無線局域網非法接入點的探測和處理

冀明 趙浩全

摘 要:近年來,無線局域網以它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢等特點得以迅速發展。但是隨著無線局域網應用領域的不斷拓展,無線局域網受到越來越多的威脅。本文將深入探討無線局域網非法接入點對企業及其網絡帶來的巨大安全威脅,以及如何緩解或消除這種威脅。

關鍵詞:無線局域網探測處理

中圖分類號:TP319.3 文獻標識碼:A 文章編號:1672-3791(2012)07(b)-0011-03

無線局域網具有使用靈活方便,成本較低等優點,但由于無線電波可以輕易穿透墻壁,窗戶等屏障,入侵者就可以在戶外輕易的利用無線局域網的安全漏洞入侵用戶所在的以太網。無線局域網的發展前景極其廣闊,是未來網絡發展的一個重要的方向,但是無線局域網的安全問題,成為當今一個非常重要的研究課題,也正是因為這個安全因素,限制了無線局域網的蓬勃發展。本文將就無線局域網的安全薄弱環節—非法接入點的安全問題進行深入探討,同時介紹如何使用技術手段防止非法接入點的接入。

1非法接入點概述

無線接入點即無線AP(AccessPoint)它是用于無線網絡的無線交換機,也是無線網絡的核心[1]。無線AP是移動計算機用戶進入有線網絡的接入點,主要用于寬帶家庭、大樓內部以及園區內部,典型距離覆蓋幾十米至上百米,目前主要技術為802.11系列。

1.1 非法接入點帶來的問題

非法接入點指的是未經許可而被安裝的接入點。它可能會給安全敏感的企業網絡造成一個后門,從而對企業的信息安全帶來極大威脅。攻擊者可以通過后門對一個受保護的網絡進行訪問,從而繞開“前門”的所有安全措施。

無線信號是在空氣中進行傳播的,因此在大多數情況下沒有傳輸屏障。它們可以穿過墻壁和屏障,到達公司建筑外很遠的地方。這些無線信號既可能來自非法接入點又可能來自合法接入點。它們代表的敏感數據或機密信息既可能來自企業內部,也可能來自員工在企業外部使用的移動設備,若入侵者能夠連接企業內部的局域網,則將會對企業以太網的安全性造成威脅,若是用戶連接了入侵者所設置的非法接入點,則可能造成對用戶本身的機密信息丟失。

私自安裝的非法接入點造成的問題在于給企業帶來了極大的安全威脅,因為它們只采用了非常薄弱的安全措施,卻把公司內部網絡擴展到了外部攻擊者的可訪問范圍內[2]。

所以,在任何一個公司的網絡環境中,都需要對非法的無線接入點進行探測和核查,即使該公司并不提供無線網絡訪問服務。

1.2 非法接入點是安全鏈中最薄弱的一環

網絡的安全性取決于整個安全鏈中最薄弱的一環。假設公司內部已經部署了一個非常穩定和安全的無線及有線網絡,建立這個安全的無線網絡所花費的全部時間和金錢,卻可能被一個小小的非法接入點抵消掉[3]。

如圖1展示了一個位于安全的無線網絡拓撲中的無線外圍網絡拓撲中的無線外圍網絡層(DMZ)。為了讓合法用戶A有權訪問受保護的公司網絡,相關實體必須經過一個合適的身份驗證過程,通過防火墻和入侵檢測系統(IDS)的檢查并使用加密措施。與用戶A不同,用戶B無需通過任何安全限制,就能訪問公司網絡,而他只是利用了一個有可能是員工私自假設的非法接入點。

1.3 入侵者安裝的非法接入點

與員工私自安裝的非法接入點不同,入侵者安裝的非法接入點并不是連接到公司的有線網絡上。它位于無線信號的傳輸范圍之內,并且作為一種欺騙設備讓合法用戶掉進圈套。當合法用戶試圖連接到入侵者安裝的接入點時,這個非法接入點就能欺騙用戶提供有價值的信息,如身份驗證的類型和用戶憑證等。入侵者會記錄下來這些信息,在隨后用于獲取某個合法接入點的訪問權限[4]。

