校園無線局域網組網及安全運維研究

◆程慶梅

校園無線局域網組網及安全運維研究

◆程慶梅

（北京信息職業技術學院 北京 100015）

本文旨在通過對目前校園無線局域網的組網應用及面臨的安全問題進行分析研究，探索校園無線局域網安全應用的新思路和具體防護措施及方案。分析表明，隨著社會的進步，無線局域網的普及，面對的用戶具有未知性、不可控性，隱含的安全風險變得更大，也更容易受到攻擊，也導致了很多運營維護方面的安全問題，如用戶投訴無法連接網絡、用戶投訴無法通過認證、用戶投訴上網速度太慢、用戶信息泄漏、釣魚攻擊等等。從無線局域網的組網方案中，總結分析無線局域網存在的安全問題，探索可能的防護措施及方案，有效提升校園無線網絡的運營效率，給用戶帶來更好的上網體驗。

無線局域網；網絡安全；安全運維

0 前言

WLAN（Wireless Local Area Network無線局域網）屬于一種短距離無線通信技術。它是以無線信道為傳輸媒介構成的計算機局域網絡，通過無線射頻技術（RF）在空氣中傳輸數據、話音和視頻信號，實現網絡在WLAN系統規劃熱點的無線延伸。

隨著影響無線網絡穩定的因素、影響無線終端使用效果的因素、影響無線網絡異常的因素，屢見不鮮。從而使得運營的WLAN網絡在大多數情況下處于不可用的狀態，最終造成WLAN用戶對WLAN業務系統的體驗性大大下降，造成WLAN用戶群體大量流失。同時運營者沒有充分意識到安全威脅對正常運營WLAN網絡的業務危害。

本文將有效的將業務檢測和安全監測進行融合，將傳統安全和運營的業務可用性進行緊密的結合，全方位的進行WLAN運維監控。業務監測能夠實時的監測核心網絡的穩定性和性能；質量檢測可以實時檢測WLAN網絡的傳輸質量，為運營者提供有效的分析，幫助運營者有針對性的進行網絡優化；安全監測和防護能夠最大限度的降低非法用戶對WLAN網絡中設備的安全威脅，從另一個角度提高運營者在WLAN業務上的服務質量，包括WLAN網絡用戶的信息安全。

1 WLAN組網方案分析

1.1 WLAN的組網

WLAN和局域網網絡存在形態類似。安全方面來看，WLAN和局域網有所區別。

1.2 WLAN的組網層次

分析一下當前大多數WLAN設備廠商提供的無線接入點（或稱為AP）與無線訪問控制器（或稱為AC）構成的網絡組網如下。

1.2.1 分布式的無線接入

通過無線接入點來完成所需求的任務，使用無線數據的橋接入方式，在硬件上支持無線射頻轉發到功能上。

1.2.2 數據轉發的集中管理

利用無線控制器集中實現與Internet互連的準許。包括對于用戶認證，計費等等功能。

1.2.3 網關和AC進行分離

網關和無線控制器隔離，便可更加便利的實施網絡的組建，而且有利于無線局域網的組建更有層次。如果在局域網通過虛擬局域網分劃的網絡拓撲中，在無線局域網中無線控制器需要對所有的無線接入點進行管理和配置，需要使用CAPWAP協議或者其他協議創建隧道通信。會存在如下的問題:

（1）虛擬局域網如何解決

無線接入點和無線控制器隧道創建一對一連接的，虛擬局域網的存在對它來說是沒用的,虛擬局域網加入會有影響。無線接入點接入的switch接口是ACCESS口，而無線控制器接入switch的接口是TRUNK口。所以，其中一個到對端有虛擬局域網標識，另外的沒有虛擬局域網標識,所以在協議處理層存在不對等問題。

