楊 正

(羊城晚報(bào)報(bào)業(yè)集團(tuán),廣東 廣州 510660)

0 引言

隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,WiFi,5G網(wǎng)絡(luò)已覆蓋城市的各個(gè)角落,無線信號(hào)早已無處不在。尤其在近幾年,大灣區(qū)建設(shè)催生了很多大型的創(chuàng)意園區(qū),在大型園區(qū)如使用有線組網(wǎng),耗時(shí)長,費(fèi)用昂貴。所以,大型園區(qū)使用無線網(wǎng)絡(luò)路由接入是最便捷、最實(shí)惠的手段之一。與此同時(shí),相比有線網(wǎng)絡(luò)較為穩(wěn)定的安全管理,無線網(wǎng)絡(luò)安全問題卻日益尖銳。對(duì)于企業(yè)而言,因無線網(wǎng)絡(luò)入侵而導(dǎo)致核心機(jī)密資料被竊取,將導(dǎo)致無法估量的損失。本文通過分析大型創(chuàng)意園區(qū)的無線網(wǎng)絡(luò)設(shè)計(jì)及建設(shè)過程,探討如何增強(qiáng)無線網(wǎng)絡(luò)攻擊手段及安全防范手段,為大家提供分析和參考。

1 無線網(wǎng)絡(luò)覆蓋設(shè)計(jì)

羊城創(chuàng)意產(chǎn)業(yè)園位于廣州天河核心區(qū)域,創(chuàng)意園總占地面積17.1萬m2,總建筑面積10.8萬m2,地處該市核心區(qū)域。為解決園區(qū)網(wǎng)絡(luò)問題,針對(duì)園區(qū)的無線網(wǎng)絡(luò)覆蓋進(jìn)行了拓?fù)湓O(shè)計(jì)和建設(shè)(見圖1),并提前做好了無線網(wǎng)絡(luò)安全的實(shí)施工作。

圖1 羊城創(chuàng)意產(chǎn)業(yè)園無線網(wǎng)絡(luò)拓?fù)?/p>

一般企業(yè)的無線網(wǎng)絡(luò)都是由AP+AC組成,AP(Access Point)負(fù)責(zé)發(fā)出用戶接入的無線信號(hào),AP的信號(hào)理論半徑可達(dá)300 m,但由于受到各種因素的干擾,實(shí)測AP的覆蓋范圍大概50 m左右。而針對(duì)覆蓋范圍需求較大的創(chuàng)意園區(qū),AP的數(shù)量和覆蓋點(diǎn)也是一個(gè)非常重要的指標(biāo)。為滿足園區(qū)內(nèi)無線信號(hào)可以覆蓋到任意角落,需要大量的AP協(xié)同工作。所有的AP由兩臺(tái)非主備的AC(Access Controller)進(jìn)行控制,通過設(shè)置AP的發(fā)射功率,負(fù)載均衡等參數(shù)讓AP設(shè)備協(xié)同漫游工作。

由于創(chuàng)意園區(qū)分為集團(tuán)辦公區(qū)域,園區(qū)東區(qū)、園區(qū)西區(qū)3個(gè)區(qū)域,其中集團(tuán)代號(hào)為1-16,東區(qū)包括了1-01,1-08,1-15等,西區(qū)則為2-27,3-11等。其中東區(qū)直接使用集團(tuán)中心機(jī)房內(nèi)的匯聚交換機(jī),并適配到各企設(shè)備間的POE接入層交換機(jī),而西區(qū)則在2-27大樓機(jī)房部署了一臺(tái)匯聚交換機(jī),再分到各區(qū)域建筑設(shè)備間的POE交換機(jī)。企業(yè)內(nèi)部均采用室內(nèi)掛頂AP+面板式AP,企業(yè)外部的園區(qū)綠地使用室外高密AP。