2非法接入點的預防和檢測

許多技術都能用于非法接入點的預防或檢測。在每次網絡核查中,都應該檢測非法接入點,以避免把可能存在的網絡后門暴露給攻擊者。

2.1 非法接入點的預防

大多數非法接入點都是沒有惡意的員工安裝的,他們只是想在工作場所中訪問無線網絡。要防止員工安裝這種非法接入點,一種解決方案是主動為他們提供無線訪問服務。同時,企業必須制定涵蓋無線網絡的安全策略,尤其是要禁止使用個人自私安裝的非法接入點[5]。這樣做并不意味著要停止對公司網絡的核查和非法接入點的檢測,而是為了減少非法接入點的數量,從而改善整個網絡的安全性。

2.2 通過探測射頻信號檢測和定位非法接入點

檢測非法接入點的其中一項技術是使用網絡嗅探工具(Sniffer)手工對公司范圍內的射頻信號進行探測。無線嗅探工具能夠捕捉空氣中正在傳遞的所有通信數據,而這些數據可用于隨后的分析,例如MAC地址的比較。每個無線設備都有一個獨一無二的MAC地址。如果代表某個未知接入點的陌生MAC地址被無線嗅探工具探測到,它就可能是一個非法接入點。

NetStumbler等軟件就能作為非法接入點的嗅探工具。它能顯示在當前信號的強度區域內,可以檢測到哪些接入點,然后把檢測到的接入點列表與一個友好接入點的數據庫進行比較。NetStumbler還能用來瞄準一個物理的非法接入點,通過測算信號的強度,獲得該接入點的位置信息。

2.3 Cisoc的非法接入點檢查工具

使用嗅探工具檢測非法接入點是一件非常耗時的任務,在大規模的無線及有線網絡環境中幾乎是不可能完成的。管理員必須走遍整個區域,并把檢測到的潛在的非法接入點與已知的友好接入點進行手工進行比較。這個任務還必須每天重復進行[6]。

現在已經有了更為完善的解決方案,用以替代對非法接入點的手工嗅探。Cisco公司的解決方案能把所有的無線客戶端和接入點都變成嗅探設備,這些設備可以連續不斷的對自己周圍的射頻信號進行監視和分析。每個友好的接入點和無線客戶端都可以對其周圍所能覆蓋的區域進行7×24h不斷的檢測。無線客戶端和合法接入點如果檢測到非法接入點,就會把相關信息發送到一個中央管理工作站,然后該工作站就會向網絡管理員發出提示。

2.4 通過WLSE集中管理非法接入點檢測

“無線局域網解決方案引擎”(Wireless LANSolutionEngine,WLSE)是CiscoWorks工具集提供的一個解決方案,用來集中管理具有“Cisco-識別”功能的所有無線設備。WLSE通過“簡單網絡管理協議”(SimploNetworkManagementProtocol,SNMP)可以從無線客戶端和接入點獲得檢測到的非法接入點的信息(如圖2)。

當無線客戶端檢測到一個潛在的非法接入點之后,會把相關信息發送給一個友好接入點。該接入點再通過“SNMP陷阱”(SNMP-trap)協議把信息傳遞給WLSE引擎,從而面向管理服務器報告自己的發現。WLSE引擎把獲得的信息與友好接入點的數據庫進行比較。如果WLSE引擎無法在友好接入點列表中找到被報告的這個接入點,就會給它標記一個紅色警示信號,提醒管理員有一個潛在的非法接入點被檢測到。

WLSE還可以使用三角測量法,根據多個無線客戶端和接入點探測到信號強度計算非法接入點的物理位置,并且在窗口里有“接受信號強度指示”,可以用來估算這個非法接入點的大概物理位置。

