楊 正

(羊城晚報報業(yè)集團,廣東 廣州 510660)

0 引言

隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,WiFi,5G網(wǎng)絡(luò)已覆蓋城市的各個角落,無線信號早已無處不在。尤其在近幾年,大灣區(qū)建設(shè)催生了很多大型的創(chuàng)意園區(qū),在大型園區(qū)如使用有線組網(wǎng),耗時長,費用昂貴。所以,大型園區(qū)使用無線網(wǎng)絡(luò)路由接入是最便捷、最實惠的手段之一。與此同時,相比有線網(wǎng)絡(luò)較為穩(wěn)定的安全管理,無線網(wǎng)絡(luò)安全問題卻日益尖銳。對于企業(yè)而言,因無線網(wǎng)絡(luò)入侵而導(dǎo)致核心機密資料被竊取,將導(dǎo)致無法估量的損失。本文通過分析大型創(chuàng)意園區(qū)的無線網(wǎng)絡(luò)設(shè)計及建設(shè)過程,探討如何增強無線網(wǎng)絡(luò)攻擊手段及安全防范手段,為大家提供分析和參考。

1 無線網(wǎng)絡(luò)覆蓋設(shè)計

羊城創(chuàng)意產(chǎn)業(yè)園位于廣州天河核心區(qū)域,創(chuàng)意園總占地面積17.1萬m2,總建筑面積10.8萬m2,地處該市核心區(qū)域。為解決園區(qū)網(wǎng)絡(luò)問題,針對園區(qū)的無線網(wǎng)絡(luò)覆蓋進(jìn)行了拓?fù)湓O(shè)計和建設(shè)(見圖1),并提前做好了無線網(wǎng)絡(luò)安全的實施工作。

圖1 羊城創(chuàng)意產(chǎn)業(yè)園無線網(wǎng)絡(luò)拓?fù)?/p>

一般企業(yè)的無線網(wǎng)絡(luò)都是由AP+AC組成,AP(Access Point)負(fù)責(zé)發(fā)出用戶接入的無線信號,AP的信號理論半徑可達(dá)300 m,但由于受到各種因素的干擾,實測AP的覆蓋范圍大概50 m左右。而針對覆蓋范圍需求較大的創(chuàng)意園區(qū),AP的數(shù)量和覆蓋點也是一個非常重要的指標(biāo)。為滿足園區(qū)內(nèi)無線信號可以覆蓋到任意角落,需要大量的AP協(xié)同工作。所有的AP由兩臺非主備的AC(Access Controller)進(jìn)行控制,通過設(shè)置AP的發(fā)射功率,負(fù)載均衡等參數(shù)讓AP設(shè)備協(xié)同漫游工作。

由于創(chuàng)意園區(qū)分為集團辦公區(qū)域,園區(qū)東區(qū)、園區(qū)西區(qū)3個區(qū)域,其中集團代號為1-16,東區(qū)包括了1-01,1-08,1-15等,西區(qū)則為2-27,3-11等。其中東區(qū)直接使用集團中心機房內(nèi)的匯聚交換機,并適配到各企設(shè)備間的POE接入層交換機,而西區(qū)則在2-27大樓機房部署了一臺匯聚交換機,再分到各區(qū)域建筑設(shè)備間的POE交換機。企業(yè)內(nèi)部均采用室內(nèi)掛頂AP+面板式AP,企業(yè)外部的園區(qū)綠地使用室外高密AP。