1.1 AP信號(hào)覆蓋及接入管理

由于園區(qū)實(shí)際面積較大,需要接近100臺(tái)AP協(xié)同工作,在設(shè)計(jì)之初,考慮到假如終端AC控制AP1漫游至AC2管理的AP2,這就屬于多AC信號(hào)覆蓋。在AP的型號(hào)選擇方面,選擇了瘦AP提供無線接入的功能,類似網(wǎng)絡(luò)層型中的數(shù)據(jù)鏈路層交換機(jī)的作用,僅負(fù)責(zé)接入層的工作。而匯聚層的工作則由AC進(jìn)行負(fù)責(zé),當(dāng)內(nèi)網(wǎng)用戶連接至無線網(wǎng)絡(luò),需要經(jīng)過radius服務(wù)器進(jìn)行安全掃描驗(yàn)證;外網(wǎng)用戶接入則需要通過輸入手機(jī)號(hào)及短信驗(yàn)證碼,主動(dòng)被掃描,每半個(gè)小時(shí)需要重新驗(yàn)證一次外網(wǎng)用戶的手機(jī)號(hào)碼信息。

1.2 無線網(wǎng)絡(luò)信道

IEEE802.11標(biāo)準(zhǔn)的制定始于1987年,目前大范圍使用的信道主要有2.5 GHz和5 GH,為此我們安裝在園區(qū)和企業(yè)內(nèi)部的AP均要求均支持2.4G和5G的工作頻率。在實(shí)際使用中,我們發(fā)現(xiàn)5G信道的速率雖比2.4G快很多,但覆蓋范圍遠(yuǎn)不及2.4G,且一些型號(hào)比較老舊的手機(jī)無法使用5G信道進(jìn)行上網(wǎng),為了解決這個(gè)問題,我們通過AC主動(dòng)調(diào)整了AP的工作頻率,使得相鄰的AP可以工作在不同的信道下,避免發(fā)生沖突,也可以讓不支持5G的手機(jī)用戶能順利上網(wǎng)[1]。

2 無線網(wǎng)絡(luò)安全現(xiàn)狀

雖然認(rèn)為無線網(wǎng)絡(luò)接入僅作為有線網(wǎng)絡(luò)的一種補(bǔ)充,但無線網(wǎng)絡(luò)早已無處不在,無線網(wǎng)絡(luò)安全級(jí)別的要求已和有線網(wǎng)絡(luò)無本質(zhì)區(qū)別,它需要網(wǎng)絡(luò)管理人員清楚的識(shí)別安全威脅來自哪些環(huán)節(jié)。以創(chuàng)意園區(qū)企業(yè)的WiFi網(wǎng)絡(luò)為例(見圖1),園區(qū)內(nèi)部有線網(wǎng)絡(luò)已經(jīng)采用了較為完善的安全體系,使用了硬件防火墻、VPN等設(shè)備構(gòu)建了相對(duì)安全的網(wǎng)絡(luò)體系結(jié)構(gòu),而無線網(wǎng)絡(luò)是后期新建設(shè)的網(wǎng)絡(luò),設(shè)計(jì)之已采用獨(dú)立專線和核心交換機(jī)以及獨(dú)立的防火墻,但由于無線網(wǎng)絡(luò)部分的協(xié)議依然需要支持內(nèi)網(wǎng)的業(yè)務(wù)訪問,而入侵者可能會(huì)利用破解WEP/WPA密碼的方式,從而順利進(jìn)入企業(yè)內(nèi)網(wǎng),并獲取內(nèi)網(wǎng)機(jī)器的控制權(quán),這給企業(yè)帶來的風(fēng)險(xiǎn)是無法估量的。

通過IEEE802.11安全標(biāo)準(zhǔn)結(jié)合我方網(wǎng)絡(luò)的實(shí)際使用情況,WiFi安全威脅主要來自以下幾個(gè)方面:(1)開放園區(qū)來賓賬號(hào)訪問WiFi權(quán)限導(dǎo)致攻擊無處不在;(2)非授權(quán)的WiFi設(shè)備成了攻擊的重點(diǎn);(3)接入層AP授權(quán)方式單一;(4)目前網(wǎng)絡(luò)上流通著大量的無線網(wǎng)絡(luò)破解工具;(5)無線網(wǎng)絡(luò)協(xié)議本身較為脆弱的安全防護(hù)機(jī)制。

當(dāng)然,從運(yùn)維創(chuàng)意園區(qū)的有線網(wǎng)絡(luò)的經(jīng)驗(yàn)來看,包括來自客戶端的攻擊(拒絕服務(wù)攻擊、攔截、掃描、抓包等)、干擾、對(duì)服務(wù)器攻擊、路由錯(cuò)誤配置等,而新的無線網(wǎng)絡(luò)安全屬于對(duì)傳統(tǒng)網(wǎng)絡(luò)安全是一種新增的挑戰(zhàn)。

