(2)钓鱼攻击在移动蜂窝络中,不法分子利用2G技术的缺陷,通过伪装成运营商的基站向用户手机发送诈、广告推销等垃圾信息。类似的,在WLAN中,不法分子通过设置与合法热点有相同、相似的服务集标识(S
S
I,SSID)称的非法热点,诱导用户接入。用户一旦接入这样的热点,可能导致重要数据被窃取,造成用户财产损失。举例来说,用户接入了非法WF热点推送的购物,并进行了交易,不法分子就会截获用户的账号信息,盗用用户的账户。
(3)非法AP接入攻击当前不法分子的攻击手段日新月异,并且业界安全攻防技术也在不断向硬件领域深入扩展。攻击者可能近端接触到WF接入点设备,篡改设备存储介质,对于不具备硬件可信根的设备,整个系统的安全防护措施将完全失效。终端用户接入被劫持的WF接入点后,所有数据流量均会被窃取或篡改。除此以外,旧协议标准固有的漏洞,如有线等效加密(W
E P,WEP)协议使用不安全的算法和WIV漏洞,也使得密码很容易被破解。
(1)链路认证链路认证即终端身份验证。由于80211协议要求在接入WLAN之前需先经过链路认证,所以链路认证通常被认为是终端连接到AP(A
P,AP)并访问WLAN的握手过程的起点。80211协议规定了链路认证方式主要有开放系统认证(O S
A)和共享密钥认证(S-
A)两种。在开放系统认证中,终端以ID(通常是MAC地址)作为身份证明,所有符合80211标准的终端都可以接入WLAN。而共享密钥认证仅WEP协议支持,要求终端和AP使用相同的“共享”密钥。由于WEP协议安全性差,已经被淘汰,所以链路认证阶段一般都使用开放系统认证。这个阶段际上没有执行身份认证过程,只要符合协议交互过程就能够通过链路认证。在WPA3标准中,新引入了机会性线加密(O
W E,OWE),通过单独数据加密的方式来保护开放络中的用户隐私,现开放络的非认证加密。
(3)线攻击检测和反制认证和加密这2种方式是目前常用的线安全解决方案,可在不同场景下对络进行保护。在此基础上,还可通过线系统防护来提供WLAN的防护功能。目前,线系统防护主要技术有线入侵检测系统(W
I D S,WIDS)和线入侵防御系统(W I P
S,WIPS)2种。这2种技术不但可以提供入侵检测,还可以现一些入侵反制机制,以便更加主动地保护络。针对比较常见的密钥暴力破解,可部署防暴力破解密钥功能。AP将会检测认证时的密钥协商报文在一定的时间内的协商失败次数。如果超过配置的阈值,则认为该用户在通过暴力破解法破解密码,此时AP将会上报告警信息给AC,如果同时开启了动态黑单功能,则AP将该用户加入到动态黑单列表中,丢弃该用户的所有报文,直至动态黑单老化。
