校園無(wú)線局域網(wǎng)組網(wǎng)及安全運(yùn)維研究

◆程慶梅

校園無(wú)線局域網(wǎng)組網(wǎng)及安全運(yùn)維研究

◆程慶梅

（北京信息職業(yè)技術(shù)學(xué)院 北京 100015）

本文旨在通過(guò)對(duì)目前校園無(wú)線局域網(wǎng)的組網(wǎng)應(yīng)用及面臨的安全問(wèn)題進(jìn)行分析研究，探索校園無(wú)線局域網(wǎng)安全應(yīng)用的新思路和具體防護(hù)措施及方案。分析表明，隨著社會(huì)的進(jìn)步，無(wú)線局域網(wǎng)的普及，面對(duì)的用戶具有未知性、不可控性，隱含的安全風(fēng)險(xiǎn)變得更大，也更容易受到攻擊，也導(dǎo)致了很多運(yùn)營(yíng)維護(hù)方面的安全問(wèn)題，如用戶投訴無(wú)法連接網(wǎng)絡(luò)、用戶投訴無(wú)法通過(guò)認(rèn)證、用戶投訴上網(wǎng)速度太慢、用戶信息泄漏、釣魚(yú)攻擊等等。從無(wú)線局域網(wǎng)的組網(wǎng)方案中，總結(jié)分析無(wú)線局域網(wǎng)存在的安全問(wèn)題，探索可能的防護(hù)措施及方案，有效提升校園無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)效率，給用戶帶來(lái)更好的上網(wǎng)體驗(yàn)。

無(wú)線局域網(wǎng)；網(wǎng)絡(luò)安全；安全運(yùn)維

0 前言

WLAN（Wireless Local Area Network無(wú)線局域網(wǎng)）屬于一種短距離無(wú)線通信技術(shù)。它是以無(wú)線信道為傳輸媒介構(gòu)成的計(jì)算機(jī)局域網(wǎng)絡(luò)，通過(guò)無(wú)線射頻技術(shù)（RF）在空氣中傳輸數(shù)據(jù)、話音和視頻信號(hào)，實(shí)現(xiàn)網(wǎng)絡(luò)在WLAN系統(tǒng)規(guī)劃熱點(diǎn)的無(wú)線延伸。

隨著影響無(wú)線網(wǎng)絡(luò)穩(wěn)定的因素、影響無(wú)線終端使用效果的因素、影響無(wú)線網(wǎng)絡(luò)異常的因素，屢見(jiàn)不鮮。從而使得運(yùn)營(yíng)的WLAN網(wǎng)絡(luò)在大多數(shù)情況下處于不可用的狀態(tài)，最終造成WLAN用戶對(duì)WLAN業(yè)務(wù)系統(tǒng)的體驗(yàn)性大大下降，造成WLAN用戶群體大量流失。同時(shí)運(yùn)營(yíng)者沒(méi)有充分意識(shí)到安全威脅對(duì)正常運(yùn)營(yíng)WLAN網(wǎng)絡(luò)的業(yè)務(wù)危害。

本文將有效的將業(yè)務(wù)檢測(cè)和安全監(jiān)測(cè)進(jìn)行融合，將傳統(tǒng)安全和運(yùn)營(yíng)的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合，全方位的進(jìn)行WLAN運(yùn)維監(jiān)控。業(yè)務(wù)監(jiān)測(cè)能夠?qū)崟r(shí)的監(jiān)測(cè)核心網(wǎng)絡(luò)的穩(wěn)定性和性能；質(zhì)量檢測(cè)可以實(shí)時(shí)檢測(cè)WLAN網(wǎng)絡(luò)的傳輸質(zhì)量，為運(yùn)營(yíng)者提供有效的分析，幫助運(yùn)營(yíng)者有針對(duì)性的進(jìn)行網(wǎng)絡(luò)優(yōu)化；安全監(jiān)測(cè)和防護(hù)能夠最大限度的降低非法用戶對(duì)WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅，從另一個(gè)角度提高運(yùn)營(yíng)者在WLAN業(yè)務(wù)上的服務(wù)質(zhì)量，包括WLAN網(wǎng)絡(luò)用戶的信息安全。

