• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    校園無(wú)線局域網(wǎng)組網(wǎng)及安全運(yùn)維研究

    2017-03-14 02:24:26程慶梅
    關(guān)鍵詞:接入點(diǎn)局域網(wǎng)運(yùn)維

    ◆程慶梅

    校園無(wú)線局域網(wǎng)組網(wǎng)及安全運(yùn)維研究

    ◆程慶梅

    (北京信息職業(yè)技術(shù)學(xué)院 北京 100015)

    本文旨在通過(guò)對(duì)目前校園無(wú)線局域網(wǎng)的組網(wǎng)應(yīng)用及面臨的安全問(wèn)題進(jìn)行分析研究,探索校園無(wú)線局域網(wǎng)安全應(yīng)用的新思路和具體防護(hù)措施及方案。分析表明,隨著社會(huì)的進(jìn)步,無(wú)線局域網(wǎng)的普及,面對(duì)的用戶具有未知性、不可控性,隱含的安全風(fēng)險(xiǎn)變得更大,也更容易受到攻擊,也導(dǎo)致了很多運(yùn)營(yíng)維護(hù)方面的安全問(wèn)題,如用戶投訴無(wú)法連接網(wǎng)絡(luò)、用戶投訴無(wú)法通過(guò)認(rèn)證、用戶投訴上網(wǎng)速度太慢、用戶信息泄漏、釣魚(yú)攻擊等等。從無(wú)線局域網(wǎng)的組網(wǎng)方案中,總結(jié)分析無(wú)線局域網(wǎng)存在的安全問(wèn)題,探索可能的防護(hù)措施及方案,有效提升校園無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)效率,給用戶帶來(lái)更好的上網(wǎng)體驗(yàn)。

    無(wú)線局域網(wǎng);網(wǎng)絡(luò)安全;安全運(yùn)維

    0 前言

    WLAN(Wireless Local Area Network無(wú)線局域網(wǎng))屬于一種短距離無(wú)線通信技術(shù)。它是以無(wú)線信道為傳輸媒介構(gòu)成的計(jì)算機(jī)局域網(wǎng)絡(luò),通過(guò)無(wú)線射頻技術(shù)(RF)在空氣中傳輸數(shù)據(jù)、話音和視頻信號(hào),實(shí)現(xiàn)網(wǎng)絡(luò)在WLAN系統(tǒng)規(guī)劃熱點(diǎn)的無(wú)線延伸。

    隨著影響無(wú)線網(wǎng)絡(luò)穩(wěn)定的因素、影響無(wú)線終端使用效果的因素、影響無(wú)線網(wǎng)絡(luò)異常的因素,屢見(jiàn)不鮮。從而使得運(yùn)營(yíng)的WLAN網(wǎng)絡(luò)在大多數(shù)情況下處于不可用的狀態(tài),最終造成WLAN用戶對(duì)WLAN業(yè)務(wù)系統(tǒng)的體驗(yàn)性大大下降,造成WLAN用戶群體大量流失。同時(shí)運(yùn)營(yíng)者沒(méi)有充分意識(shí)到安全威脅對(duì)正常運(yùn)營(yíng)WLAN網(wǎng)絡(luò)的業(yè)務(wù)危害。

    本文將有效的將業(yè)務(wù)檢測(cè)和安全監(jiān)測(cè)進(jìn)行融合,將傳統(tǒng)安全和運(yùn)營(yíng)的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合,全方位的進(jìn)行WLAN運(yùn)維監(jiān)控。業(yè)務(wù)監(jiān)測(cè)能夠?qū)崟r(shí)的監(jiān)測(cè)核心網(wǎng)絡(luò)的穩(wěn)定性和性能;質(zhì)量檢測(cè)可以實(shí)時(shí)檢測(cè)WLAN網(wǎng)絡(luò)的傳輸質(zhì)量,為運(yùn)營(yíng)者提供有效的分析,幫助運(yùn)營(yíng)者有針對(duì)性的進(jìn)行網(wǎng)絡(luò)優(yōu)化;安全監(jiān)測(cè)和防護(hù)能夠最大限度的降低非法用戶對(duì)WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅,從另一個(gè)角度提高運(yùn)營(yíng)者在WLAN業(yè)務(wù)上的服務(wù)質(zhì)量,包括WLAN網(wǎng)絡(luò)用戶的信息安全。

