羊城创业产业园无线网络安全及技术防范

杨 正

(羊城晚报报业集团,广东 广州 510660)

0 引言

随着无线网络技术的不断发展,WiFi,5G网络已覆盖城市的各个角落,无线信号早已无处不在。尤其在近几年,大湾区建设催生了很多大型的创意园区,在大型园区如使用有线组网,耗时长,费用昂贵。所以,大型园区使用无线网络路由接入是最便捷、最实惠的手段之一。与此同时,相比有线网络较为稳定的安全管理,无线网络安全问题却日益尖锐。对于企业而言,因无线网络入侵而导致核心机密资料被窃取,将导致无法估量的损失。本文通过分析大型创意园区的无线网络设计及建设过程,探讨如何增强无线网络攻击手段及安全防范手段,为大家提供分析和参考。

1 无线网络覆盖设计

羊城创意产业园位于广州天河核心区域,创意园总占地面积17.1万m2,总建筑面积10.8万m2,地处该市核心区域。为解决园区网络问题,针对园区的无线网络覆盖进行了拓扑设计和建设(见图1),并提前做好了无线网络安全的实施工作。

图1 羊城创意产业园无线网络拓扑

一般企业的无线网络都是由AP+AC组成,AP(Access Point)负责发出用户接入的无线信号,AP的信号理论半径可达300 m,但由于受到各种因素的干扰,实测AP的覆盖范围大概50 m左右。而针对覆盖范围需求较大的创意园区,AP的数量和覆盖点也是一个非常重要的指标。为满足园区内无线信号可以覆盖到任意角落,需要大量的AP协同工作。所有的AP由两台非主备的AC(Access Controller)进行控制,通过设置AP的发射功率,负载均衡等参数让AP设备协同漫游工作。

由于创意园区分为集团办公区域,园区东区、园区西区3个区域,其中集团代号为1-16,东区包括了1-01,1-08,1-15等,西区则为2-27,3-11等。其中东区直接使用集团中心机房内的汇聚交换机,并适配到各企设备间的POE接入层交换机,而西区则在2-27大楼机房部署了一台汇聚交换机,再分到各区域建筑设备间的POE交换机。企业内部均采用室内挂顶AP+面板式AP,企业外部的园区绿地使用室外高密AP。

1.1 AP信号覆盖及接入管理

由于园区实际面积较大,需要接近100台AP协同工作,在设计之初,考虑到假如终端AC控制AP1漫游至AC2管理的AP2,这就属于多AC信号覆盖。在AP的型号选择方面,选择了瘦AP提供无线接入的功能,类似网络层型中的数据链路层交换机的作用,仅负责接入层的工作。而汇聚层的工作则由AC进行负责,当内网用户连接至无线网络,需要经过radius服务器进行安全扫描验证;外网用户接入则需要通过输入手机号及短信验证码,主动被扫描,每半个小时需要重新验证一次外网用户的手机号码信息。

1.2 无线网络信道

IEEE802.11标准的制定始于1987年,目前大范围使用的信道主要有2.5 GHz和5 GH,为此我们安装在园区和企业内部的AP均要求均支持2.4G和5G的工作频率。在实际使用中,我们发现5G信道的速率虽比2.4G快很多,但覆盖范围远不及2.4G,且一些型号比较老旧的手机无法使用5G信道进行上网,为了解决这个问题,我们通过AC主动调整了AP的工作频率,使得相邻的AP可以工作在不同的信道下,避免发生冲突,也可以让不支持5G的手机用户能顺利上网[1]。

2 无线网络安全现状

虽然认为无线网络接入仅作为有线网络的一种补充,但无线网络早已无处不在,无线网络安全级别的要求已和有线网络无本质区别,它需要网络管理人员清楚的识别安全威胁来自哪些环节。以创意园区企业的WiFi网络为例(见图1),园区内部有线网络已经采用了较为完善的安全体系,使用了硬件防火墙、VPN等设备构建了相对安全的网络体系结构,而无线网络是后期新建设的网络,设计之已采用独立专线和核心交换机以及独立的防火墙,但由于无线网络部分的协议依然需要支持内网的业务访问,而入侵者可能会利用破解WEP/WPA密码的方式,从而顺利进入企业内网,并获取内网机器的控制权,这给企业带来的风险是无法估量的。

通过IEEE802.11安全标准结合我方网络的实际使用情况,WiFi安全威胁主要来自以下几个方面:(1)开放园区来宾账号访问WiFi权限导致攻击无处不在;(2)非授权的WiFi设备成了攻击的重点;(3)接入层AP授权方式单一;(4)目前网络上流通着大量的无线网络破解工具;(5)无线网络协议本身较为脆弱的安全防护机制。

当然,从运维创意园区的有线网络的经验来看,包括来自客户端的攻击(拒绝服务攻击、拦截、扫描、抓包等)、干扰、对服务器攻击、路由错误配置等,而新的无线网络安全属于对传统网络安全是一种新增的挑战。