1 WLAN組網(wǎng)方案分析

1.1 WLAN的組網(wǎng)

WLAN和局域網(wǎng)網(wǎng)絡(luò)存在形態(tài)類似。安全方面來(lái)看，WLAN和局域網(wǎng)有所區(qū)別。

1.2 WLAN的組網(wǎng)層次

分析一下當(dāng)前大多數(shù)WLAN設(shè)備廠商提供的無(wú)線接入點(diǎn)（或稱為AP）與無(wú)線訪問(wèn)控制器（或稱為AC）構(gòu)成的網(wǎng)絡(luò)組網(wǎng)如下。

1.2.1 分布式的無(wú)線接入

通過(guò)無(wú)線接入點(diǎn)來(lái)完成所需求的任務(wù)，使用無(wú)線數(shù)據(jù)的橋接入方式，在硬件上支持無(wú)線射頻轉(zhuǎn)發(fā)到功能上。

1.2.2 數(shù)據(jù)轉(zhuǎn)發(fā)的集中管理

利用無(wú)線控制器集中實(shí)現(xiàn)與Internet互連的準(zhǔn)許。包括對(duì)于用戶認(rèn)證，計(jì)費(fèi)等等功能。

1.2.3 網(wǎng)關(guān)和AC進(jìn)行分離

網(wǎng)關(guān)和無(wú)線控制器隔離，便可更加便利的實(shí)施網(wǎng)絡(luò)的組建，而且有利于無(wú)線局域網(wǎng)的組建更有層次。如果在局域網(wǎng)通過(guò)虛擬局域網(wǎng)分劃的網(wǎng)絡(luò)拓?fù)渲?，在無(wú)線局域網(wǎng)中無(wú)線控制器需要對(duì)所有的無(wú)線接入點(diǎn)進(jìn)行管理和配置，需要使用CAPWAP協(xié)議或者其他協(xié)議創(chuàng)建隧道通信。會(huì)存在如下的問(wèn)題:

（1）虛擬局域網(wǎng)如何解決

無(wú)線接入點(diǎn)和無(wú)線控制器隧道創(chuàng)建一對(duì)一連接的，虛擬局域網(wǎng)的存在對(duì)它來(lái)說(shuō)是沒(méi)用的,虛擬局域網(wǎng)加入會(huì)有影響。無(wú)線接入點(diǎn)接入的switch接口是ACCESS口，而無(wú)線控制器接入switch的接口是TRUNK口。所以，其中一個(gè)到對(duì)端有虛擬局域網(wǎng)標(biāo)識(shí)，另外的沒(méi)有虛擬局域網(wǎng)標(biāo)識(shí),所以在協(xié)議處理層存在不對(duì)等問(wèn)題。

（2）CAPWAP協(xié)議處在網(wǎng)絡(luò)的哪一個(gè)位置

CAPWAP屬應(yīng)用層協(xié)議。所以，無(wú)線接入點(diǎn)和無(wú)線控制器之間的要經(jīng)過(guò)協(xié)議棧處理，然后發(fā)送到上層進(jìn)行處理。對(duì)于CAPWAP封裝的數(shù)據(jù)轉(zhuǎn)發(fā)如如圖1所示。