    1 WLAN組網(wǎng)方案分析

    1.1 WLAN的組網(wǎng)

    WLAN和局域網(wǎng)網(wǎng)絡(luò)存在形態(tài)類似。安全方面來(lái)看,WLAN和局域網(wǎng)有所區(qū)別。

    1.2 WLAN的組網(wǎng)層次

    分析一下當(dāng)前大多數(shù)WLAN設(shè)備廠商提供的無(wú)線接入點(diǎn)(或稱為AP)與無(wú)線訪問(wèn)控制器(或稱為AC)構(gòu)成的網(wǎng)絡(luò)組網(wǎng)如下。

    1.2.1 分布式的無(wú)線接入

    通過(guò)無(wú)線接入點(diǎn)來(lái)完成所需求的任務(wù),使用無(wú)線數(shù)據(jù)的橋接入方式,在硬件上支持無(wú)線射頻轉(zhuǎn)發(fā)到功能上。

    1.2.2 數(shù)據(jù)轉(zhuǎn)發(fā)的集中管理

    利用無(wú)線控制器集中實(shí)現(xiàn)與Internet互連的準(zhǔn)許。包括對(duì)于用戶認(rèn)證,計(jì)費(fèi)等等功能。

    1.2.3 網(wǎng)關(guān)和AC進(jìn)行分離

    網(wǎng)關(guān)和無(wú)線控制器隔離,便可更加便利的實(shí)施網(wǎng)絡(luò)的組建,而且有利于無(wú)線局域網(wǎng)的組建更有層次。如果在局域網(wǎng)通過(guò)虛擬局域網(wǎng)分劃的網(wǎng)絡(luò)拓?fù)渲?,在無(wú)線局域網(wǎng)中無(wú)線控制器需要對(duì)所有的無(wú)線接入點(diǎn)進(jìn)行管理和配置,需要使用CAPWAP協(xié)議或者其他協(xié)議創(chuàng)建隧道通信。會(huì)存在如下的問(wèn)題:

    (1)虛擬局域網(wǎng)如何解決

    無(wú)線接入點(diǎn)和無(wú)線控制器隧道創(chuàng)建一對(duì)一連接的,虛擬局域網(wǎng)的存在對(duì)它來(lái)說(shuō)是沒(méi)用的,虛擬局域網(wǎng)加入會(huì)有影響。無(wú)線接入點(diǎn)接入的switch接口是ACCESS口,而無(wú)線控制器接入switch的接口是TRUNK口。所以,其中一個(gè)到對(duì)端有虛擬局域網(wǎng)標(biāo)識(shí),另外的沒(méi)有虛擬局域網(wǎng)標(biāo)識(shí),所以在協(xié)議處理層存在不對(duì)等問(wèn)題。

    (2)CAPWAP協(xié)議處在網(wǎng)絡(luò)的哪一個(gè)位置

    CAPWAP屬應(yīng)用層協(xié)議。所以,無(wú)線接入點(diǎn)和無(wú)線控制器之間的要經(jīng)過(guò)協(xié)議棧處理,然后發(fā)送到上層進(jìn)行處理。對(duì)于CAPWAP封裝的數(shù)據(jù)轉(zhuǎn)發(fā)如如圖1所示。

    圖1 WLAN組網(wǎng)中CAPWAP協(xié)議隧道

    這里的數(shù)據(jù)通信分為兩個(gè)層次:STA對(duì)Internet的互連是第一層,是TCP/IP協(xié)議。它上傳的數(shù)據(jù)通過(guò)bridge的方式由無(wú)線接入點(diǎn)到switch。因?yàn)樘摂M局域網(wǎng),它上傳的數(shù)據(jù)通過(guò)switch之后需添加上虛擬局域網(wǎng)標(biāo)記來(lái)標(biāo)識(shí),接著傳輸?shù)綗o(wú)線控制器中,接著通過(guò)虛擬局域網(wǎng)的虛擬接口再發(fā)送,最終數(shù)據(jù)發(fā)送出去。第二個(gè)層次是AP和AC的直連通信。使用無(wú)線接入點(diǎn)和無(wú)線控制器直接相連,然后創(chuàng)建CAPWAP的協(xié)議通道,這樣可以方便控制信息的發(fā)送。但是這兩種網(wǎng)絡(luò)結(jié)構(gòu)不能夠存在一個(gè)拓?fù)渲?。網(wǎng)絡(luò)接入點(diǎn)和網(wǎng)絡(luò)控制器兩者信息傳輸通過(guò)switch,所以可以沒(méi)有虛擬局域網(wǎng),從無(wú)線接入點(diǎn)不帶虛擬局域網(wǎng),經(jīng)過(guò)switch添加上局域網(wǎng)標(biāo)記,然后便要進(jìn)行單獨(dú)的虛擬局域網(wǎng)處理。但是存在兩點(diǎn)問(wèn)題:(1)無(wú)線控制器要求一個(gè)單獨(dú)的虛擬接口處理數(shù)據(jù);(2)對(duì)switch進(jìn)行配置,但是加上分辨的標(biāo)簽VLAN,網(wǎng)絡(luò)設(shè)備對(duì)虛擬局域網(wǎng)加上標(biāo)識(shí)是不好的,其會(huì)較大的影響網(wǎng)絡(luò)的靈活性。

