◆程慶梅

校園無線局域網(wǎng)組網(wǎng)及安全運(yùn)維研究

◆程慶梅

（北京信息職業(yè)技術(shù)學(xué)院 北京 100015）

本文旨在通過對目前校園無線局域網(wǎng)的組網(wǎng)應(yīng)用及面臨的安全問題進(jìn)行分析研究，探索校園無線局域網(wǎng)安全應(yīng)用的新思路和具體防護(hù)措施及方案。分析表明，隨著社會(huì)的進(jìn)步，無線局域網(wǎng)的普及，面對的用戶具有未知性、不可控性，隱含的安全風(fēng)險(xiǎn)變得更大，也更容易受到攻擊，也導(dǎo)致了很多運(yùn)營維護(hù)方面的安全問題，如用戶投訴無法連接網(wǎng)絡(luò)、用戶投訴無法通過認(rèn)證、用戶投訴上網(wǎng)速度太慢、用戶信息泄漏、釣魚攻擊等等。從無線局域網(wǎng)的組網(wǎng)方案中，總結(jié)分析無線局域網(wǎng)存在的安全問題，探索可能的防護(hù)措施及方案，有效提升校園無線網(wǎng)絡(luò)的運(yùn)營效率，給用戶帶來更好的上網(wǎng)體驗(yàn)。

無線局域網(wǎng)；網(wǎng)絡(luò)安全；安全運(yùn)維

0 前言

WLAN（Wireless Local Area Network無線局域網(wǎng)）屬于一種短距離無線通信技術(shù)。它是以無線信道為傳輸媒介構(gòu)成的計(jì)算機(jī)局域網(wǎng)絡(luò)，通過無線射頻技術(shù)（RF）在空氣中傳輸數(shù)據(jù)、話音和視頻信號，實(shí)現(xiàn)網(wǎng)絡(luò)在WLAN系統(tǒng)規(guī)劃熱點(diǎn)的無線延伸。

隨著影響無線網(wǎng)絡(luò)穩(wěn)定的因素、影響無線終端使用效果的因素、影響無線網(wǎng)絡(luò)異常的因素，屢見不鮮。從而使得運(yùn)營的WLAN網(wǎng)絡(luò)在大多數(shù)情況下處于不可用的狀態(tài)，最終造成WLAN用戶對WLAN業(yè)務(wù)系統(tǒng)的體驗(yàn)性大大下降，造成WLAN用戶群體大量流失。同時(shí)運(yùn)營者沒有充分意識到安全威脅對正常運(yùn)營WLAN網(wǎng)絡(luò)的業(yè)務(wù)危害。

本文將有效的將業(yè)務(wù)檢測和安全監(jiān)測進(jìn)行融合，將傳統(tǒng)安全和運(yùn)營的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合，全方位的進(jìn)行WLAN運(yùn)維監(jiān)控。業(yè)務(wù)監(jiān)測能夠?qū)崟r(shí)的監(jiān)測核心網(wǎng)絡(luò)的穩(wěn)定性和性能；質(zhì)量檢測可以實(shí)時(shí)檢測WLAN網(wǎng)絡(luò)的傳輸質(zhì)量，為運(yùn)營者提供有效的分析，幫助運(yùn)營者有針對性的進(jìn)行網(wǎng)絡(luò)優(yōu)化；安全監(jiān)測和防護(hù)能夠最大限度的降低非法用戶對WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅，從另一個(gè)角度提高運(yùn)營者在WLAN業(yè)務(wù)上的服務(wù)質(zhì)量，包括WLAN網(wǎng)絡(luò)用戶的信息安全。

1 WLAN組網(wǎng)方案分析

1.1 WLAN的組網(wǎng)

WLAN和局域網(wǎng)網(wǎng)絡(luò)存在形態(tài)類似。安全方面來看，WLAN和局域網(wǎng)有所區(qū)別。

1.2 WLAN的組網(wǎng)層次

分析一下當(dāng)前大多數(shù)WLAN設(shè)備廠商提供的無線接入點(diǎn)（或稱為AP）與無線訪問控制器（或稱為AC）構(gòu)成的網(wǎng)絡(luò)組網(wǎng)如下。