圖1 WLAN組網(wǎng)中CAPWAP協(xié)議隧道

這里的數(shù)據(jù)通信分為兩個(gè)層次:STA對(duì)Internet的互連是第一層，是TCP/IP協(xié)議。它上傳的數(shù)據(jù)通過(guò)bridge的方式由無(wú)線接入點(diǎn)到switch。因?yàn)樘摂M局域網(wǎng)，它上傳的數(shù)據(jù)通過(guò)switch之后需添加上虛擬局域網(wǎng)標(biāo)記來(lái)標(biāo)識(shí)，接著傳輸?shù)綗o(wú)線控制器中，接著通過(guò)虛擬局域網(wǎng)的虛擬接口再發(fā)送，最終數(shù)據(jù)發(fā)送出去。第二個(gè)層次是AP和AC的直連通信。使用無(wú)線接入點(diǎn)和無(wú)線控制器直接相連，然后創(chuàng)建CAPWAP的協(xié)議通道，這樣可以方便控制信息的發(fā)送。但是這兩種網(wǎng)絡(luò)結(jié)構(gòu)不能夠存在一個(gè)拓?fù)渲?。網(wǎng)絡(luò)接入點(diǎn)和網(wǎng)絡(luò)控制器兩者信息傳輸通過(guò)switch，所以可以沒(méi)有虛擬局域網(wǎng)，從無(wú)線接入點(diǎn)不帶虛擬局域網(wǎng)，經(jīng)過(guò)switch添加上局域網(wǎng)標(biāo)記，然后便要進(jìn)行單獨(dú)的虛擬局域網(wǎng)處理。但是存在兩點(diǎn)問(wèn)題：（1）無(wú)線控制器要求一個(gè)單獨(dú)的虛擬接口處理數(shù)據(jù)；（2）對(duì)switch進(jìn)行配置，但是加上分辨的標(biāo)簽VLAN，網(wǎng)絡(luò)設(shè)備對(duì)虛擬局域網(wǎng)加上標(biāo)識(shí)是不好的，其會(huì)較大的影響網(wǎng)絡(luò)的靈活性。

通過(guò)上述分析，switch是否對(duì)虛擬局域網(wǎng)加上標(biāo)簽，在以上分析中產(chǎn)生了矛盾。在另外一個(gè)項(xiàng)目中發(fā)現(xiàn)，無(wú)線局域網(wǎng)組網(wǎng)是不必對(duì)switch配置：（1）對(duì)switch虛擬局域網(wǎng)加上標(biāo)簽麻煩。（2）無(wú)線接入點(diǎn)數(shù)量會(huì)比較多，需要?jiǎng)澐值奶摂M局域網(wǎng)數(shù)量非常大。假如從硬件上來(lái)完成虛擬局域網(wǎng)的劃分，那么會(huì)花費(fèi)很多財(cái)力。（3）如果無(wú)線控制器和無(wú)線接入點(diǎn)加上switch會(huì)影響控制。但在STA和Internet通信要虛擬局域網(wǎng)來(lái)實(shí)現(xiàn)，最后無(wú)線接入點(diǎn)各家廠商在無(wú)線接入點(diǎn)上完成虛擬局域網(wǎng)加上標(biāo)識(shí)，有無(wú)線控制器下發(fā)的命令，來(lái)或得標(biāo)識(shí)類型。這樣交換機(jī)上不需要做任何處理，在數(shù)據(jù)包上它已經(jīng)是一個(gè)虛擬局域網(wǎng)報(bào)文了。而且，由于CAPWAP本身封裝了層報(bào)頭，從以太網(wǎng)層封裝，所以虛擬局域網(wǎng)數(shù)據(jù)報(bào)文在后面。那么收到報(bào)文需要先CAPWAP的解封裝，然后再組包上傳，方便虛擬局域網(wǎng)數(shù)據(jù)處理。

1.3 WLAN中存在的安全問(wèn)題

WLAN中的存在大量的、不固定、未知的用戶，從安全角度分析，其可能發(fā)生的攻擊及存在的安全風(fēng)險(xiǎn)就會(huì)較大。在WLAN由于用戶的移動(dòng)性及不確定性，無(wú)法像局域網(wǎng)通過(guò)對(duì)用戶、MAC綁定進(jìn)行認(rèn)證，一般只能通過(guò)賬號(hào)、密碼的Radius方式來(lái)認(rèn)證，由于流程復(fù)雜存在很多不確定因素?？赡艿陌踩L(fēng)險(xiǎn)如下所示：

（1）用戶信息被盜用風(fēng)險(xiǎn)：在一個(gè)不設(shè)防的WLAN中，由于無(wú)線傳播的廣播特性，sniffer、釣魚(yú)攻擊、中間人攻擊會(huì)變得非常容易，對(duì)于AP及用戶的攻擊不僅會(huì)導(dǎo)致用戶不能接入網(wǎng)絡(luò)，而且用戶隱私信息都會(huì)被盜取，尤其是用戶登錄網(wǎng)絡(luò)的用戶名、密碼等認(rèn)證信息。包括：無(wú)線釣魚(yú)，獲取敏感信息；無(wú)線sniffer攻擊；無(wú)線破解攻擊：WEP的破解、WPA的破解。