    通過(guò)上述分析,switch是否對(duì)虛擬局域網(wǎng)加上標(biāo)簽,在以上分析中產(chǎn)生了矛盾。在另外一個(gè)項(xiàng)目中發(fā)現(xiàn),無(wú)線局域網(wǎng)組網(wǎng)是不必對(duì)switch配置:(1)對(duì)switch虛擬局域網(wǎng)加上標(biāo)簽麻煩。(2)無(wú)線接入點(diǎn)數(shù)量會(huì)比較多,需要?jiǎng)澐值奶摂M局域網(wǎng)數(shù)量非常大。假如從硬件上來(lái)完成虛擬局域網(wǎng)的劃分,那么會(huì)花費(fèi)很多財(cái)力。(3)如果無(wú)線控制器和無(wú)線接入點(diǎn)加上switch會(huì)影響控制。但在STA和Internet通信要虛擬局域網(wǎng)來(lái)實(shí)現(xiàn),最后無(wú)線接入點(diǎn)各家廠商在無(wú)線接入點(diǎn)上完成虛擬局域網(wǎng)加上標(biāo)識(shí),有無(wú)線控制器下發(fā)的命令,來(lái)或得標(biāo)識(shí)類型。這樣交換機(jī)上不需要做任何處理,在數(shù)據(jù)包上它已經(jīng)是一個(gè)虛擬局域網(wǎng)報(bào)文了。而且,由于CAPWAP本身封裝了層報(bào)頭,從以太網(wǎng)層封裝,所以虛擬局域網(wǎng)數(shù)據(jù)報(bào)文在后面。那么收到報(bào)文需要先CAPWAP的解封裝,然后再組包上傳,方便虛擬局域網(wǎng)數(shù)據(jù)處理。

    1.3 WLAN中存在的安全問(wèn)題

    WLAN中的存在大量的、不固定、未知的用戶,從安全角度分析,其可能發(fā)生的攻擊及存在的安全風(fēng)險(xiǎn)就會(huì)較大。在WLAN由于用戶的移動(dòng)性及不確定性,無(wú)法像局域網(wǎng)通過(guò)對(duì)用戶、MAC綁定進(jìn)行認(rèn)證,一般只能通過(guò)賬號(hào)、密碼的Radius方式來(lái)認(rèn)證,由于流程復(fù)雜存在很多不確定因素??赡艿陌踩L(fēng)險(xiǎn)如下所示:

    (1)用戶信息被盜用風(fēng)險(xiǎn):在一個(gè)不設(shè)防的WLAN中,由于無(wú)線傳播的廣播特性,sniffer、釣魚(yú)攻擊、中間人攻擊會(huì)變得非常容易,對(duì)于AP及用戶的攻擊不僅會(huì)導(dǎo)致用戶不能接入網(wǎng)絡(luò),而且用戶隱私信息都會(huì)被盜取,尤其是用戶登錄網(wǎng)絡(luò)的用戶名、密碼等認(rèn)證信息。包括:無(wú)線釣魚(yú),獲取敏感信息;無(wú)線sniffer攻擊;無(wú)線破解攻擊:WEP的破解、WPA的破解。

    (2)網(wǎng)絡(luò)不可用風(fēng)險(xiǎn):ARP攻擊、DHCP攻擊在WLAN中非常容易實(shí)現(xiàn),攻擊效果非常好。

    對(duì)于AC的攻擊,由于無(wú)線局域網(wǎng)是通過(guò)AC實(shí)現(xiàn)對(duì)AP的控制,一旦無(wú)線控制器被攻破,那么將直接導(dǎo)致所有AP全部掉線。針對(duì)AC攻擊隊(duì)網(wǎng)絡(luò)的威脅非常大。Authentication DoS(DHCP地址耗盡攻擊),所有的AP和STA是通過(guò)向DHCP服務(wù)器申請(qǐng)IP地址。對(duì)DHCP的攻擊如:DHCP spoof和DHCP欺騙攻擊會(huì)變得很容易,攻擊對(duì)整個(gè)網(wǎng)絡(luò)的影響非常大。Deauthentication/Disassociation Amo(指定用戶斷線攻擊)。

    (3)流量盜用、業(yè)務(wù)濫用的風(fēng)險(xiǎn)

