冀明 趙浩全

摘 要:近年來,無線局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢等特點得以迅速發(fā)展。但是隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,無線局域網(wǎng)受到越來越多的威脅。本文將深入探討無線局域網(wǎng)非法接入點對企業(yè)及其網(wǎng)絡(luò)帶來的巨大安全威脅,以及如何緩解或消除這種威脅。

關(guān)鍵詞:無線局域網(wǎng)探測處理

中圖分類號:TP319.3 文獻標(biāo)識碼:A 文章編號:1672-3791(2012)07(b)-0011-03

無線局域網(wǎng)具有使用靈活方便,成本較低等優(yōu)點,但由于無線電波可以輕易穿透墻壁,窗戶等屏障,入侵者就可以在戶外輕易的利用無線局域網(wǎng)的安全漏洞入侵用戶所在的以太網(wǎng)。無線局域網(wǎng)的發(fā)展前景極其廣闊,是未來網(wǎng)絡(luò)發(fā)展的一個重要的方向,但是無線局域網(wǎng)的安全問題,成為當(dāng)今一個非常重要的研究課題,也正是因為這個安全因素,限制了無線局域網(wǎng)的蓬勃發(fā)展。本文將就無線局域網(wǎng)的安全薄弱環(huán)節(jié)—非法接入點的安全問題進行深入探討,同時介紹如何使用技術(shù)手段防止非法接入點的接入。

1非法接入點概述

無線接入點即無線AP(AccessPoint)它是用于無線網(wǎng)絡(luò)的無線交換機,也是無線網(wǎng)絡(luò)的核心[1]。無線AP是移動計算機用戶進入有線網(wǎng)絡(luò)的接入點,主要用于寬帶家庭、大樓內(nèi)部以及園區(qū)內(nèi)部,典型距離覆蓋幾十米至上百米,目前主要技術(shù)為802.11系列。

1.1 非法接入點帶來的問題

非法接入點指的是未經(jīng)許可而被安裝的接入點。它可能會給安全敏感的企業(yè)網(wǎng)絡(luò)造成一個后門,從而對企業(yè)的信息安全帶來極大威脅。攻擊者可以通過后門對一個受保護的網(wǎng)絡(luò)進行訪問,從而繞開“前門”的所有安全措施。

無線信號是在空氣中進行傳播的,因此在大多數(shù)情況下沒有傳輸屏障。它們可以穿過墻壁和屏障,到達公司建筑外很遠的地方。這些無線信號既可能來自非法接入點又可能來自合法接入點。它們代表的敏感數(shù)據(jù)或機密信息既可能來自企業(yè)內(nèi)部,也可能來自員工在企業(yè)外部使用的移動設(shè)備,若入侵者能夠連接企業(yè)內(nèi)部的局域網(wǎng),則將會對企業(yè)以太網(wǎng)的安全性造成威脅,若是用戶連接了入侵者所設(shè)置的非法接入點,則可能造成對用戶本身的機密信息丟失。

私自安裝的非法接入點造成的問題在于給企業(yè)帶來了極大的安全威脅,因為它們只采用了非常薄弱的安全措施,卻把公司內(nèi)部網(wǎng)絡(luò)擴展到了外部攻擊者的可訪問范圍內(nèi)[2]。

所以,在任何一個公司的網(wǎng)絡(luò)環(huán)境中,都需要對非法的無線接入點進行探測和核查,即使該公司并不提供無線網(wǎng)絡(luò)訪問服務(wù)。

1.2 非法接入點是安全鏈中最薄弱的一環(huán)

網(wǎng)絡(luò)的安全性取決于整個安全鏈中最薄弱的一環(huán)。假設(shè)公司內(nèi)部已經(jīng)部署了一個非常穩(wěn)定和安全的無線及有線網(wǎng)絡(luò),建立這個安全的無線網(wǎng)絡(luò)所花費的全部時間和金錢,卻可能被一個小小的非法接入點抵消掉[3]。