（2）網(wǎng)絡(luò)不可用風(fēng)險(xiǎn)：ARP攻擊、DHCP攻擊在WLAN中非常容易實(shí)現(xiàn)，攻擊效果非常好。

對(duì)于AC的攻擊，由于無(wú)線局域網(wǎng)是通過(guò)AC實(shí)現(xiàn)對(duì)AP的控制，一旦無(wú)線控制器被攻破，那么將直接導(dǎo)致所有AP全部掉線。針對(duì)AC攻擊隊(duì)網(wǎng)絡(luò)的威脅非常大。Authentication DoS（DHCP地址耗盡攻擊），所有的AP和STA是通過(guò)向DHCP服務(wù)器申請(qǐng)IP地址。對(duì)DHCP的攻擊如:DHCP spoof和DHCP欺騙攻擊會(huì)變得很容易，攻擊對(duì)整個(gè)網(wǎng)絡(luò)的影響非常大。Deauthentication/Disassociation Amo（指定用戶斷線攻擊）。

（3）流量盜用、業(yè)務(wù)濫用的風(fēng)險(xiǎn)

風(fēng)險(xiǎn)一：基于session hijacking的盜取服務(wù)攻擊。風(fēng)險(xiǎn)二：在WLAN系統(tǒng)中，繞過(guò)portal認(rèn)證機(jī)制，通過(guò)欺騙及非授權(quán)攻擊，原用戶離開(kāi)后，攻擊用戶采用修改MAC及IP地址的方法繼續(xù)訪問(wèn)網(wǎng)絡(luò)。并偽造DHCP續(xù)租盜用上網(wǎng)，免費(fèi)使用無(wú)線局域網(wǎng)流量上網(wǎng)的問(wèn)題非常嚴(yán)重。風(fēng)險(xiǎn)三：DNS tunnel:有一些用戶可以通過(guò)類似DNS Tunnel的方式，通過(guò)DNS協(xié)議完成數(shù)據(jù)的封裝，從而達(dá)到免費(fèi)使用網(wǎng)絡(luò)的目的。

2 WLAN安全運(yùn)維分析

通過(guò)對(duì)WLAN組網(wǎng)方案，我們不難發(fā)現(xiàn)，WLAN是傳統(tǒng)局域網(wǎng)通過(guò)增加AP、AC、認(rèn)證系統(tǒng)的網(wǎng)絡(luò)延伸，STA（無(wú)線終端工作站，如無(wú)線筆記本，PDA等）通過(guò)AC提供的認(rèn)證后，便可進(jìn)行無(wú)線計(jì)費(fèi)上網(wǎng)。在WLAN的安全運(yùn)行維護(hù)中需要考慮網(wǎng)絡(luò)的各個(gè)層次，典型問(wèn)題有：

2.1 AP及用戶安全

對(duì)用戶信息的竊聽(tīng)、截取和監(jiān)聽(tīng)；欺騙和非授權(quán)訪問(wèn)；網(wǎng)絡(luò)接管與篡改；拒絕服務(wù)攻擊等。

2.2 AC的安全

對(duì)于AP管理平臺(tái)的攻擊;對(duì)于數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)的攻擊;安全配置檢查。2.3 對(duì)于portal/radius攻擊

跨站;注入;溢出;Radius協(xié)議漏洞;移動(dòng)集團(tuán)WLAN Radius規(guī)范漏洞。2.4 網(wǎng)絡(luò)質(zhì)量

無(wú)法連接網(wǎng)絡(luò)；無(wú)法通過(guò)認(rèn)證；上網(wǎng)速度太慢等等。上所述，由于在無(wú)線環(huán)境下中間人攻擊、釣魚(yú)攻擊、sniffer會(huì)變得更為容易，對(duì)于AP及用戶的攻擊除會(huì)造成用戶無(wú)法接入網(wǎng)絡(luò)以外，用戶的數(shù)據(jù)也得不到安全保證，特別是用戶登錄無(wú)線網(wǎng)絡(luò)的認(rèn)證信息。對(duì)于AC的攻擊，由于我們的網(wǎng)絡(luò)是無(wú)線的，任何人都可以很輕松的接入網(wǎng)絡(luò)，一臺(tái)AC通常管理1000—2000個(gè)AP，一旦AC被攻破，那么將直接導(dǎo)致所有AP全部掉線，因此對(duì)AC的攻擊威脅較大。