    風(fēng)險(xiǎn)一:基于session hijacking的盜取服務(wù)攻擊。風(fēng)險(xiǎn)二:在WLAN系統(tǒng)中,繞過(guò)portal認(rèn)證機(jī)制,通過(guò)欺騙及非授權(quán)攻擊,原用戶離開(kāi)后,攻擊用戶采用修改MAC及IP地址的方法繼續(xù)訪問(wèn)網(wǎng)絡(luò)。并偽造DHCP續(xù)租盜用上網(wǎng),免費(fèi)使用無(wú)線局域網(wǎng)流量上網(wǎng)的問(wèn)題非常嚴(yán)重。風(fēng)險(xiǎn)三:DNS tunnel:有一些用戶可以通過(guò)類似DNS Tunnel的方式,通過(guò)DNS協(xié)議完成數(shù)據(jù)的封裝,從而達(dá)到免費(fèi)使用網(wǎng)絡(luò)的目的。

    2 WLAN安全運(yùn)維分析

    通過(guò)對(duì)WLAN組網(wǎng)方案,我們不難發(fā)現(xiàn),WLAN是傳統(tǒng)局域網(wǎng)通過(guò)增加AP、AC、認(rèn)證系統(tǒng)的網(wǎng)絡(luò)延伸,STA(無(wú)線終端工作站,如無(wú)線筆記本,PDA等)通過(guò)AC提供的認(rèn)證后,便可進(jìn)行無(wú)線計(jì)費(fèi)上網(wǎng)。在WLAN的安全運(yùn)行維護(hù)中需要考慮網(wǎng)絡(luò)的各個(gè)層次,典型問(wèn)題有:

    2.1 AP及用戶安全

    對(duì)用戶信息的竊聽(tīng)、截取和監(jiān)聽(tīng);欺騙和非授權(quán)訪問(wèn);網(wǎng)絡(luò)接管與篡改;拒絕服務(wù)攻擊等。

    2.2 AC的安全

    對(duì)于AP管理平臺(tái)的攻擊;對(duì)于數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)的攻擊;安全配置檢查。2.3 對(duì)于portal/radius攻擊

    跨站;注入;溢出;Radius協(xié)議漏洞;移動(dòng)集團(tuán)WLAN Radius規(guī)范漏洞。2.4 網(wǎng)絡(luò)質(zhì)量

    無(wú)法連接網(wǎng)絡(luò);無(wú)法通過(guò)認(rèn)證;上網(wǎng)速度太慢等等。上所述,由于在無(wú)線環(huán)境下中間人攻擊、釣魚(yú)攻擊、sniffer會(huì)變得更為容易,對(duì)于AP及用戶的攻擊除會(huì)造成用戶無(wú)法接入網(wǎng)絡(luò)以外,用戶的數(shù)據(jù)也得不到安全保證,特別是用戶登錄無(wú)線網(wǎng)絡(luò)的認(rèn)證信息。對(duì)于AC的攻擊,由于我們的網(wǎng)絡(luò)是無(wú)線的,任何人都可以很輕松的接入網(wǎng)絡(luò),一臺(tái)AC通常管理1000—2000個(gè)AP,一旦AC被攻破,那么將直接導(dǎo)致所有AP全部掉線,因此對(duì)AC的攻擊威脅較大。

    在這種情況下如何能夠提升網(wǎng)絡(luò)服務(wù)質(zhì)量,如何監(jiān)測(cè)WLAN網(wǎng)絡(luò)的業(yè)務(wù)質(zhì)量以及WLAN網(wǎng)絡(luò)的安全事件,已經(jīng)成為所有網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該迫切關(guān)注的工作。

    3 WLAN安全保障方案

    針對(duì)WLAN業(yè)務(wù)質(zhì)量的保障要求,有必要建立一套完整的業(yè)務(wù)保障系統(tǒng),以期能達(dá)到以下防護(hù)目標(biāo):

    (1)實(shí)時(shí)進(jìn)行安全威脅檢測(cè),并實(shí)時(shí)安全預(yù)警。

    (2)完全模擬用戶接入網(wǎng)絡(luò)流程,自動(dòng)檢測(cè)WLAN AP熱點(diǎn)的網(wǎng)絡(luò)層、應(yīng)用層和業(yè)務(wù)層的性能指標(biāo)。

    (3)無(wú)線信號(hào)質(zhì)量實(shí)時(shí)監(jiān)測(cè)、當(dāng)信號(hào)質(zhì)量低于閥值,實(shí)時(shí)預(yù)警。

