议搭建的无线网络系统存在很多安全弱点：
1．网络设计上的缺陷。比如在关键资源集中的内部网络设置AP，可能导致入侵者利用这个AP作为突破口，直接造成对关键资源的窃取和破坏，而在外围设置的防火墙等设备都起不到保护作用。
2．无线信号的覆盖面。WLAN的无线信号覆盖面一般都会远远超过实际的需求。如果没有采用屏蔽措施的话，散布在外围的信号很有可能会被入侵者利用。
3．802.11协议采用的加密措施的安全问题。802.11采用WEP/WPA，在链路层进行CCMP/TKIP加密。这两种加密方式的破解方法已经普遍的应用开来,成为无线网络安全最大的风险之一。
4．AP和无线终端非常脆弱的认证方式。通常无线终端通过递交SSID作为凭证接入AP，而SSID在一般情况下都会由AP向外广播，很容易被窃取。SSID在WLAN中实际上相当于客户端和AP的共享密钥。另外，无线终端一般没有手段认证AP的真实性。
5．802.11采用的2.4GHz频率和5G的频率很多设备如蓝牙设备、微波炉等相同，很容易造成干扰。另外，由于WLAN本身的带宽容量较低，很容易成为带宽消耗性的拒绝服务攻击的牺牲品。

　　802.11 空口区域的攻击方法：
　　对于802.11无线空口攻击的攻击方式大体上可以分为两类：
被动式攻击和主动式攻击。被动式攻击包括网络窃听和网络通信量分析。主动式攻击分为身份假冒、重放攻击、中间人攻击、信息篡改和拒绝服务攻击。

　　网络窃听和网络通信量分析：由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。很多商业的和免费的工具都能够对802.11b协议进行抓包和解码分析，直到应用层传输的数据。开放式的无线网络环境中,数据包在空口传输是未加密的,攻击者可使用监听模式窃取无线中传输的数据包,造成数据信息的泄露等安全威胁。同时Ethereal、Sniffer等。而且很多工具甚至能够直接对WEP/WPA加密数据进行分析和破解。

身份假冒：WLAN中的身份假冒分为两种：客户端的身份冒用和AP的身份假冒。客户端的身份假冒是采用比较多的入侵方式。通过非法获取（比如分析广播信息）的SSID可以接入到AP；如果AP实现了MAC地址过滤方式的访问控制方式，入侵者也可以首先通过窃听获取授权用户的MAC地址，然后篡改自己计算机的MAC地址而冒充合法终端，从而绕过这一控制方式。对于具备一般常识的入侵者来说，篡改MAC地址是非常容易的事情。另外，AP的身份假冒则是对授权客户端的攻击行为。假冒AP也有两种方式：一种是入侵者利用真实的AP，非法放置在被入侵的网络中，而授权的客户端就会无意识地连接到这个AP上来。一些WLAN友好的操作系统比如Windows XP，甚至在用户不知情的情况下就会自动探测信号，而且自动建立连接。另一种假冒AP的方式是采用一些专用软件将入侵者的计算机伪装成AP，如HostAP就是这样一种软件。

　　重放攻击，中间人攻击，信息篡改：重放攻击是通过截获授权客户端对AP的验证信息，然后通过对验证过程信息的重放而达到非法访问AP的目的。对于这种攻击行为，即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

　　拒绝服务攻击：拒绝服务攻击是利用了WLAN在频率、带宽、认证方式上的弱点，对WLAN进行的频率干扰、带宽消耗和安全服务设备的资源耗尽。通过和其它入侵方式的结合，这种攻击行为具有强大的破坏性。

结束语：
　　本次主要介绍了无线网络系统的网络架构,无线空口安全面临的一些安全风险,攻击方法.试想在生活中使用无线网络去进行网银支付、收取邮件等业务,是会遇到这样的安全威胁呢？如何通过合理的防护手段解决无线空口问题,加强无线网络系统空口传输的健壮度,构建无线射频安全区，实现安全可靠的无线网络。后续会给大家带来无线空口安全解决方案。