1.2.1 分布式的無線接入

通過無線接入點(diǎn)來完成所需求的任務(wù)，使用無線數(shù)據(jù)的橋接入方式，在硬件上支持無線射頻轉(zhuǎn)發(fā)到功能上。

1.2.2 數(shù)據(jù)轉(zhuǎn)發(fā)的集中管理

利用無線控制器集中實(shí)現(xiàn)與Internet互連的準(zhǔn)許。包括對于用戶認(rèn)證，計(jì)費(fèi)等等功能。

1.2.3 網(wǎng)關(guān)和AC進(jìn)行分離

網(wǎng)關(guān)和無線控制器隔離，便可更加便利的實(shí)施網(wǎng)絡(luò)的組建，而且有利于無線局域網(wǎng)的組建更有層次。如果在局域網(wǎng)通過虛擬局域網(wǎng)分劃的網(wǎng)絡(luò)拓?fù)渲?，在無線局域網(wǎng)中無線控制器需要對所有的無線接入點(diǎn)進(jìn)行管理和配置，需要使用CAPWAP協(xié)議或者其他協(xié)議創(chuàng)建隧道通信。會(huì)存在如下的問題:

（1）虛擬局域網(wǎng)如何解決

無線接入點(diǎn)和無線控制器隧道創(chuàng)建一對一連接的，虛擬局域網(wǎng)的存在對它來說是沒用的,虛擬局域網(wǎng)加入會(huì)有影響。無線接入點(diǎn)接入的switch接口是ACCESS口，而無線控制器接入switch的接口是TRUNK口。所以，其中一個(gè)到對端有虛擬局域網(wǎng)標(biāo)識，另外的沒有虛擬局域網(wǎng)標(biāo)識,所以在協(xié)議處理層存在不對等問題。

（2）CAPWAP協(xié)議處在網(wǎng)絡(luò)的哪一個(gè)位置

CAPWAP屬應(yīng)用層協(xié)議。所以，無線接入點(diǎn)和無線控制器之間的要經(jīng)過協(xié)議棧處理，然后發(fā)送到上層進(jìn)行處理。對于CAPWAP封裝的數(shù)據(jù)轉(zhuǎn)發(fā)如如圖1所示。

圖1 WLAN組網(wǎng)中CAPWAP協(xié)議隧道

這里的數(shù)據(jù)通信分為兩個(gè)層次:STA對Internet的互連是第一層，是TCP/IP協(xié)議。它上傳的數(shù)據(jù)通過bridge的方式由無線接入點(diǎn)到switch。因?yàn)樘摂M局域網(wǎng)，它上傳的數(shù)據(jù)通過switch之后需添加上虛擬局域網(wǎng)標(biāo)記來標(biāo)識，接著傳輸?shù)綗o線控制器中，接著通過虛擬局域網(wǎng)的虛擬接口再發(fā)送，最終數(shù)據(jù)發(fā)送出去。第二個(gè)層次是AP和AC的直連通信。使用無線接入點(diǎn)和無線控制器直接相連，然后創(chuàng)建CAPWAP的協(xié)議通道，這樣可以方便控制信息的發(fā)送。但是這兩種網(wǎng)絡(luò)結(jié)構(gòu)不能夠存在一個(gè)拓?fù)渲?。網(wǎng)絡(luò)接入點(diǎn)和網(wǎng)絡(luò)控制器兩者信息傳輸通過switch，所以可以沒有虛擬局域網(wǎng)，從無線接入點(diǎn)不帶虛擬局域網(wǎng)，經(jīng)過switch添加上局域網(wǎng)標(biāo)記，然后便要進(jìn)行單獨(dú)的虛擬局域網(wǎng)處理。但是存在兩點(diǎn)問題：（1）無線控制器要求一個(gè)單獨(dú)的虛擬接口處理數(shù)據(jù)；（2）對switch進(jìn)行配置，但是加上分辨的標(biāo)簽VLAN，網(wǎng)絡(luò)設(shè)備對虛擬局域網(wǎng)加上標(biāo)識是不好的，其會(huì)較大的影響網(wǎng)絡(luò)的靈活性。

通過上述分析，switch是否對虛擬局域網(wǎng)加上標(biāo)簽，在以上分析中產(chǎn)生了矛盾。在另外一個(gè)項(xiàng)目中發(fā)現(xiàn)，無線局域網(wǎng)組網(wǎng)是不必對switch配置：（1）對switch虛擬局域網(wǎng)加上標(biāo)簽麻煩。（2）無線接入點(diǎn)數(shù)量會(huì)比較多，需要?jiǎng)澐值奶摂M局域網(wǎng)數(shù)量非常大。假如從硬件上來完成虛擬局域網(wǎng)的劃分，那么會(huì)花費(fèi)很多財(cái)力。（3）如果無線控制器和無線接入點(diǎn)加上switch會(huì)影響控制。但在STA和Internet通信要虛擬局域網(wǎng)來實(shí)現(xiàn)，最后無線接入點(diǎn)各家廠商在無線接入點(diǎn)上完成虛擬局域網(wǎng)加上標(biāo)識，有無線控制器下發(fā)的命令，來或得標(biāo)識類型。這樣交換機(jī)上不需要做任何處理，在數(shù)據(jù)包上它已經(jīng)是一個(gè)虛擬局域網(wǎng)報(bào)文了。而且，由于CAPWAP本身封裝了層報(bào)頭，從以太網(wǎng)層封裝，所以虛擬局域網(wǎng)數(shù)據(jù)報(bào)文在后面。那么收到報(bào)文需要先CAPWAP的解封裝，然后再組包上傳，方便虛擬局域網(wǎng)數(shù)據(jù)處理。