在這種情況下如何能夠提升網(wǎng)絡(luò)服務(wù)質(zhì)量，如何監(jiān)測(cè)WLAN網(wǎng)絡(luò)的業(yè)務(wù)質(zhì)量以及WLAN網(wǎng)絡(luò)的安全事件，已經(jīng)成為所有網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該迫切關(guān)注的工作。

3 WLAN安全保障方案

針對(duì)WLAN業(yè)務(wù)質(zhì)量的保障要求，有必要建立一套完整的業(yè)務(wù)保障系統(tǒng)，以期能達(dá)到以下防護(hù)目標(biāo)：

（1）實(shí)時(shí)進(jìn)行安全威脅檢測(cè)，并實(shí)時(shí)安全預(yù)警。

（2）完全模擬用戶接入網(wǎng)絡(luò)流程，自動(dòng)檢測(cè)WLAN AP熱點(diǎn)的網(wǎng)絡(luò)層、應(yīng)用層和業(yè)務(wù)層的性能指標(biāo)。

（3）無(wú)線信號(hào)質(zhì)量實(shí)時(shí)監(jiān)測(cè)、當(dāng)信號(hào)質(zhì)量低于閥值,實(shí)時(shí)預(yù)警。

（4）WLAN業(yè)務(wù)故障能夠在幾分鐘內(nèi)發(fā)現(xiàn)，而不是等運(yùn)維人員到現(xiàn)場(chǎng)才能發(fā)現(xiàn)。

（5）進(jìn)行準(zhǔn)確的網(wǎng)絡(luò)評(píng)估，以確定網(wǎng)絡(luò)能夠滿足所有應(yīng)用依照流量計(jì)劃以及指定的網(wǎng)絡(luò)服務(wù)類別正常運(yùn)行。

（6）準(zhǔn)確掌握網(wǎng)絡(luò)運(yùn)行狀況，獲取網(wǎng)絡(luò)性能數(shù)據(jù)。

（7）掌握用戶在使用網(wǎng)絡(luò)中，對(duì)不同業(yè)務(wù)的真實(shí)感受。

（8）保障業(yè)務(wù)系統(tǒng)的平穩(wěn)、有效運(yùn)行，減輕網(wǎng)絡(luò)維護(hù)人員的工作量。

（9）采用分布式的結(jié)構(gòu)，可對(duì)任何規(guī)?；蛐问降腤LAN網(wǎng)絡(luò)進(jìn)行性能測(cè)試。

（10）部署簡(jiǎn)單、易維護(hù)、維護(hù)成本低。

4 結(jié)束語(yǔ)

建立一種有效的將WLAN網(wǎng)絡(luò)中業(yè)務(wù)檢測(cè)和安全監(jiān)測(cè)進(jìn)行融合,將傳統(tǒng)安全和運(yùn)營(yíng)的業(yè)務(wù)可用性進(jìn)行緊密的結(jié)合,全方位的進(jìn)行WLAN運(yùn)維監(jiān)控的安全防護(hù)方案變得異常重要。通過(guò)業(yè)務(wù)監(jiān)測(cè)實(shí)時(shí)的監(jiān)測(cè)核心網(wǎng)絡(luò)的穩(wěn)定性和性能；質(zhì)量檢測(cè)可以實(shí)時(shí)檢測(cè)WLAN網(wǎng)絡(luò)的傳輸質(zhì)量;安全監(jiān)測(cè)和防護(hù)能夠最大限度的降低非法用戶對(duì)WLAN網(wǎng)絡(luò)中設(shè)備的安全威脅；進(jìn)而從提高WLAN網(wǎng)絡(luò)服務(wù)質(zhì)量及運(yùn)營(yíng)效率，保障WLAN網(wǎng)絡(luò)用戶的信息安全。

[1]IEEE 802.1H-1995，MAC bridging and bridge/tunnel encapsulation.

[2]鄭勇，謝永強(qiáng).無(wú)線局域網(wǎng)安全技術(shù)及漏洞分析[J].信息安全與通信保密，2007.