    (4)WLAN業(yè)務(wù)故障能夠在幾分鐘內(nèi)發(fā)現(xiàn),而不是等運(yùn)維人員到現(xiàn)場(chǎng)才能發(fā)現(xiàn)。

    (5)進(jìn)行準(zhǔn)確的網(wǎng)絡(luò)評(píng)估,以確定網(wǎng)絡(luò)能夠滿足所有應(yīng)用依照流量計(jì)劃以及指定的網(wǎng)絡(luò)服務(wù)類別正常運(yùn)行。

    (6)準(zhǔn)確掌握網(wǎng)絡(luò)運(yùn)行狀況,獲取網(wǎng)絡(luò)性能數(shù)據(jù)。

    (7)掌握用戶在使用網(wǎng)絡(luò)中,對(duì)不同業(yè)務(wù)的真實(shí)感受。

    (8)保障業(yè)務(wù)系統(tǒng)的平穩(wěn)、有效運(yùn)行,減輕網(wǎng)絡(luò)維護(hù)人員的工作量。

    (9)采用分布式的結(jié)構(gòu),可對(duì)任何規(guī)?;蛐问降腤LAN網(wǎng)絡(luò)進(jìn)行性能測(cè)試。

    (10)部署簡(jiǎn)單、易維護(hù)、維護(hù)成本低。

    4 結(jié)束語(yǔ)

    建立一種有效的將WLAN網(wǎng)絡(luò)中業(yè)務(wù)檢測(cè)和安全監(jiān)測(cè)進(jìn)行融合,將傳統(tǒng)安全和運(yùn)營(yíng)的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合,全方位的進(jìn)行WLAN運(yùn)維監(jiān)控的安全防護(hù)方案變得異常重要。通過(guò)業(yè)務(wù)監(jiān)測(cè)實(shí)時(shí)的監(jiān)測(cè)核心網(wǎng)絡(luò)的穩(wěn)定性和性能;質(zhì)量檢測(cè)可以實(shí)時(shí)檢測(cè)WLAN網(wǎng)絡(luò)的傳輸質(zhì)量;安全監(jiān)測(cè)和防護(hù)能夠最大限度的降低非法用戶對(duì)WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅;進(jìn)而從提高WLAN網(wǎng)絡(luò)服務(wù)質(zhì)量及運(yùn)營(yíng)效率,保障WLAN網(wǎng)絡(luò)用戶的信息安全。

    [1]IEEE 802.1H-1995,MAC bridging and bridge/tunnel encapsulation.

    [2]鄭勇,謝永強(qiáng).無(wú)線局域網(wǎng)安全技術(shù)及漏洞分析[J].信息安全與通信保密,2007.

    猜你喜歡
    接入點(diǎn)局域網(wǎng)運(yùn)維
    基于無(wú)線通信的信號(hào)系統(tǒng)AP接入點(diǎn)改造方案
    基于VPN的機(jī)房局域網(wǎng)遠(yuǎn)程控制系統(tǒng)
    電子制作(2019年16期)2019-09-27 09:35:04
    運(yùn)維技術(shù)研發(fā)決策中ITSS運(yùn)維成熟度模型應(yīng)用初探
    風(fēng)電運(yùn)維困局
    能源(2018年8期)2018-09-21 07:57:24
    基于802.1Q協(xié)議的虛擬局域網(wǎng)技術(shù)研究與實(shí)現(xiàn)
    電子制作(2017年17期)2017-12-18 06:40:48
    雜亂無(wú)章的光伏運(yùn)維 百億市場(chǎng)如何成長(zhǎng)
    能源(2017年11期)2017-12-13 08:12:25
    局域網(wǎng)性能的優(yōu)化
    電子制作(2017年8期)2017-06-05 09:36:15
    基于ITIL的運(yùn)維管理創(chuàng)新實(shí)踐淺析
    關(guān)于綜合業(yè)務(wù)接入點(diǎn)選點(diǎn)方案的探討
    基于風(fēng)電接入點(diǎn)的配電網(wǎng)分區(qū)保護(hù)方案研究
    嵊州市| 蓬莱市| 密云县| 布尔津县| 临朐县| 张北县| 增城市| 孝义市| 鹰潭市| 农安县| 临桂县| 鹤山市| 藁城市| 辽阳市| 英德市| 井冈山市| 赤水市| 淮阳县| 福泉市| 井陉县| 从江县| 阳朔县| 石城县| 晴隆县| 宁河县| 普宁市| 股票| 潮州市| 宜城市| 蚌埠市| 喀什市| 景宁| 吉首市| 孟村| 微山县| 志丹县| 斗六市| 光山县| 出国| 剑阁县| 太白县|