無線辦公網絡接入的安全性

◎王輝

無線辦公網絡接入的安全性

◎王輝

鑒于無線網絡存在的安全問題，為了保證清遠移動無線辦公網絡的大規模使用，同時也為了給全省無線網絡的安全使用探索解決方案，我們從“用戶身份認證、加密傳輸協議、無線入侵檢測、安全管理制度”四個方面入手對無線辦公網絡的安全性進行研究，并結合清遠移動的具體實際，從方便管理的角度出發，提出一個切實可行的整體方案保證無線辦公網絡接入的安全性和易管理性，為提供高效的無線辦公服務打下堅實的基礎。

清遠移動無線辦公網絡的現狀

用戶身份認證方式簡單。目前清遠移動無線辦公網絡的用戶身份認證方式是：各種使用者（包括本公司、不同分公司、外單位）均使用一個統一不變的密鑰來進行身份認證。對于這種傳統的身份認證方式，黑客可以通過很多種方法接入到無線網絡里(如社會工程學、暴力窮舉法)，從而達到資源濫用、破壞網絡的目的。

此外在配置AP的時候，我們使用的仍是傳統的WEP協議，這也使得用戶的靜態密鑰極易被破解。

加密傳輸協議過于簡單。WEP協議在802.11b中負責訪問控制與通信數據加密兩個過程，但由于WEP算法在初始向量方面出現了嚴重的漏洞，導致攻擊者能在捕捉到足夠加密數據包的前提下破解WEP KEY。我們通過模擬環境進行了相關測試，結果表明：在有10個用戶連接同一臺AP的網絡下，用一臺裝有WEPCRACK的客戶端接入無線網絡，捕捉1個小時到1.5個小時的數據，就可以破解一個使用WEP協議的無線網絡密鑰。

沒有完善的無線入侵檢測手段及產品。（1）非法AP：入侵者通過在合法的無線網絡中搭建一個非法的AP，來達到獲取網絡資源及敏感數據的目的，主要是建立與合法AP相同的SSID來迷惑用戶。（2）DOS攻擊：通過使用噪聲源干擾無線電通信造成堵塞(即RF攻擊)的方法，或者通過不斷發送“解除關聯”幀使得客戶機關聯不上AP的手段來達到阻止合法用戶訪問無線網絡的目的。

無線網絡安全管理制度不完善。 “網絡安全三分靠技術，七分靠管理”，由于目前清遠移動的無線辦公網絡正處于一個起步階段，現有的安全管理制度還是以原來有線網絡的安全管理制度為主體，并沒有制定專門針對無線網絡的安全管理制度。

清遠移動無線辦公網絡安全接入的整體解決方案

用戶身份認證。以前無線網絡的身份認證基本都是用戶通過輸入靜態的用戶名和密碼，由認證服務器來驗證。為了保證安全性，要求認證服務器的管理員要定期修改密碼，這就增加了維護難度。而本課題通過開發接口程序，提供短信方式，用戶可通過短信申請動態密碼，該密碼也由接口程序同時下發到認證服務器，從而可以實現動態身份認證，簡化身份認證管理。在認證服務器通過認證后，將下發不同的訪問控制策略，對公司員工、其他人員獲得的無線辦公服務進行控制，提高控制靈活性。動態身份認證的具體流程如下所述：

建立一個Radius服務器，負責進行用戶的接入認證、授權、審計的功能，即AAA功能；開發一套短信接口，能夠發送隨機生成的密碼給用戶以及Radius服務器；用戶每次接入無線辦公網絡時，必須使用手機向指定的短信接口發送接入申請，獲取動態密碼；每一個用戶申請的密碼最長存活時間為12個小時。

傳輸協議加密。目前清遠移動無線辦公網絡通過應用WEP（Wireless Equivalent Privacy）協議提供了一定的安全性，但是WEP破解起來比較容易，而且WEP的加密密鑰為靜態密鑰而非動態密鑰，在較大的企業級網絡中，密鑰的管理難度很大。我們針對WEP協議加密的數據進行了一次模擬破解。測試結果表明，現有無線網絡中傳輸數據加密的安全性存在很大的問題。

WEP KEY破解過程：在進行WEP KEY破解前，我們首先需要通過NetStumbler確認客戶端已在某AP的覆蓋區內，并利用AP信號的參數進行‘踩點’（數據搜集）。本次實驗的目的是通過捕捉適當的數據幀進行IV（初始化向量）暴力破解得到WEP KEY，因此我們使用airodump工具捕捉數據幀，然后利用WinAircrack工具破解WEP KEY。

首先使用airodump工具捕捉數據幀。在成功破解前，airodump工具必須通過1-1.5小時的數據捕捉過程。在此過程中，airodump工具會收集大量的數據包，數據包的數量越多，破解的時間就會越短。在本次實驗中我們共捕捉了300,138個數據包。

數據收集結束后，接下來的工作便是WEP KEY破解。我們通過airodump工具收集的所有數據，利用WinAircrack工具進行破解，從而得到該AP的WEP KEY。

