无线接入层安全设计详解

无线接入层安全设计详解

WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改，如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。如图1所示，WLAN安全设计主要包括以下方面：

• 空口安全：如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
• 终端接入安全：确保用户接入无线网络的合法性和安全性。
• 业务安全：保证用户的业务数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获。

图1 WLAN网络安全示意图

空口安全设计

频谱分析

目前802.11无线技术已经广泛地在家庭、SOHO、企业等得到应用，用户能通过这些无线局域网方便地访问网络。但是802.11无线技术使用的是公共频谱资源，许多无线设备，如蓝牙、无绳电话都使用这些频段，从而使得无线网络环境中各种无线信号冲突、干扰非常严重，导致用户的使用体验很差。频谱分析功能能够通过WLAN设备检测无线网络环境中的不同类型的干扰源，通过频谱分析服务器对采集到的无线信号进行特征分析，识别出非Wi-Fi（Non-WiFi）干扰设备，进而对干扰设备进行定位，消除干扰对WLAN网络的影响。

频谱分析整体方案架构包括频谱采样引擎、频谱分析器、干扰可视化三个部分。

• 频谱采样引擎：AP作为采样引擎，负责采集无线网络的频谱信息，并转发给频谱分析器。为了获得足够多的采样数据，AP扫描间隔时间建议配置为不超过10秒，扫描持续时间建议配置为100毫秒；

• 频谱分析器：AP同样作为频谱分析器，分析采集到的频谱数据，识别出干扰源类型，输出干扰设备报告并发送给干扰可视化模块。

• 干扰可视化：iMaster NCE-CampusInsight作为干扰可视化部件呈现干扰源信息，如实时频谱图等。

图2 频谱分析示意图

• AP开启了频谱分析功能之后，该射频除了传输普通的WLAN业务数据，还具备了监控功能，会对传输普通的WLAN业务数据造成一定的影响。

• 目前AP设备可以识别的非Wi-Fi设备有蓝牙设备、微波炉、2.4G无绳电话座机和底座、Zigbee、Game Controller、2.4G/5G无线影音、婴儿监护器和固定频段设备，但由于个体频谱差异，部分非Wi-Fi设备可能无法识别。

WIDS/WIPS

802.11网络很容易受到各种网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。无线入侵检测系统WIDS（Wireless Intrusion Detection System）可以检测非法的用户或AP；无线干扰防御系统WIPS（Wireless Intrusion Prevention System）可以保护企业网络和用户不被无线网络上未经授权的设备访问。建议开启WIDS和WIPS功能，提升空口安全能力。

开启WIDS或WIPS功能后，需要设置AP射频的工作模式。AP的工作模式分为Normal模式和Monitor模式两种：

• Normal模式：如果射频开启了空口扫描相关功能，则该射频除了传输普通的WLAN业务数据，还具备了监控功能，可能会对传输普通的WLAN业务数据造成一定的影响；

• Monitor模式：该模式下射频不能用于传输普通的WLAN业务数据，只能用于依赖空口扫描的WLAN业务；

若客户的AP具有三个射频或者独立扫描射频，建议设置第三射频工作在Monitor模式下，专门用来空口扫描，降低空口扫描对实际业务的影响。

另外，为防止WLAN网络受到非法攻击，建议在例如公共区域以及学生宿舍等对安全要求高的场景，启用非法攻击检测功能，对泛洪攻击、弱向量和欺骗攻击等进行检测，自动添加攻击者到动态黑名单中，并发送告警信息从而及时通知管理员。

• 工作模式配置为monitor模式的射频，如果已部署WDS或Mesh业务，则射频实际生效模式为normal模式。

• 如果在射频上配置了WIDS、频谱分析、背景探测或终端定位功能，则该射频无法用来配置WDS网桥或Mesh链路。

• AP的工作模式为normal模式，支持全信道反制，但周期性扫描时正常业务可能有短暂的中断。

防暴力破解

为了提高密码的安全性，建议开启防暴力破解密钥功能，延长用户破解密码的时间。AP通过检测WPA/WPA2-PSK，WAPI-PSK，WEP-Share-Key认证时在一定的时间内的密钥协商失败次数是否超过配置的阈值，来确定是否存在攻击。如果超过，则认为该用户在通过暴力破解法破解密码，AP上报告警信息给AC，如果同时使能了动态黑名单功能，则AP将该用户加入到动态黑名单列表中，丢弃该用户的所有报文，直至动态黑名单老化。

终端接入安全设计

WLAN的802.11标准定义提供了WEP、WPA、WPA2和WAPI四种安全策略机制。每种安全策略体现了一整套安全机制，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。

表1 WLAN安全策略机制的比较安全机制 特点

WEP WEP共享密钥认证需要预先配置相同的静态密钥，无论从加密机制还是从加密算法本身，都很容易受到安全威胁，一般不推荐使用。

WPA/WPA2 WPA和WPA2在安全性上几乎没有差别，WPA/WPA2分为企业版和个人版：WPA/WPA2企业版需要使用认证服务器，推荐在大中型园区网络中企业员工接入使用；WPA/WPA2个人版提供了简化的模式，不需要认证服务器，推荐在大中园区中访客接入使用，采用WPA/WPA2-PPSK（Private PSK）增强个人版的网络安全性的同时兼顾便捷性；

WAPI WAPI是中国提出的无线安全标准，WAPI能够提供比WEP和WPA更强的安全性

业务安全设计

AP与WAC间的有线网络也会面临IP网络常见的安全威胁，包括探测、篡改与仿冒等。为了提高数据传输的安全性，AP与WAC之间的CAPWAP隧道支持采用DTLS加密方式等，包括：

• 管理报文CAPWAP隧道的DTLS加密。

• 业务数据报文CAPWAP隧道的DTLS加密。

• 敏感信息加密：AP和WAC之间涉及敏感信息传输时，如FTP用户名、FTP用户密码、AP登录用户名、AP登录密码以及业务配置相关的密钥等，可以配置敏感信息加密功能；在WAC间漫游的组网中，WAC之间需要传输一些敏感信息（如用户名、密码等），同样可以配置敏感信息加密功能来保护WAC间传输的数据。

• 完整性校验：CAPWAP报文在WAC和AP设备间进行传输时，有可能被仿真，篡改，或被攻击者恶意构造畸形报文发起攻击，通过完整性校验更好地保护WAC和AP之间的CAPWAP报文。

对于AP与WAC都在内部网络的情况，不需要开启该安全功能；当AP与WAC间或者WAC间涉及跨Internet时建议开启该功能。

本文原文来自华为官网