2.5 簡單網絡管理協議(SNMP）

SNMP是專門設計用于在IP網絡管理網絡節點(服務器、工作站、路由器、交換機及HUBS等)的一種標準協議,它是一種應用層協議。SNMP使網絡管理員能夠管理網絡效能,發現并解決網絡問題以及規劃網絡增長。通過SNMP接收隨機消息(及事件報告)網絡管理系統獲知網絡出現問題[7]。SNMP管理的網絡有三個主要組成部分:管理的設備、代理和網絡管理系統。管理設備是一個網絡節點,包含ANMP代理并處在管理網絡之中。被管理的設備

用于收集并儲存管理信息。通過SNMP,NMS能得到這些信息。被管理設備,有時稱為網絡單元,可能指路由器、訪問服務器,交換機和網橋、HUBS、主機或打印機。SNMP代理是被管理設備上的一個網絡管理軟件模塊。SNMP代理擁有本地的相關管理信息,并將它們轉換成與SNMP兼容的格式。NMS運行應用程序以實現監控被管理設備。此外,NMS還為網絡管理提供了大量的處理程序及必須的儲存資源。任何受管理的網絡至少需要一個或多個NMS。

SNMP封裝在UDP中。各種版本的SNMP信息通用格式如表1所示。

Version:SNMP版本號:管理器和代理器必須使用相同版本的SNMP。需要刪除具有不同版本號的信息,并不對它們作進一步的處理。

Community:團體名稱,用于在訪問代理器之前認證管理器。

PDU(協議數據單元):SNMPv1,v2和v3中的PDU類型和格式將在對應文件中作具體介紹。

2.6 使用802.1x基于端口的安全措施防止非法接入點

在一個無線網絡環境中,802.1x提供了相互進行身份驗證的機制,用來消除合法用戶與非法接入點進行連接造成的威脅。圖3展示了一個典型的802.1x“輕量級可擴展身份驗證協議”(Light Extendable Authentication Protocal,LEAP)的相互驗證過程:在建立一個成功的連接之前,無線客戶端要對RADIUS訪問控制服務器(Access Control Server,ACS)進行身份驗證;與此同時,該服務器也要對這個客戶端進行身份驗證。

圖4中的接入點(AP)如果是一個非法接入點,它將無法訪問RADIUS訪問控制服務器(ACS),因為它無法通過服務器發出的用戶身份驗證質詢(challenge)。這樣,用戶就會拒絕與該接入點建立連接。

每個經過認證的接入點都必須由管理員在RADIUSACS服務器上手工添加,然后該接入點才能訪問ACS服務器并進行身份驗證。因此,未經授權的設備—例如圖4中的非法接入點—就不會被允許對RADIUSACS的服務進行請求或使用,因為它根本不會被管理員添加到允許訪問列表中。

不是所有種類的802.1x具體實現或可擴展身份驗證協議(EAP)都支持相互驗證。在EAP中,支持相互驗證的具體方式包括輕量級EAP和EAP傳輸層安全(EAP-TLS)協議。在LEAP方式中,身份驗證和質詢都是從用戶名和密碼派生的。EAP-TLS的驗證過程與LEAP幾乎相同,但不是基于用戶名和密碼,而是使用數字證書。

2.7 使用Catalyst交換機過濾器在端口過濾MAC地址

組織非法接入點的另一種方法是使用交換機的端口安全機制與有線網絡建立連接。端口安全機制利用Catalyst交換機的安全功能,根據一個事先設置好的允許設備列好,限制對交換機某一端口的連接。

這個允許設備列表是由硬件的MAC地址表示的。每個端口都必須設有自己的允許的MAC地址,以防止未經授權的設備連接到該端口。

在Catalyst交換機的端口安全機制里,可以設置3中不同類型的MAC地址,分別是靜態MAC地址,動態MAC地址和粘性MAC地址。

靜態MAC地址是以手工方式為端口設置的被允許設備的MAC地址。默認情況下只能設置一個靜態MAC地址,但是可以使用命令增加允許設備的數量,如果試圖設置多個靜態MAC地址,但事先沒有為端口增加允許連接的MAC地址數量,就會收到一個錯誤提示。靜態MAC地址被保存在一個配置文件中,這樣當交換機重啟時就不會丟失端口的安全設置。