1.3 WLAN中存在的安全問題

WLAN中的存在大量的、不固定、未知的用戶，從安全角度分析，其可能發(fā)生的攻擊及存在的安全風(fēng)險(xiǎn)就會(huì)較大。在WLAN由于用戶的移動(dòng)性及不確定性，無法像局域網(wǎng)通過對用戶、MAC綁定進(jìn)行認(rèn)證，一般只能通過賬號、密碼的Radius方式來認(rèn)證，由于流程復(fù)雜存在很多不確定因素。可能的安全風(fēng)險(xiǎn)如下所示：

（1）用戶信息被盜用風(fēng)險(xiǎn)：在一個(gè)不設(shè)防的WLAN中，由于無線傳播的廣播特性，sniffer、釣魚攻擊、中間人攻擊會(huì)變得非常容易，對于AP及用戶的攻擊不僅會(huì)導(dǎo)致用戶不能接入網(wǎng)絡(luò)，而且用戶隱私信息都會(huì)被盜取，尤其是用戶登錄網(wǎng)絡(luò)的用戶名、密碼等認(rèn)證信息。包括：無線釣魚，獲取敏感信息；無線sniffer攻擊；無線破解攻擊：WEP的破解、WPA的破解。

（2）網(wǎng)絡(luò)不可用風(fēng)險(xiǎn)：ARP攻擊、DHCP攻擊在WLAN中非常容易實(shí)現(xiàn)，攻擊效果非常好。

對于AC的攻擊，由于無線局域網(wǎng)是通過AC實(shí)現(xiàn)對AP的控制，一旦無線控制器被攻破，那么將直接導(dǎo)致所有AP全部掉線。針對AC攻擊隊(duì)網(wǎng)絡(luò)的威脅非常大。Authentication DoS（DHCP地址耗盡攻擊），所有的AP和STA是通過向DHCP服務(wù)器申請IP地址。對DHCP的攻擊如:DHCP spoof和DHCP欺騙攻擊會(huì)變得很容易，攻擊對整個(gè)網(wǎng)絡(luò)的影響非常大。Deauthentication/Disassociation Amo（指定用戶斷線攻擊）。

（3）流量盜用、業(yè)務(wù)濫用的風(fēng)險(xiǎn)

風(fēng)險(xiǎn)一：基于session hijacking的盜取服務(wù)攻擊。風(fēng)險(xiǎn)二：在WLAN系統(tǒng)中，繞過portal認(rèn)證機(jī)制，通過欺騙及非授權(quán)攻擊，原用戶離開后，攻擊用戶采用修改MAC及IP地址的方法繼續(xù)訪問網(wǎng)絡(luò)。并偽造DHCP續(xù)租盜用上網(wǎng)，免費(fèi)使用無線局域網(wǎng)流量上網(wǎng)的問題非常嚴(yán)重。風(fēng)險(xiǎn)三：DNS tunnel:有一些用戶可以通過類似DNS Tunnel的方式，通過DNS協(xié)議完成數(shù)據(jù)的封裝，從而達(dá)到免費(fèi)使用網(wǎng)絡(luò)的目的。

2 WLAN安全運(yùn)維分析

通過對WLAN組網(wǎng)方案，我們不難發(fā)現(xiàn)，WLAN是傳統(tǒng)局域網(wǎng)通過增加AP、AC、認(rèn)證系統(tǒng)的網(wǎng)絡(luò)延伸，STA（無線終端工作站，如無線筆記本，PDA等）通過AC提供的認(rèn)證后，便可進(jìn)行無線計(jì)費(fèi)上網(wǎng)。在WLAN的安全運(yùn)行維護(hù)中需要考慮網(wǎng)絡(luò)的各個(gè)層次，典型問題有：

2.1 AP及用戶安全

對用戶信息的竊聽、截取和監(jiān)聽；欺騙和非授權(quán)訪問；網(wǎng)絡(luò)接管與篡改；拒絕服務(wù)攻擊等。

2.2 AC的安全

對于AP管理平臺(tái)的攻擊;對于數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)的攻擊;安全配置檢查。2.3 對于portal/radius攻擊