1.1 AP信號覆蓋及接入管理

由于園區(qū)實際面積較大,需要接近100臺AP協(xié)同工作,在設(shè)計之初,考慮到假如終端AC控制AP1漫游至AC2管理的AP2,這就屬于多AC信號覆蓋。在AP的型號選擇方面,選擇了瘦AP提供無線接入的功能,類似網(wǎng)絡(luò)層型中的數(shù)據(jù)鏈路層交換機的作用,僅負(fù)責(zé)接入層的工作。而匯聚層的工作則由AC進(jìn)行負(fù)責(zé),當(dāng)內(nèi)網(wǎng)用戶連接至無線網(wǎng)絡(luò),需要經(jīng)過radius服務(wù)器進(jìn)行安全掃描驗證;外網(wǎng)用戶接入則需要通過輸入手機號及短信驗證碼,主動被掃描,每半個小時需要重新驗證一次外網(wǎng)用戶的手機號碼信息。

1.2 無線網(wǎng)絡(luò)信道

IEEE802.11標(biāo)準(zhǔn)的制定始于1987年,目前大范圍使用的信道主要有2.5 GHz和5 GH,為此我們安裝在園區(qū)和企業(yè)內(nèi)部的AP均要求均支持2.4G和5G的工作頻率。在實際使用中,我們發(fā)現(xiàn)5G信道的速率雖比2.4G快很多,但覆蓋范圍遠(yuǎn)不及2.4G,且一些型號比較老舊的手機無法使用5G信道進(jìn)行上網(wǎng),為了解決這個問題,我們通過AC主動調(diào)整了AP的工作頻率,使得相鄰的AP可以工作在不同的信道下,避免發(fā)生沖突,也可以讓不支持5G的手機用戶能順利上網(wǎng)[1]。

2 無線網(wǎng)絡(luò)安全現(xiàn)狀

雖然認(rèn)為無線網(wǎng)絡(luò)接入僅作為有線網(wǎng)絡(luò)的一種補充,但無線網(wǎng)絡(luò)早已無處不在,無線網(wǎng)絡(luò)安全級別的要求已和有線網(wǎng)絡(luò)無本質(zhì)區(qū)別,它需要網(wǎng)絡(luò)管理人員清楚的識別安全威脅來自哪些環(huán)節(jié)。以創(chuàng)意園區(qū)企業(yè)的WiFi網(wǎng)絡(luò)為例(見圖1),園區(qū)內(nèi)部有線網(wǎng)絡(luò)已經(jīng)采用了較為完善的安全體系,使用了硬件防火墻、VPN等設(shè)備構(gòu)建了相對安全的網(wǎng)絡(luò)體系結(jié)構(gòu),而無線網(wǎng)絡(luò)是后期新建設(shè)的網(wǎng)絡(luò),設(shè)計之已采用獨立專線和核心交換機以及獨立的防火墻,但由于無線網(wǎng)絡(luò)部分的協(xié)議依然需要支持內(nèi)網(wǎng)的業(yè)務(wù)訪問,而入侵者可能會利用破解WEP/WPA密碼的方式,從而順利進(jìn)入企業(yè)內(nèi)網(wǎng),并獲取內(nèi)網(wǎng)機器的控制權(quán),這給企業(yè)帶來的風(fēng)險是無法估量的。

通過IEEE802.11安全標(biāo)準(zhǔn)結(jié)合我方網(wǎng)絡(luò)的實際使用情況,WiFi安全威脅主要來自以下幾個方面:(1)開放園區(qū)來賓賬號訪問WiFi權(quán)限導(dǎo)致攻擊無處不在;(2)非授權(quán)的WiFi設(shè)備成了攻擊的重點;(3)接入層AP授權(quán)方式單一;(4)目前網(wǎng)絡(luò)上流通著大量的無線網(wǎng)絡(luò)破解工具;(5)無線網(wǎng)絡(luò)協(xié)議本身較為脆弱的安全防護(hù)機制。

當(dāng)然,從運維創(chuàng)意園區(qū)的有線網(wǎng)絡(luò)的經(jīng)驗來看,包括來自客戶端的攻擊(拒絕服務(wù)攻擊、攔截、掃描、抓包等)、干擾、對服務(wù)器攻擊、路由錯誤配置等,而新的無線網(wǎng)絡(luò)安全屬于對傳統(tǒng)網(wǎng)絡(luò)安全是一種新增的挑戰(zhàn)。

