無線辦公網(wǎng)絡接入的安全性

◎王輝

無線辦公網(wǎng)絡接入的安全性

◎王輝

鑒于無線網(wǎng)絡存在的安全問題，為了保證清遠移動無線辦公網(wǎng)絡的大規(guī)模使用，同時也為了給全省無線網(wǎng)絡的安全使用探索解決方案，我們從“用戶身份認證、加密傳輸協(xié)議、無線入侵檢測、安全管理制度”四個方面入手對無線辦公網(wǎng)絡的安全性進行研究，并結合清遠移動的具體實際，從方便管理的角度出發(fā)，提出一個切實可行的整體方案保證無線辦公網(wǎng)絡接入的安全性和易管理性，為提供高效的無線辦公服務打下堅實的基礎。

清遠移動無線辦公網(wǎng)絡的現(xiàn)狀

用戶身份認證方式簡單。目前清遠移動無線辦公網(wǎng)絡的用戶身份認證方式是：各種使用者（包括本公司、不同分公司、外單位）均使用一個統(tǒng)一不變的密鑰來進行身份認證。對于這種傳統(tǒng)的身份認證方式，黑客可以通過很多種方法接入到無線網(wǎng)絡里(如社會工程學、暴力窮舉法)，從而達到資源濫用、破壞網(wǎng)絡的目的。

此外在配置AP的時候，我們使用的仍是傳統(tǒng)的WEP協(xié)議，這也使得用戶的靜態(tài)密鑰極易被破解。

加密傳輸協(xié)議過于簡單。WEP協(xié)議在802.11b中負責訪問控制與通信數(shù)據(jù)加密兩個過程，但由于WEP算法在初始向量方面出現(xiàn)了嚴重的漏洞，導致攻擊者能在捕捉到足夠加密數(shù)據(jù)包的前提下破解WEP KEY。我們通過模擬環(huán)境進行了相關測試，結果表明：在有10個用戶連接同一臺AP的網(wǎng)絡下，用一臺裝有WEPCRACK的客戶端接入無線網(wǎng)絡，捕捉1個小時到1.5個小時的數(shù)據(jù)，就可以破解一個使用WEP協(xié)議的無線網(wǎng)絡密鑰。

沒有完善的無線入侵檢測手段及產品。（1）非法AP：入侵者通過在合法的無線網(wǎng)絡中搭建一個非法的AP，來達到獲取網(wǎng)絡資源及敏感數(shù)據(jù)的目的，主要是建立與合法AP相同的SSID來迷惑用戶。（2）DOS攻擊：通過使用噪聲源干擾無線電通信造成堵塞(即RF攻擊)的方法，或者通過不斷發(fā)送“解除關聯(lián)”幀使得客戶機關聯(lián)不上AP的手段來達到阻止合法用戶訪問無線網(wǎng)絡的目的。

無線網(wǎng)絡安全管理制度不完善。 “網(wǎng)絡安全三分靠技術，七分靠管理”，由于目前清遠移動的無線辦公網(wǎng)絡正處于一個起步階段，現(xiàn)有的安全管理制度還是以原來有線網(wǎng)絡的安全管理制度為主體，并沒有制定專門針對無線網(wǎng)絡的安全管理制度。

清遠移動無線辦公網(wǎng)絡安全接入的整體解決方案

用戶身份認證。以前無線網(wǎng)絡的身份認證基本都是用戶通過輸入靜態(tài)的用戶名和密碼，由認證服務器來驗證。為了保證安全性，要求認證服務器的管理員要定期修改密碼，這就增加了維護難度。而本課題通過開發(fā)接口程序，提供短信方式，用戶可通過短信申請動態(tài)密碼，該密碼也由接口程序同時下發(fā)到認證服務器，從而可以實現(xiàn)動態(tài)身份認證，簡化身份認證管理。在認證服務器通過認證后，將下發(fā)不同的訪問控制策略，對公司員工、其他人員獲得的無線辦公服務進行控制，提高控制靈活性。動態(tài)身份認證的具體流程如下所述：

建立一個Radius服務器，負責進行用戶的接入認證、授權、審計的功能，即AAA功能；開發(fā)一套短信接口，能夠發(fā)送隨機生成的密碼給用戶以及Radius服務器；用戶每次接入無線辦公網(wǎng)絡時，必須使用手機向指定的短信接口發(fā)送接入申請，獲取動態(tài)密碼；每一個用戶申請的密碼最長存活時間為12個小時。

傳輸協(xié)議加密。目前清遠移動無線辦公網(wǎng)絡通過應用WEP（Wireless Equivalent Privacy）協(xié)議提供了一定的安全性，但是WEP破解起來比較容易，而且WEP的加密密鑰為靜態(tài)密鑰而非動態(tài)密鑰，在較大的企業(yè)級網(wǎng)絡中，密鑰的管理難度很大。我們針對WEP協(xié)議加密的數(shù)據(jù)進行了一次模擬破解。測試結果表明，現(xiàn)有無線網(wǎng)絡中傳輸數(shù)據(jù)加密的安全性存在很大的問題。