（2）CAPWAP協議處在網絡的哪一個位置

CAPWAP屬應用層協議。所以，無線接入點和無線控制器之間的要經過協議棧處理，然后發送到上層進行處理。對于CAPWAP封裝的數據轉發如如圖1所示。

圖1 WLAN組網中CAPWAP協議隧道

這里的數據通信分為兩個層次:STA對Internet的互連是第一層，是TCP/IP協議。它上傳的數據通過bridge的方式由無線接入點到switch。因為虛擬局域網，它上傳的數據通過switch之后需添加上虛擬局域網標記來標識，接著傳輸到無線控制器中，接著通過虛擬局域網的虛擬接口再發送，最終數據發送出去。第二個層次是AP和AC的直連通信。使用無線接入點和無線控制器直接相連，然后創建CAPWAP的協議通道，這樣可以方便控制信息的發送。但是這兩種網絡結構不能夠存在一個拓撲中。網絡接入點和網絡控制器兩者信息傳輸通過switch，所以可以沒有虛擬局域網，從無線接入點不帶虛擬局域網，經過switch添加上局域網標記，然后便要進行單獨的虛擬局域網處理。但是存在兩點問題：（1）無線控制器要求一個單獨的虛擬接口處理數據；（2）對switch進行配置，但是加上分辨的標簽VLAN，網絡設備對虛擬局域網加上標識是不好的，其會較大的影響網絡的靈活性。

通過上述分析，switch是否對虛擬局域網加上標簽，在以上分析中產生了矛盾。在另外一個項目中發現，無線局域網組網是不必對switch配置：（1）對switch虛擬局域網加上標簽麻煩。（2）無線接入點數量會比較多，需要劃分的虛擬局域網數量非常大。假如從硬件上來完成虛擬局域網的劃分，那么會花費很多財力。（3）如果無線控制器和無線接入點加上switch會影響控制。但在STA和Internet通信要虛擬局域網來實現，最后無線接入點各家廠商在無線接入點上完成虛擬局域網加上標識，有無線控制器下發的命令，來或得標識類型。這樣交換機上不需要做任何處理，在數據包上它已經是一個虛擬局域網報文了。而且，由于CAPWAP本身封裝了層報頭，從以太網層封裝，所以虛擬局域網數據報文在后面。那么收到報文需要先CAPWAP的解封裝，然后再組包上傳，方便虛擬局域網數據處理。

1.3 WLAN中存在的安全問題

WLAN中的存在大量的、不固定、未知的用戶，從安全角度分析，其可能發生的攻擊及存在的安全風險就會較大。在WLAN由于用戶的移動性及不確定性，無法像局域網通過對用戶、MAC綁定進行認證，一般只能通過賬號、密碼的Radius方式來認證，由于流程復雜存在很多不確定因素。可能的安全風險如下所示：

（1）用戶信息被盜用風險：在一個不設防的WLAN中，由于無線傳播的廣播特性，sniffer、釣魚攻擊、中間人攻擊會變得非常容易，對于AP及用戶的攻擊不僅會導致用戶不能接入網絡，而且用戶隱私信息都會被盜取，尤其是用戶登錄網絡的用戶名、密碼等認證信息。包括：無線釣魚，獲取敏感信息；無線sniffer攻擊；無線破解攻擊：WEP的破解、WPA的破解。

（2）網絡不可用風險：ARP攻擊、DHCP攻擊在WLAN中非常容易實現，攻擊效果非常好。

對于AC的攻擊，由于無線局域網是通過AC實現對AP的控制，一旦無線控制器被攻破，那么將直接導致所有AP全部掉線。針對AC攻擊隊網絡的威脅非常大。Authentication DoS（DHCP地址耗盡攻擊），所有的AP和STA是通過向DHCP服務器申請IP地址。對DHCP的攻擊如:DHCP spoof和DHCP欺騙攻擊會變得很容易，攻擊對整個網絡的影響非常大。Deauthentication/Disassociation Amo（指定用戶斷線攻擊）。