2.1 無線網(wǎng)絡(luò)加密

2.1.1 WEP加密

IEEE802.11提供了有限等效保密(Wired Equivalent Privacy,WEP)技術(shù),又稱無線加密協(xié)議(Wireless Encryption Protocol)。WEP包括共享密鑰認(rèn)證和數(shù)據(jù)加密兩個過程,前者使得沒有正確密鑰的用戶無法訪問網(wǎng)絡(luò),后者則要求所有數(shù)據(jù)都必須使用密文傳輸。

認(rèn)證過程一般采用了標(biāo)準(zhǔn)的詢問/響應(yīng)方式,AP運用共享密鑰對128字節(jié)的隨機序列進(jìn)行加密后作為詢問幀發(fā)給用戶,用戶將收到的詢問幀解密后以明文的形式響應(yīng);而AP將收到的明文與原始隨機序列進(jìn)行比較,如果兩者一致,則認(rèn)證通過。其中WEP使用了RC4協(xié)議進(jìn)行加密,并使用CRC-32校驗保證數(shù)據(jù)的正確性。

2.1.2 WPA加密

WiFi聯(lián)盟的廠商為了解決無線網(wǎng)絡(luò)中暴露的問題,迫不及待的以802.11i草案的一個子集作為藍(lán)圖制定了成為WPA(WiFi Protected Access)的安全認(rèn)證方案,WPA包括了認(rèn)證、加密和數(shù)據(jù)完整性校驗三部分。

臨時密鑰完整性協(xié)議TKIP是一個短期的解決方案,雖然還是使用RC4加密方法,但是填補了WEP的安全缺陷。在WPA的設(shè)計中包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗3個組成部分。首先,WPA使用了802. 1x協(xié)議對用戶的MAC地址進(jìn)行認(rèn)證;其次,WEP增大了密鑰和初始向量的長度,以128位的密鑰和48位的初始向量(IV)用于RC4加密。WPA還采用了可以動態(tài)改變密鑰的臨時密鑰完整性協(xié)議TKIP (Temporary Key Integrity Protoco1),通過更頻繁地變換密鑰來減少安全風(fēng)險。最后,WPA強化了數(shù)據(jù)完整性保護(hù)。WEP使用的循環(huán)冗余校驗方法具有先天性缺陷,在不知道WEP密鑰的情況下,如果要續(xù)改分組和對應(yīng)的CRC也是可能的。WPA使用報文完整性編碼來檢測偽造的數(shù)據(jù)包,并且在報文認(rèn)證碼中包含有幀計數(shù)器,還可以防止重放攻擊。

雖然WPA協(xié)議看似比WEP協(xié)議,但仍然存在不安全的漏洞,后期又新增WPA/WAP2以完善無線網(wǎng)絡(luò)的認(rèn)證。

2.2 無線網(wǎng)絡(luò)攻擊

目前,網(wǎng)上有較多免費或收費的無線網(wǎng)絡(luò)破解工具,經(jīng)測試大部分的破解原理如下所示:將大量的CAP數(shù)據(jù)包存入數(shù)據(jù)庫,然后使用AIRCRACK調(diào)用數(shù)據(jù)包進(jìn)行破解。經(jīng)測,此方法適用于WEP加密模式的AP,而遇到WPA加密則還需要合法的身份認(rèn)證,需要通過抓包后方可破解。一般入侵者會通過主動攻擊合法用戶端,獲取客戶端的控制權(quán),并使得客戶端與AP重新進(jìn)行3次握手,再進(jìn)行抓包數(shù)據(jù)包,或安裝后門等待客戶端上線后產(chǎn)生握手再進(jìn)行抓包或攔截。

WPA-PSK、WPA2-PSK是目前較為主流的無線網(wǎng)絡(luò)加密方式,但由于TKIP與AES自算法漏洞問題,使得WPA也面臨著嚴(yán)峻的威脅,其中包括了字典破解和暴力破解等。