如圖1展示了一個位于安全的無線網(wǎng)絡(luò)拓?fù)渲械臒o線外圍網(wǎng)絡(luò)拓?fù)渲械臒o線外圍網(wǎng)絡(luò)層(DMZ)。為了讓合法用戶A有權(quán)訪問受保護的公司網(wǎng)絡(luò),相關(guān)實體必須經(jīng)過一個合適的身份驗證過程,通過防火墻和入侵檢測系統(tǒng)(IDS)的檢查并使用加密措施。與用戶A不同,用戶B無需通過任何安全限制,就能訪問公司網(wǎng)絡(luò),而他只是利用了一個有可能是員工私自假設(shè)的非法接入點。

1.3 入侵者安裝的非法接入點

與員工私自安裝的非法接入點不同,入侵者安裝的非法接入點并不是連接到公司的有線網(wǎng)絡(luò)上。它位于無線信號的傳輸范圍之內(nèi),并且作為一種欺騙設(shè)備讓合法用戶掉進圈套。當(dāng)合法用戶試圖連接到入侵者安裝的接入點時,這個非法接入點就能欺騙用戶提供有價值的信息,如身份驗證的類型和用戶憑證等。入侵者會記錄下來這些信息,在隨后用于獲取某個合法接入點的訪問權(quán)限[4]。

2非法接入點的預(yù)防和檢測

許多技術(shù)都能用于非法接入點的預(yù)防或檢測。在每次網(wǎng)絡(luò)核查中,都應(yīng)該檢測非法接入點,以避免把可能存在的網(wǎng)絡(luò)后門暴露給攻擊者。

2.1 非法接入點的預(yù)防

大多數(shù)非法接入點都是沒有惡意的員工安裝的,他們只是想在工作場所中訪問無線網(wǎng)絡(luò)。要防止員工安裝這種非法接入點,一種解決方案是主動為他們提供無線訪問服務(wù)。同時,企業(yè)必須制定涵蓋無線網(wǎng)絡(luò)的安全策略,尤其是要禁止使用個人自私安裝的非法接入點[5]。這樣做并不意味著要停止對公司網(wǎng)絡(luò)的核查和非法接入點的檢測,而是為了減少非法接入點的數(shù)量,從而改善整個網(wǎng)絡(luò)的安全性。

2.2 通過探測射頻信號檢測和定位非法接入點

檢測非法接入點的其中一項技術(shù)是使用網(wǎng)絡(luò)嗅探工具(Sniffer)手工對公司范圍內(nèi)的射頻信號進行探測。無線嗅探工具能夠捕捉空氣中正在傳遞的所有通信數(shù)據(jù),而這些數(shù)據(jù)可用于隨后的分析,例如MAC地址的比較。每個無線設(shè)備都有一個獨一無二的MAC地址。如果代表某個未知接入點的陌生MAC地址被無線嗅探工具探測到,它就可能是一個非法接入點。

NetStumbler等軟件就能作為非法接入點的嗅探工具。它能顯示在當(dāng)前信號的強度區(qū)域內(nèi),可以檢測到哪些接入點,然后把檢測到的接入點列表與一個友好接入點的數(shù)據(jù)庫進行比較。NetStumbler還能用來瞄準(zhǔn)一個物理的非法接入點,通過測算信號的強度,獲得該接入點的位置信息。

2.3 Cisoc的非法接入點檢查工具

使用嗅探工具檢測非法接入點是一件非常耗時的任務(wù),在大規(guī)模的無線及有線網(wǎng)絡(luò)環(huán)境中幾乎是不可能完成的。管理員必須走遍整個區(qū)域,并把檢測到的潛在的非法接入點與已知的友好接入點進行手工進行比較。這個任務(wù)還必須每天重復(fù)進行[6]。