2.1 無線網(wǎng)絡(luò)加密

2.1.1 WEP加密

IEEE802.11提供了有限等效保密(Wired Equivalent Privacy,WEP)技術(shù),又稱無線加密協(xié)議(Wireless Encryption Protocol)。WEP包括共享密鑰認(rèn)證和數(shù)據(jù)加密兩個(gè)過程,前者使得沒有正確密鑰的用戶無法訪問網(wǎng)絡(luò),后者則要求所有數(shù)據(jù)都必須使用密文傳輸。

認(rèn)證過程一般采用了標(biāo)準(zhǔn)的詢問/響應(yīng)方式,AP運(yùn)用共享密鑰對(duì)128字節(jié)的隨機(jī)序列進(jìn)行加密后作為詢問幀發(fā)給用戶,用戶將收到的詢問幀解密后以明文的形式響應(yīng);而AP將收到的明文與原始隨機(jī)序列進(jìn)行比較,如果兩者一致,則認(rèn)證通過。其中WEP使用了RC4協(xié)議進(jìn)行加密,并使用CRC-32校驗(yàn)保證數(shù)據(jù)的正確性。

2.1.2 WPA加密

WiFi聯(lián)盟的廠商為了解決無線網(wǎng)絡(luò)中暴露的問題,迫不及待的以802.11i草案的一個(gè)子集作為藍(lán)圖制定了成為WPA(WiFi Protected Access)的安全認(rèn)證方案,WPA包括了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三部分。

臨時(shí)密鑰完整性協(xié)議TKIP是一個(gè)短期的解決方案,雖然還是使用RC4加密方法,但是填補(bǔ)了WEP的安全缺陷。在WPA的設(shè)計(jì)中包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)3個(gè)組成部分。首先,WPA使用了802. 1x協(xié)議對(duì)用戶的MAC地址進(jìn)行認(rèn)證;其次,WEP增大了密鑰和初始向量的長度,以128位的密鑰和48位的初始向量(IV)用于RC4加密。WPA還采用了可以動(dòng)態(tài)改變密鑰的臨時(shí)密鑰完整性協(xié)議TKIP (Temporary Key Integrity Protoco1),通過更頻繁地變換密鑰來減少安全風(fēng)險(xiǎn)。最后,WPA強(qiáng)化了數(shù)據(jù)完整性保護(hù)。WEP使用的循環(huán)冗余校驗(yàn)方法具有先天性缺陷,在不知道WEP密鑰的情況下,如果要續(xù)改分組和對(duì)應(yīng)的CRC也是可能的。WPA使用報(bào)文完整性編碼來檢測偽造的數(shù)據(jù)包,并且在報(bào)文認(rèn)證碼中包含有幀計(jì)數(shù)器,還可以防止重放攻擊。

雖然WPA協(xié)議看似比WEP協(xié)議,但仍然存在不安全的漏洞,后期又新增WPA/WAP2以完善無線網(wǎng)絡(luò)的認(rèn)證。

2.2 無線網(wǎng)絡(luò)攻擊

目前,網(wǎng)上有較多免費(fèi)或收費(fèi)的無線網(wǎng)絡(luò)破解工具,經(jīng)測試大部分的破解原理如下所示:將大量的CAP數(shù)據(jù)包存入數(shù)據(jù)庫,然后使用AIRCRACK調(diào)用數(shù)據(jù)包進(jìn)行破解。經(jīng)測,此方法適用于WEP加密模式的AP,而遇到WPA加密則還需要合法的身份認(rèn)證,需要通過抓包后方可破解。一般入侵者會(huì)通過主動(dòng)攻擊合法用戶端,獲取客戶端的控制權(quán),并使得客戶端與AP重新進(jìn)行3次握手,再進(jìn)行抓包數(shù)據(jù)包,或安裝后門等待客戶端上線后產(chǎn)生握手再進(jìn)行抓包或攔截。

WPA-PSK、WPA2-PSK是目前較為主流的無線網(wǎng)絡(luò)加密方式,但由于TKIP與AES自算法漏洞問題,使得WPA也面臨著嚴(yán)峻的威脅,其中包括了字典破解和暴力破解等。