跨站;注入;溢出;Radius協(xié)議漏洞;移動(dòng)集團(tuán)WLAN Radius規(guī)范漏洞。2.4 網(wǎng)絡(luò)質(zhì)量

無法連接網(wǎng)絡(luò)；無法通過認(rèn)證；上網(wǎng)速度太慢等等。上所述，由于在無線環(huán)境下中間人攻擊、釣魚攻擊、sniffer會(huì)變得更為容易，對于AP及用戶的攻擊除會(huì)造成用戶無法接入網(wǎng)絡(luò)以外，用戶的數(shù)據(jù)也得不到安全保證，特別是用戶登錄無線網(wǎng)絡(luò)的認(rèn)證信息。對于AC的攻擊，由于我們的網(wǎng)絡(luò)是無線的，任何人都可以很輕松的接入網(wǎng)絡(luò)，一臺(tái)AC通常管理1000—2000個(gè)AP，一旦AC被攻破，那么將直接導(dǎo)致所有AP全部掉線，因此對AC的攻擊威脅較大。

在這種情況下如何能夠提升網(wǎng)絡(luò)服務(wù)質(zhì)量，如何監(jiān)測WLAN網(wǎng)絡(luò)的業(yè)務(wù)質(zhì)量以及WLAN網(wǎng)絡(luò)的安全事件，已經(jīng)成為所有網(wǎng)絡(luò)運(yùn)營者應(yīng)該迫切關(guān)注的工作。

3 WLAN安全保障方案

針對WLAN業(yè)務(wù)質(zhì)量的保障要求，有必要建立一套完整的業(yè)務(wù)保障系統(tǒng)，以期能達(dá)到以下防護(hù)目標(biāo)：

（1）實(shí)時(shí)進(jìn)行安全威脅檢測，并實(shí)時(shí)安全預(yù)警。

（2）完全模擬用戶接入網(wǎng)絡(luò)流程，自動(dòng)檢測WLAN AP熱點(diǎn)的網(wǎng)絡(luò)層、應(yīng)用層和業(yè)務(wù)層的性能指標(biāo)。

（3）無線信號質(zhì)量實(shí)時(shí)監(jiān)測、當(dāng)信號質(zhì)量低于閥值,實(shí)時(shí)預(yù)警。

（4）WLAN業(yè)務(wù)故障能夠在幾分鐘內(nèi)發(fā)現(xiàn)，而不是等運(yùn)維人員到現(xiàn)場才能發(fā)現(xiàn)。

（5）進(jìn)行準(zhǔn)確的網(wǎng)絡(luò)評估，以確定網(wǎng)絡(luò)能夠滿足所有應(yīng)用依照流量計(jì)劃以及指定的網(wǎng)絡(luò)服務(wù)類別正常運(yùn)行。

（6）準(zhǔn)確掌握網(wǎng)絡(luò)運(yùn)行狀況，獲取網(wǎng)絡(luò)性能數(shù)據(jù)。

（7）掌握用戶在使用網(wǎng)絡(luò)中，對不同業(yè)務(wù)的真實(shí)感受。

（8）保障業(yè)務(wù)系統(tǒng)的平穩(wěn)、有效運(yùn)行，減輕網(wǎng)絡(luò)維護(hù)人員的工作量。

（9）采用分布式的結(jié)構(gòu)，可對任何規(guī)?；蛐问降腤LAN網(wǎng)絡(luò)進(jìn)行性能測試。

（10）部署簡單、易維護(hù)、維護(hù)成本低。

4 結(jié)束語

建立一種有效的將WLAN網(wǎng)絡(luò)中業(yè)務(wù)檢測和安全監(jiān)測進(jìn)行融合,將傳統(tǒng)安全和運(yùn)營的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合,全方位的進(jìn)行WLAN運(yùn)維監(jiān)控的安全防護(hù)方案變得異常重要。通過業(yè)務(wù)監(jiān)測實(shí)時(shí)的監(jiān)測核心網(wǎng)絡(luò)的穩(wěn)定性和性能；質(zhì)量檢測可以實(shí)時(shí)檢測WLAN網(wǎng)絡(luò)的傳輸質(zhì)量;安全監(jiān)測和防護(hù)能夠最大限度的降低非法用戶對WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅；進(jìn)而從提高WLAN網(wǎng)絡(luò)服務(wù)質(zhì)量及運(yùn)營效率，保障WLAN網(wǎng)絡(luò)用戶的信息安全。

[1]IEEE 802.1H-1995，MAC bridging and bridge/tunnel encapsulation.

[2]鄭勇，謝永強(qiáng).無線局域網(wǎng)安全技術(shù)及漏洞分析[J].信息安全與通信保密，2007.