WEP KEY破解過程：在進行WEP KEY破解前，我們首先需要通過NetStumbler確認客戶端已在某AP的覆蓋區(qū)內，并利用AP信號的參數(shù)進行‘踩點’（數(shù)據(jù)搜集）。本次實驗的目的是通過捕捉適當?shù)臄?shù)據(jù)幀進行IV（初始化向量）暴力破解得到WEP KEY，因此我們使用airodump工具捕捉數(shù)據(jù)幀，然后利用WinAircrack工具破解WEP KEY。

首先使用airodump工具捕捉數(shù)據(jù)幀。在成功破解前，airodump工具必須通過1-1.5小時的數(shù)據(jù)捕捉過程。在此過程中，airodump工具會收集大量的數(shù)據(jù)包，數(shù)據(jù)包的數(shù)量越多，破解的時間就會越短。在本次實驗中我們共捕捉了300,138個數(shù)據(jù)包。

數(shù)據(jù)收集結束后，接下來的工作便是WEP KEY破解。我們通過airodump工具收集的所有數(shù)據(jù)，利用WinAircrack工具進行破解，從而得到該AP的WEP KEY。

測試結果以及改進措施：上述實驗是模擬清遠移動的無線辦公網(wǎng)絡進行測試工作，清遠移動現(xiàn)有的無線網(wǎng)絡是采用64位的WEP協(xié)議，實驗結果證明64位的WEP協(xié)議很不安全，基于現(xiàn)有的情況，我們將在今后考慮使用128位以上的WEP協(xié)議，使用128位的WEP算法后，數(shù)據(jù)包收集的數(shù)量上需要達到900,000個或以上的數(shù)據(jù)包（大約是64位WEP協(xié)議的三倍）才能和64位的WEP算法具有相同的破解時間。WEP被破解的時間將會大大延長，從而在一定程度上提高了無線網(wǎng)絡的安全性。同時根據(jù)清檢測設備的檢測覆蓋區(qū)內時，檢測設備將該AP的信標發(fā)送頻率與作為特征基準的信標發(fā)送頻率作同步對比，若“不同步”則檢測設備會產生報警。

在本次測試中，我們使用了第一種方式（通過BSSID作對比）的非法AP檢測機制。以下為無線入侵檢測設備的報警信息：遠移動現(xiàn)有的環(huán)境，我們將提供例如定向天線或使用MAC地址過濾的方式提高無線網(wǎng)絡的安全性以降低現(xiàn)有的風險。

表1 探測AP數(shù)據(jù)

無線入侵檢測。在本課題研究中，我們采用了無線入侵檢測來防止非法AP的接入以及802.11幀的DOS攻擊。根據(jù)清遠移動現(xiàn)有的無線辦公網(wǎng)絡，我們構建了模擬測試環(huán)境，并在其中部署了一臺非法AP。

非法AP的工作原理是通過設置其三元組（SSID、頻道、WEPKEY）與合法AP相同，從而迷惑正常客戶端登陸該非法AP，達到繞過邏輯訪問控制列表或進行中間人攻擊的目的。歸結以上攻擊方法的特點，我們可以找到非法AP的兩個缺陷：1）非法AP沒有改變本身的BSSID（無線適配器的MAC）數(shù)值；2）非法AP發(fā)出的信標信號未必能與合法AP的信標信號發(fā)出的頻率同步。

因此目前已知的、檢測非法AP的方法有兩種：

在無線入侵檢測設備（至少擁有一個處于混雜模式的無線網(wǎng)卡）上記錄合法AP的三元組以及與其對應的BSSID。當檢測設備發(fā)現(xiàn)其檢測覆蓋區(qū)內存在三元組與登記的合法AP有相同的信標時，則檢測該信標發(fā)送方的BSSID是否與合法AP的BSSID相同，若“否”則檢測設備會產生報警。

在標準的情況下，信標發(fā)送設備是以每100毫秒發(fā)送一次信標的頻率進行工作的。無線入侵檢測設備在正式工作前必須首先捕捉合法AP發(fā)送信標的頻率用作特征基準，當非法AP啟動（開始發(fā)送信標）并在

通過上面的檢測過程我們可以看到，模擬環(huán)境里面存在一個非法AP。從上述表格中可以發(fā)現(xiàn)，該無線網(wǎng)絡中一共存在六個AP，如果不采取無線入侵檢測，我們無法觀察到哪個是合法AP，哪個是非法AP。