2.1 无线网络加密

2.1.1 WEP加密

IEEE802.11提供了有限等效保密(Wired Equivalent Privacy,WEP)技术,又称无线加密协议(Wireless Encryption Protocol)。WEP包括共享密钥认证和数据加密两个过程,前者使得没有正确密钥的用户无法访问网络,后者则要求所有数据都必须使用密文传输。

认证过程一般采用了标准的询问/响应方式,AP运用共享密钥对128字节的随机序列进行加密后作为询问帧发给用户,用户将收到的询问帧解密后以明文的形式响应;而AP将收到的明文与原始随机序列进行比较,如果两者一致,则认证通过。其中WEP使用了RC4协议进行加密,并使用CRC-32校验保证数据的正确性。

2.1.2 WPA加密

WiFi联盟的厂商为了解决无线网络中暴露的问题,迫不及待的以802.11i草案的一个子集作为蓝图制定了成为WPA(WiFi Protected Access)的安全认证方案,WPA包括了认证、加密和数据完整性校验三部分。

临时密钥完整性协议TKIP是一个短期的解决方案,虽然还是使用RC4加密方法,但是填补了WEP的安全缺陷。在WPA的设计中包含了认证、加密和数据完整性校验3个组成部分。首先,WPA使用了802. 1x协议对用户的MAC地址进行认证;其次,WEP增大了密钥和初始向量的长度,以128位的密钥和48位的初始向量(IV)用于RC4加密。WPA还采用了可以动态改变密钥的临时密钥完整性协议TKIP (Temporary Key Integrity Protoco1),通过更频繁地变换密钥来减少安全风险。最后,WPA强化了数据完整性保护。WEP使用的循环冗余校验方法具有先天性缺陷,在不知道WEP密钥的情况下,如果要续改分组和对应的CRC也是可能的。WPA使用报文完整性编码来检测伪造的数据包,并且在报文认证码中包含有帧计数器,还可以防止重放攻击。

虽然WPA协议看似比WEP协议,但仍然存在不安全的漏洞,后期又新增WPA/WAP2以完善无线网络的认证。

2.2 无线网络攻击

目前,网上有较多免费或收费的无线网络破解工具,经测试大部分的破解原理如下所示:将大量的CAP数据包存入数据库,然后使用AIRCRACK调用数据包进行破解。经测,此方法适用于WEP加密模式的AP,而遇到WPA加密则还需要合法的身份认证,需要通过抓包后方可破解。一般入侵者会通过主动攻击合法用户端,获取客户端的控制权,并使得客户端与AP重新进行3次握手,再进行抓包数据包,或安装后门等待客户端上线后产生握手再进行抓包或拦截。

WPA-PSK、WPA2-PSK是目前较为主流的无线网络加密方式,但由于TKIP与AES自算法漏洞问题,使得WPA也面临着严峻的威胁,其中包括了字典破解和暴力破解等。

3 无线网络安全防范措施

无线组网相比有线网络有更多的优势,例如组网灵活、使用方便、节省成本等,但由于无线信号很容易被监听和拦截,无法确保其安全性,这使得企业很多私密信息存在暴露的风险[2]。

3.1 隔离无线网络与核心网络

在创意园区无线网络建设规划中,利用防火墙将内外网以及无线和有线网络区分开,由于无线网络有单独的专线和核心交换机,并在防火墙和核心交换机之间挂一台行为管理设备。在汇聚层方面可以通过划分了一个管理VLAN和多个业务VLAN,将交换机的管理和园区各企业,各部门,各区域划分开,尽最大可能减少广播域。考虑到在DMZ中服务器的安全性,我们部署无线存取网络,这样即使无线网络客户端被破解,入侵者依然无法攻击有线网络,并入侵服务器[3]。

3.2 定期轮巡

针对无线网络安全服务运维设计了服务级别协议,要求我方网络运维人员根据服务级别协议的运维条例,通过值班轮巡等方式,提前发现未被授权和可能被攻击的站点,并通过物理站点监测,对频繁反复请求的客户端站点进行识别,提前禁用其登录网络的行为。

3.3 和厂商签订应急响应协议

针对无线网络的应急响应需求,运维团队内部除了相应服务级别协议外,也据此拟定了一份运营级别协议(OLA),并和网络专线的供应商、无线网络设备供应商拟定无线网络服务支持协议(UC),要求对方提供无线网络安全及使用方面的应急响应服务,服务时间为5×8×365,其余时段的问题由园区负责轮巡记录的方式上报处理。

4 结语

在移动设备覆盖率越发高涨,无线网络越发普及的今天,网络管理员对无线网络的建设和安全防控已经是一种工作常态。本文从无线信号覆盖和安全两方面对创意园区无线网络进行了分析。为了抵御入侵者,无线网络的安全技术发展经历了WEP,WPA,WPA2等发展和蜕变,但无论是哪一种安全技术,其原理都离不开OSI7层模型,从有线网络的攻防中吸取经验,实现有线和无线网络隔离,统筹管控无线用户,通过radius认证机制保证了用户登录的一致性和使用的安全性。