動態MAC地址是從連接的設備那里動態獲知的。如果一個交換機端口被設置最多允許3臺設備連接,就動態地獲知最初3個設備的MAC地址,并把它們放在內存里的一個列表中。動態MAC地址并不保存在配置文件中。當交換機重啟后,所有動態MAC地址都將被重置。通常這種動態機制并不被使用。

粘性MAC地址是一種靜態和動態相結合的方法來設置列表。設備的MAC地址是被動態獲知的,同時也能靜態地保存在一個配置文件中。例如如果有一個超過200個用戶的局域網,就可以動態的獲知所有200臺工作站的MAC地址,再把它們轉變成為一個靜態的MAC地址列表。

2.8 安全違規

當一個不在MAC地址使用一種靜態和動態相結合的未知設備試圖訪問相應的交換機接口時,就會發生端口的安全違規。對于這種情況,Catalyst交換機可以設置3中不同的處理方式。每個交換機端口可以使用保護模式,限制模式或者關閉模式。

當安全違規發生在保護模式下時,試圖連接到端口的設備將被阻止并禁止連接,所有來自這個未經授權設備的數據包也將被丟棄。

限制模式與安全模式類似,也會丟棄未經授權設備發出的所有數據包。兩者的區別在于,限制模式會把違規情況記錄到日志中。他會生成一個SNMP的trap發送給管理工作站,用來通知管理員有安全違規發生。它還能發送一個系統日志消息,并增加交換機端口設置中違規計數器的值。

在關閉模式下,交換機端口一旦檢測到某個未經授權的設備試圖與自己連接時,就會自動關閉。這時交換機會發送一個SNMPtrap給管理工作站或者發送一個系統日志消息,還會如限制模式那樣增加端口的違規計數器的值。

3結語

本文主要闡述了用于檢測和阻止非法接入點(roughAP)的各種不同技術。使用手工檢測非法接入點的技術和使用Cisco公司提供的一種完善的集中式的檢測方案,即使用一個管理工作站作為WLSE,用來控制具備Cisco識別功能的所有設備,本文還著重介紹了使用IEEE802.1x的協議基于端口的安全措施防止非法接入點的相關技術。802.1x協議支持相互身份驗證,從而讓接入點和用戶能夠相互認證,以確保用戶連接到一個合法的而不是非法的接入點。本文的最后介紹了使用Catalyst交換機過濾器在端口過濾MAC地址的技術,通過Catalyst交換機的端口安全機制,可以根據設備的MAC地址限制對其端口的物理連接。非法接入點是無線局域網中最薄弱的安全環節,但只要采用規范的安全策略,輔以正確的技術手段,那無線局域網的安全性就會大大提升。

參考文獻

[1] 顏炳風.無線局域網的安全機制,漏洞破解以及解決方法[J].科技信息,2010(27)．

[2] 趙偉艇,史玉珍.基于802.11i的無線局域網安全加密技術研究[J].計算機工程設計,2010,31(4)．

[3] 黎明.基于無線局域網的安全機制研究[J].科技管理研究,2010(15).

[4] 楊青譯.無線網絡安全[M].北京:科學出版社,2010

[5] 陳雪兆.無線局域網安全技術研究與實現[J].科技創新導報,2010(1)．

[6] 趙遠東,陳飛.無線局域網安全協議淺析[J]電腦知識與技術,2010,6(28)．

[7] Sithirasenan E,Muthukkumarasamy V,Powell D.IEEE 802.11iWLAN security protocol—a software engineer''s model[C].AusCERT''05:Proceedings of the 4th Asia Pacific Information Technology Security Conference,2005:39-50.