現(xiàn)在已經(jīng)有了更為完善的解決方案,用以替代對非法接入點的手工嗅探。Cisco公司的解決方案能把所有的無線客戶端和接入點都變成嗅探設(shè)備,這些設(shè)備可以連續(xù)不斷的對自己周圍的射頻信號進行監(jiān)視和分析。每個友好的接入點和無線客戶端都可以對其周圍所能覆蓋的區(qū)域進行7×24h不斷的檢測。無線客戶端和合法接入點如果檢測到非法接入點,就會把相關(guān)信息發(fā)送到一個中央管理工作站,然后該工作站就會向網(wǎng)絡(luò)管理員發(fā)出提示。

2.4 通過WLSE集中管理非法接入點檢測

“無線局域網(wǎng)解決方案引擎”(Wireless LANSolutionEngine,WLSE)是CiscoWorks工具集提供的一個解決方案,用來集中管理具有“Cisco-識別”功能的所有無線設(shè)備。WLSE通過“簡單網(wǎng)絡(luò)管理協(xié)議”(SimploNetworkManagementProtocol,SNMP)可以從無線客戶端和接入點獲得檢測到的非法接入點的信息(如圖2)。

當(dāng)無線客戶端檢測到一個潛在的非法接入點之后,會把相關(guān)信息發(fā)送給一個友好接入點。該接入點再通過“SNMP陷阱”(SNMP-trap)協(xié)議把信息傳遞給WLSE引擎,從而面向管理服務(wù)器報告自己的發(fā)現(xiàn)。WLSE引擎把獲得的信息與友好接入點的數(shù)據(jù)庫進行比較。如果WLSE引擎無法在友好接入點列表中找到被報告的這個接入點,就會給它標(biāo)記一個紅色警示信號,提醒管理員有一個潛在的非法接入點被檢測到。

WLSE還可以使用三角測量法,根據(jù)多個無線客戶端和接入點探測到信號強度計算非法接入點的物理位置,并且在窗口里有“接受信號強度指示”,可以用來估算這個非法接入點的大概物理位置。

2.5 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP）

SNMP是專門設(shè)計用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(服務(wù)器、工作站、路由器、交換機及HUBS等)的一種標(biāo)準(zhǔn)協(xié)議,它是一種應(yīng)用層協(xié)議。SNMP使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能,發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機消息(及事件報告)網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題[7]。SNMP管理的網(wǎng)絡(luò)有三個主要組成部分:管理的設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)。管理設(shè)備是一個網(wǎng)絡(luò)節(jié)點,包含ANMP代理并處在管理網(wǎng)絡(luò)之中。被管理的設(shè)備

用于收集并儲存管理信息。通過SNMP,NMS能得到這些信息。被管理設(shè)備,有時稱為網(wǎng)絡(luò)單元,可能指路由器、訪問服務(wù)器,交換機和網(wǎng)橋、HUBS、主機或打印機。SNMP代理是被管理設(shè)備上的一個網(wǎng)絡(luò)管理軟件模塊。SNMP代理擁有本地的相關(guān)管理信息,并將它們轉(zhuǎn)換成與SNMP兼容的格式。NMS運行應(yīng)用程序以實現(xiàn)監(jiān)控被管理設(shè)備。此外,NMS還為網(wǎng)絡(luò)管理提供了大量的處理程序及必須的儲存資源。任何受管理的網(wǎng)絡(luò)至少需要一個或多個NMS。

SNMP封裝在UDP中。各種版本的SNMP信息通用格式如表1所示。

Version:SNMP版本號:管理器和代理器必須使用相同版本的SNMP。需要刪除具有不同版本號的信息,并不對它們作進一步的處理。

Community:團體名稱,用于在訪問代理器之前認(rèn)證管理器。

PDU(協(xié)議數(shù)據(jù)單元):SNMPv1,v2和v3中的PDU類型和格式將在對應(yīng)文件中作具體介紹。

2.6 使用802.1x基于端口的安全措施防止非法接入點

在一個無線網(wǎng)絡(luò)環(huán)境中,802.1x提供了相互進行身份驗證的機制,用來消除合法用戶與非法接入點進行連接造成的威脅。圖3展示了一個典型的802.1x“輕量級可擴展身份驗證協(xié)議”(Light Extendable Authentication Protocal,LEAP)的相互驗證過程:在建立一個成功的連接之前,無線客戶端要對RADIUS訪問控制服務(wù)器(Access Control Server,ACS)進行身份驗證;與此同時,該服務(wù)器也要對這個客戶端進行身份驗證。