3 無線網(wǎng)絡(luò)安全防范措施

無線組網(wǎng)相比有線網(wǎng)絡(luò)有更多的優(yōu)勢,例如組網(wǎng)靈活、使用方便、節(jié)省成本等,但由于無線信號(hào)很容易被監(jiān)聽和攔截,無法確保其安全性,這使得企業(yè)很多私密信息存在暴露的風(fēng)險(xiǎn)[2]。

3.1 隔離無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)

在創(chuàng)意園區(qū)無線網(wǎng)絡(luò)建設(shè)規(guī)劃中,利用防火墻將內(nèi)外網(wǎng)以及無線和有線網(wǎng)絡(luò)區(qū)分開,由于無線網(wǎng)絡(luò)有單獨(dú)的專線和核心交換機(jī),并在防火墻和核心交換機(jī)之間掛一臺(tái)行為管理設(shè)備。在匯聚層方面可以通過劃分了一個(gè)管理VLAN和多個(gè)業(yè)務(wù)VLAN,將交換機(jī)的管理和園區(qū)各企業(yè),各部門,各區(qū)域劃分開,盡最大可能減少廣播域?？紤]到在DMZ中服務(wù)器的安全性,我們部署無線存取網(wǎng)絡(luò),這樣即使無線網(wǎng)絡(luò)客戶端被破解,入侵者依然無法攻擊有線網(wǎng)絡(luò),并入侵服務(wù)器[3]。

3.2 定期輪巡

針對(duì)無線網(wǎng)絡(luò)安全服務(wù)運(yùn)維設(shè)計(jì)了服務(wù)級(jí)別協(xié)議,要求我方網(wǎng)絡(luò)運(yùn)維人員根據(jù)服務(wù)級(jí)別協(xié)議的運(yùn)維條例,通過值班輪巡等方式,提前發(fā)現(xiàn)未被授權(quán)和可能被攻擊的站點(diǎn),并通過物理站點(diǎn)監(jiān)測,對(duì)頻繁反復(fù)請(qǐng)求的客戶端站點(diǎn)進(jìn)行識(shí)別,提前禁用其登錄網(wǎng)絡(luò)的行為。

3.3 和廠商簽訂應(yīng)急響應(yīng)協(xié)議

針對(duì)無線網(wǎng)絡(luò)的應(yīng)急響應(yīng)需求,運(yùn)維團(tuán)隊(duì)內(nèi)部除了相應(yīng)服務(wù)級(jí)別協(xié)議外,也據(jù)此擬定了一份運(yùn)營級(jí)別協(xié)議(OLA),并和網(wǎng)絡(luò)專線的供應(yīng)商、無線網(wǎng)絡(luò)設(shè)備供應(yīng)商擬定無線網(wǎng)絡(luò)服務(wù)支持協(xié)議(UC),要求對(duì)方提供無線網(wǎng)絡(luò)安全及使用方面的應(yīng)急響應(yīng)服務(wù),服務(wù)時(shí)間為5×8×365,其余時(shí)段的問題由園區(qū)負(fù)責(zé)輪巡記錄的方式上報(bào)處理。

4 結(jié)語

在移動(dòng)設(shè)備覆蓋率越發(fā)高漲,無線網(wǎng)絡(luò)越發(fā)普及的今天,網(wǎng)絡(luò)管理員對(duì)無線網(wǎng)絡(luò)的建設(shè)和安全防控已經(jīng)是一種工作常態(tài)。本文從無線信號(hào)覆蓋和安全兩方面對(duì)創(chuàng)意園區(qū)無線網(wǎng)絡(luò)進(jìn)行了分析。為了抵御入侵者,無線網(wǎng)絡(luò)的安全技術(shù)發(fā)展經(jīng)歷了WEP,WPA,WPA2等發(fā)展和蛻變,但無論是哪一種安全技術(shù),其原理都離不開OSI7層模型,從有線網(wǎng)絡(luò)的攻防中吸取經(jīng)驗(yàn),實(shí)現(xiàn)有線和無線網(wǎng)絡(luò)隔離,統(tǒng)籌管控?zé)o線用戶,通過radius認(rèn)證機(jī)制保證了用戶登錄的一致性和使用的安全性。