通過無線入侵檢測的具體過程，我們可以了解到：上述表格中前面五個AP是合法的AP，最后一個就是非法AP。這是因為五個合法AP的BSSID在無線入侵檢測系統(tǒng)的BSSID表中都進行了登記，而非法AP則是通過無線入侵檢測系統(tǒng)查詢BSSID表時自動發(fā)現(xiàn)，從上圖中我們可以看到無線入侵檢測系統(tǒng)已經可以檢測出非法AP的存在。此外非法AP還存在其它一些特點，例如：信號特強。在上面六個AP中，非法AP的信號明顯要比其他AP的信號強，否則不會吸引用戶接入該AP。

以上測試的所有數(shù)據(jù)都是模擬清遠移動無線辦公網(wǎng)絡環(huán)境的真實數(shù)據(jù)，通過測試，我們發(fā)現(xiàn)現(xiàn)有的無線辦公網(wǎng)絡在防止非法AP接入方面存在一定的風險。由于還沒有對應的無線入侵檢測產品，因此無法對非法AP的接入進行有效地監(jiān)控和管理。在今后的工作中，我們將對自行開發(fā)的無線入侵檢測系統(tǒng)進行完善，并根據(jù)清遠移動的具體實際，制定有效的監(jiān)控策略，及時發(fā)現(xiàn)無線網(wǎng)絡中存在的各種潛在威脅。

無線網(wǎng)絡安全管理制度。“網(wǎng)絡安全三分靠技術，七分靠管理”，因此我們在分析了目前無線網(wǎng)絡存在的安全風險并提出解決方案之后，必須根據(jù)清遠移動的具體實際情況，結合國內外相關企業(yè)的成功經驗，制定一套切實可行的無線網(wǎng)絡管理制度，將管理手段和技術手段有機結合起來，保證無線網(wǎng)絡的安全性。目前我們已經制定了初步的無線網(wǎng)絡安全管理制度。

結論以及今后的工作

相關結論。為了保證清遠移動無線辦公網(wǎng)絡的大規(guī)模使用，同時也為了給全省無線應用探索安全的解決方案，我們從目前無線辦公網(wǎng)絡存在的“用戶身份認證、傳輸協(xié)議加密、無線入侵檢測、安全管理制度”四個方面入手對無線網(wǎng)絡的安全性進行研究，取得了下列進展：

1）用戶身份認證方面：完成了PEAPMD5、PEAP-TLS加密認證測試；初步完成對用戶信息進行設置以及動態(tài)控制策略下發(fā)；完成接收短信請求部分的處理模塊。2）傳輸協(xié)議加密方面：完成了WEP協(xié)議的深入分析，進行了WEP破解測試，并根據(jù)測試結果提出了保證無線數(shù)據(jù)傳輸安全性的相關措施。3）無線入侵檢測方面：實現(xiàn)通過BSSID作對比的非法AP檢測機制，以及無線入侵檢測系統(tǒng)基于多種常見無線攻擊行為的報警。4）無線網(wǎng)絡安全管理制度：根據(jù)清遠移動的實際，初步制定了一套切實可行的無線網(wǎng)絡管理制度。

今后的工作。本課題后續(xù)的工作包括如下方面：1）用戶身份認證方面：提供更加完善的動態(tài)身份認證和訪問控制策略下發(fā)機制，完成短信接口處理模塊。2）傳輸協(xié)議加密方面：提供例如定向天線或使用MAC地址過濾的方式提高無線網(wǎng)絡的安全性以降低現(xiàn)有的風險；對WPA/WPA2協(xié)議進行深入分析，對采用WPA/WPA2的無線網(wǎng)絡進行詳細測試，以證實WPA/ WPA2的可行性。3）無線入侵檢測方面：實現(xiàn)根據(jù)信標信號對比的非法AP檢測機制和對DOS與DDOS攻擊的檢測機制，優(yōu)化無線入侵檢測系統(tǒng)的報警模塊。4）無線網(wǎng)絡安全管理制度：根據(jù)清遠移動的實際情況，對已制定的無線網(wǎng)絡管理制度進行修訂。5）針對802.11ax協(xié)議進行深入研究，802.11ax是一個802.11無線局域網(wǎng)（WLAN）通信標準，它通過5G頻段進行傳輸，是802.11ac的后續(xù)升級版，將能夠提升多用戶環(huán)境下（比如公共場所熱點）的Wi-Fi性能，而這主要是通過提升頻譜效率、更好地管理串擾、增強底層協(xié)議（比如介質訪問控制數(shù)據(jù)通訊）來實現(xiàn)的，會讓公共Wi-Fi熱點變得更加快速和穩(wěn)定。

通過以上幾方面的研究，我們將提出一個更加完善的整體方案保證清遠移動無線辦公網(wǎng)絡接入的安全性和易管理性，為提供高效的無線辦公服務打下堅實的基礎。

（作者單位：中國移動清遠分公司）