圖4中的接入點(AP)如果是一個非法接入點,它將無法訪問RADIUS訪問控制服務(wù)器(ACS),因為它無法通過服務(wù)器發(fā)出的用戶身份驗證質(zhì)詢(challenge)。這樣,用戶就會拒絕與該接入點建立連接。

每個經(jīng)過認(rèn)證的接入點都必須由管理員在RADIUSACS服務(wù)器上手工添加,然后該接入點才能訪問ACS服務(wù)器并進行身份驗證。因此,未經(jīng)授權(quán)的設(shè)備—例如圖4中的非法接入點—就不會被允許對RADIUSACS的服務(wù)進行請求或使用,因為它根本不會被管理員添加到允許訪問列表中。

不是所有種類的802.1x具體實現(xiàn)或可擴展身份驗證協(xié)議(EAP)都支持相互驗證。在EAP中,支持相互驗證的具體方式包括輕量級EAP和EAP傳輸層安全(EAP-TLS)協(xié)議。在LEAP方式中,身份驗證和質(zhì)詢都是從用戶名和密碼派生的。EAP-TLS的驗證過程與LEAP幾乎相同,但不是基于用戶名和密碼,而是使用數(shù)字證書。

2.7 使用Catalyst交換機過濾器在端口過濾MAC地址

組織非法接入點的另一種方法是使用交換機的端口安全機制與有線網(wǎng)絡(luò)建立連接。端口安全機制利用Catalyst交換機的安全功能,根據(jù)一個事先設(shè)置好的允許設(shè)備列好,限制對交換機某一端口的連接。

這個允許設(shè)備列表是由硬件的MAC地址表示的。每個端口都必須設(shè)有自己的允許的MAC地址,以防止未經(jīng)授權(quán)的設(shè)備連接到該端口。

在Catalyst交換機的端口安全機制里,可以設(shè)置3中不同類型的MAC地址,分別是靜態(tài)MAC地址,動態(tài)MAC地址和粘性MAC地址。

靜態(tài)MAC地址是以手工方式為端口設(shè)置的被允許設(shè)備的MAC地址。默認(rèn)情況下只能設(shè)置一個靜態(tài)MAC地址,但是可以使用命令增加允許設(shè)備的數(shù)量,如果試圖設(shè)置多個靜態(tài)MAC地址,但事先沒有為端口增加允許連接的MAC地址數(shù)量,就會收到一個錯誤提示。靜態(tài)MAC地址被保存在一個配置文件中,這樣當(dāng)交換機重啟時就不會丟失端口的安全設(shè)置。

動態(tài)MAC地址是從連接的設(shè)備那里動態(tài)獲知的。如果一個交換機端口被設(shè)置最多允許3臺設(shè)備連接,就動態(tài)地獲知最初3個設(shè)備的MAC地址,并把它們放在內(nèi)存里的一個列表中。動態(tài)MAC地址并不保存在配置文件中。當(dāng)交換機重啟后,所有動態(tài)MAC地址都將被重置。通常這種動態(tài)機制并不被使用。

粘性MAC地址是一種靜態(tài)和動態(tài)相結(jié)合的方法來設(shè)置列表。設(shè)備的MAC地址是被動態(tài)獲知的,同時也能靜態(tài)地保存在一個配置文件中。例如如果有一個超過200個用戶的局域網(wǎng),就可以動態(tài)的獲知所有200臺工作站的MAC地址,再把它們轉(zhuǎn)變成為一個靜態(tài)的MAC地址列表。