（3）流量盜用、業務濫用的風險

風險一：基于session hijacking的盜取服務攻擊。風險二：在WLAN系統中，繞過portal認證機制，通過欺騙及非授權攻擊，原用戶離開后，攻擊用戶采用修改MAC及IP地址的方法繼續訪問網絡。并偽造DHCP續租盜用上網，免費使用無線局域網流量上網的問題非常嚴重。風險三：DNS tunnel:有一些用戶可以通過類似DNS Tunnel的方式，通過DNS協議完成數據的封裝，從而達到免費使用網絡的目的。

2 WLAN安全運維分析

通過對WLAN組網方案，我們不難發現，WLAN是傳統局域網通過增加AP、AC、認證系統的網絡延伸，STA（無線終端工作站，如無線筆記本，PDA等）通過AC提供的認證后，便可進行無線計費上網。在WLAN的安全運行維護中需要考慮網絡的各個層次，典型問題有：

2.1 AP及用戶安全

對用戶信息的竊聽、截取和監聽；欺騙和非授權訪問；網絡接管與篡改；拒絕服務攻擊等。

2.2 AC的安全

對于AP管理平臺的攻擊;對于數據轉發平臺的攻擊;安全配置檢查。2.3 對于portal/radius攻擊

跨站;注入;溢出;Radius協議漏洞;移動集團WLAN Radius規范漏洞。2.4 網絡質量

無法連接網絡；無法通過認證；上網速度太慢等等。上所述，由于在無線環境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易，對于AP及用戶的攻擊除會造成用戶無法接入網絡以外，用戶的數據也得不到安全保證，特別是用戶登錄無線網絡的認證信息。對于AC的攻擊，由于我們的網絡是無線的，任何人都可以很輕松的接入網絡，一臺AC通常管理1000—2000個AP，一旦AC被攻破，那么將直接導致所有AP全部掉線，因此對AC的攻擊威脅較大。

在這種情況下如何能夠提升網絡服務質量，如何監測WLAN網絡的業務質量以及WLAN網絡的安全事件，已經成為所有網絡運營者應該迫切關注的工作。

3 WLAN安全保障方案

針對WLAN業務質量的保障要求，有必要建立一套完整的業務保障系統，以期能達到以下防護目標：

（1）實時進行安全威脅檢測，并實時安全預警。

（2）完全模擬用戶接入網絡流程，自動檢測WLAN AP熱點的網絡層、應用層和業務層的性能指標。

（3）無線信號質量實時監測、當信號質量低于閥值,實時預警。

（4）WLAN業務故障能夠在幾分鐘內發現，而不是等運維人員到現場才能發現。

（5）進行準確的網絡評估，以確定網絡能夠滿足所有應用依照流量計劃以及指定的網絡服務類別正常運行。

（6）準確掌握網絡運行狀況，獲取網絡性能數據。

（7）掌握用戶在使用網絡中，對不同業務的真實感受。

（8）保障業務系統的平穩、有效運行，減輕網絡維護人員的工作量。

（9）采用分布式的結構，可對任何規模或形式的WLAN網絡進行性能測試。

（10）部署簡單、易維護、維護成本低。

4 結束語

建立一種有效的將WLAN網絡中業務檢測和安全監測進行融合,將傳統安全和運營的業務可用性進行緊密的結合,全方位的進行WLAN運維監控的安全防護方案變得異常重要。通過業務監測實時的監測核心網絡的穩定性和性能；質量檢測可以實時檢測WLAN網絡的傳輸質量;安全監測和防護能夠最大限度的降低非法用戶對WLAN網絡中設備的安全威脅；進而從提高WLAN網絡服務質量及運營效率，保障WLAN網絡用戶的信息安全。

[1]IEEE 802.1H-1995，MAC bridging and bridge/tunnel encapsulation.

[2]鄭勇，謝永強.無線局域網安全技術及漏洞分析[J].信息安全與通信保密，2007.