3 無線網(wǎng)絡(luò)安全防范措施

無線組網(wǎng)相比有線網(wǎng)絡(luò)有更多的優(yōu)勢,例如組網(wǎng)靈活、使用方便、節(jié)省成本等,但由于無線信號很容易被監(jiān)聽和攔截,無法確保其安全性,這使得企業(yè)很多私密信息存在暴露的風(fēng)險[2]。

3.1 隔離無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)

在創(chuàng)意園區(qū)無線網(wǎng)絡(luò)建設(shè)規(guī)劃中,利用防火墻將內(nèi)外網(wǎng)以及無線和有線網(wǎng)絡(luò)區(qū)分開,由于無線網(wǎng)絡(luò)有單獨的專線和核心交換機,并在防火墻和核心交換機之間掛一臺行為管理設(shè)備。在匯聚層方面可以通過劃分了一個管理VLAN和多個業(yè)務(wù)VLAN,將交換機的管理和園區(qū)各企業(yè),各部門,各區(qū)域劃分開,盡最大可能減少廣播域。考慮到在DMZ中服務(wù)器的安全性,我們部署無線存取網(wǎng)絡(luò),這樣即使無線網(wǎng)絡(luò)客戶端被破解,入侵者依然無法攻擊有線網(wǎng)絡(luò),并入侵服務(wù)器[3]。

3.2 定期輪巡

針對無線網(wǎng)絡(luò)安全服務(wù)運維設(shè)計了服務(wù)級別協(xié)議,要求我方網(wǎng)絡(luò)運維人員根據(jù)服務(wù)級別協(xié)議的運維條例,通過值班輪巡等方式,提前發(fā)現(xiàn)未被授權(quán)和可能被攻擊的站點,并通過物理站點監(jiān)測,對頻繁反復(fù)請求的客戶端站點進(jìn)行識別,提前禁用其登錄網(wǎng)絡(luò)的行為。

3.3 和廠商簽訂應(yīng)急響應(yīng)協(xié)議

針對無線網(wǎng)絡(luò)的應(yīng)急響應(yīng)需求,運維團隊內(nèi)部除了相應(yīng)服務(wù)級別協(xié)議外,也據(jù)此擬定了一份運營級別協(xié)議(OLA),并和網(wǎng)絡(luò)專線的供應(yīng)商、無線網(wǎng)絡(luò)設(shè)備供應(yīng)商擬定無線網(wǎng)絡(luò)服務(wù)支持協(xié)議(UC),要求對方提供無線網(wǎng)絡(luò)安全及使用方面的應(yīng)急響應(yīng)服務(wù),服務(wù)時間為5×8×365,其余時段的問題由園區(qū)負(fù)責(zé)輪巡記錄的方式上報處理。

4 結(jié)語

在移動設(shè)備覆蓋率越發(fā)高漲,無線網(wǎng)絡(luò)越發(fā)普及的今天,網(wǎng)絡(luò)管理員對無線網(wǎng)絡(luò)的建設(shè)和安全防控已經(jīng)是一種工作常態(tài)。本文從無線信號覆蓋和安全兩方面對創(chuàng)意園區(qū)無線網(wǎng)絡(luò)進(jìn)行了分析。為了抵御入侵者,無線網(wǎng)絡(luò)的安全技術(shù)發(fā)展經(jīng)歷了WEP,WPA,WPA2等發(fā)展和蛻變,但無論是哪一種安全技術(shù),其原理都離不開OSI7層模型,從有線網(wǎng)絡(luò)的攻防中吸取經(jīng)驗,實現(xiàn)有線和無線網(wǎng)絡(luò)隔離,統(tǒng)籌管控?zé)o線用戶,通過radius認(rèn)證機制保證了用戶登錄的一致性和使用的安全性。