2.8 安全違規(guī)

當(dāng)一個不在MAC地址使用一種靜態(tài)和動態(tài)相結(jié)合的未知設(shè)備試圖訪問相應(yīng)的交換機接口時,就會發(fā)生端口的安全違規(guī)。對于這種情況,Catalyst交換機可以設(shè)置3中不同的處理方式。每個交換機端口可以使用保護模式,限制模式或者關(guān)閉模式。

當(dāng)安全違規(guī)發(fā)生在保護模式下時,試圖連接到端口的設(shè)備將被阻止并禁止連接,所有來自這個未經(jīng)授權(quán)設(shè)備的數(shù)據(jù)包也將被丟棄。

限制模式與安全模式類似,也會丟棄未經(jīng)授權(quán)設(shè)備發(fā)出的所有數(shù)據(jù)包。兩者的區(qū)別在于,限制模式會把違規(guī)情況記錄到日志中。他會生成一個SNMP的trap發(fā)送給管理工作站,用來通知管理員有安全違規(guī)發(fā)生。它還能發(fā)送一個系統(tǒng)日志消息,并增加交換機端口設(shè)置中違規(guī)計數(shù)器的值。

在關(guān)閉模式下,交換機端口一旦檢測到某個未經(jīng)授權(quán)的設(shè)備試圖與自己連接時,就會自動關(guān)閉。這時交換機會發(fā)送一個SNMPtrap給管理工作站或者發(fā)送一個系統(tǒng)日志消息,還會如限制模式那樣增加端口的違規(guī)計數(shù)器的值。

3結(jié)語

本文主要闡述了用于檢測和阻止非法接入點(roughAP)的各種不同技術(shù)。使用手工檢測非法接入點的技術(shù)和使用Cisco公司提供的一種完善的集中式的檢測方案,即使用一個管理工作站作為WLSE,用來控制具備Cisco識別功能的所有設(shè)備,本文還著重介紹了使用IEEE802.1x的協(xié)議基于端口的安全措施防止非法接入點的相關(guān)技術(shù)。802.1x協(xié)議支持相互身份驗證,從而讓接入點和用戶能夠相互認(rèn)證,以確保用戶連接到一個合法的而不是非法的接入點。本文的最后介紹了使用Catalyst交換機過濾器在端口過濾MAC地址的技術(shù),通過Catalyst交換機的端口安全機制,可以根據(jù)設(shè)備的MAC地址限制對其端口的物理連接。非法接入點是無線局域網(wǎng)中最薄弱的安全環(huán)節(jié),但只要采用規(guī)范的安全策略,輔以正確的技術(shù)手段,那無線局域網(wǎng)的安全性就會大大提升。

參考文獻

[1] 顏炳風(fēng).無線局域網(wǎng)的安全機制,漏洞破解以及解決方法[J].科技信息,2010(27)．

[2] 趙偉艇,史玉珍.基于802.11i的無線局域網(wǎng)安全加密技術(shù)研究[J].計算機工程設(shè)計,2010,31(4)．

[3] 黎明.基于無線局域網(wǎng)的安全機制研究[J].科技管理研究,2010(15).

[4] 楊青譯.無線網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2010

[5] 陳雪兆.無線局域網(wǎng)安全技術(shù)研究與實現(xiàn)[J].科技創(chuàng)新導(dǎo)報,2010(1)．

[6] 趙遠東,陳飛.無線局域網(wǎng)安全協(xié)議淺析[J]電腦知識與技術(shù),2010,6(28)．

[7] Sithirasenan E,Muthukkumarasamy V,Powell D.IEEE 802.11iWLAN security protocol—a software engineer''s model[C].AusCERT''05:Proceedings of the 4th Asia Pacific Information Technology Security Conference,2005:39-50.