測試結果以及改進措施：上述實驗是模擬清遠移動的無線辦公網絡進行測試工作，清遠移動現有的無線網絡是采用64位的WEP協議，實驗結果證明64位的WEP協議很不安全，基于現有的情況，我們將在今后考慮使用128位以上的WEP協議，使用128位的WEP算法后，數據包收集的數量上需要達到900,000個或以上的數據包（大約是64位WEP協議的三倍）才能和64位的WEP算法具有相同的破解時間。WEP被破解的時間將會大大延長，從而在一定程度上提高了無線網絡的安全性。同時根據清檢測設備的檢測覆蓋區內時，檢測設備將該AP的信標發送頻率與作為特征基準的信標發送頻率作同步對比，若“不同步”則檢測設備會產生報警。

在本次測試中，我們使用了第一種方式（通過BSSID作對比）的非法AP檢測機制。以下為無線入侵檢測設備的報警信息：遠移動現有的環境，我們將提供例如定向天線或使用MAC地址過濾的方式提高無線網絡的安全性以降低現有的風險。

表1 探測AP數據

無線入侵檢測。在本課題研究中，我們采用了無線入侵檢測來防止非法AP的接入以及802.11幀的DOS攻擊。根據清遠移動現有的無線辦公網絡，我們構建了模擬測試環境，并在其中部署了一臺非法AP。

非法AP的工作原理是通過設置其三元組（SSID、頻道、WEPKEY）與合法AP相同，從而迷惑正常客戶端登陸該非法AP，達到繞過邏輯訪問控制列表或進行中間人攻擊的目的。歸結以上攻擊方法的特點，我們可以找到非法AP的兩個缺陷：1）非法AP沒有改變本身的BSSID（無線適配器的MAC）數值；2）非法AP發出的信標信號未必能與合法AP的信標信號發出的頻率同步。

因此目前已知的、檢測非法AP的方法有兩種：

在無線入侵檢測設備（至少擁有一個處于混雜模式的無線網卡）上記錄合法AP的三元組以及與其對應的BSSID。當檢測設備發現其檢測覆蓋區內存在三元組與登記的合法AP有相同的信標時，則檢測該信標發送方的BSSID是否與合法AP的BSSID相同，若“否”則檢測設備會產生報警。

在標準的情況下，信標發送設備是以每100毫秒發送一次信標的頻率進行工作的。無線入侵檢測設備在正式工作前必須首先捕捉合法AP發送信標的頻率用作特征基準，當非法AP啟動（開始發送信標）并在

通過上面的檢測過程我們可以看到，模擬環境里面存在一個非法AP。從上述表格中可以發現，該無線網絡中一共存在六個AP，如果不采取無線入侵檢測，我們無法觀察到哪個是合法AP，哪個是非法AP。

通過無線入侵檢測的具體過程，我們可以了解到：上述表格中前面五個AP是合法的AP，最后一個就是非法AP。這是因為五個合法AP的BSSID在無線入侵檢測系統的BSSID表中都進行了登記，而非法AP則是通過無線入侵檢測系統查詢BSSID表時自動發現，從上圖中我們可以看到無線入侵檢測系統已經可以檢測出非法AP的存在。此外非法AP還存在其它一些特點，例如：信號特強。在上面六個AP中，非法AP的信號明顯要比其他AP的信號強，否則不會吸引用戶接入該AP。

以上測試的所有數據都是模擬清遠移動無線辦公網絡環境的真實數據，通過測試，我們發現現有的無線辦公網絡在防止非法AP接入方面存在一定的風險。由于還沒有對應的無線入侵檢測產品，因此無法對非法AP的接入進行有效地監控和管理。在今后的工作中，我們將對自行開發的無線入侵檢測系統進行完善，并根據清遠移動的具體實際，制定有效的監控策略，及時發現無線網絡中存在的各種潛在威脅。

無線網絡安全管理制度。“網絡安全三分靠技術，七分靠管理”，因此我們在分析了目前無線網絡存在的安全風險并提出解決方案之后，必須根據清遠移動的具體實際情況，結合國內外相關企業的成功經驗，制定一套切實可行的無線網絡管理制度，將管理手段和技術手段有機結合起來，保證無線網絡的安全性。目前我們已經制定了初步的無線網絡安全管理制度。

結論以及今后的工作

相關結論。為了保證清遠移動無線辦公網絡的大規模使用，同時也為了給全省無線應用探索安全的解決方案，我們從目前無線辦公網絡存在的“用戶身份認證、傳輸協議加密、無線入侵檢測、安全管理制度”四個方面入手對無線網絡的安全性進行研究，取得了下列進展：

1）用戶身份認證方面：完成了PEAPMD5、PEAP-TLS加密認證測試；初步完成對用戶信息進行設置以及動態控制策略下發；完成接收短信請求部分的處理模塊。2）傳輸協議加密方面：完成了WEP協議的深入分析，進行了WEP破解測試，并根據測試結果提出了保證無線數據傳輸安全性的相關措施。3）無線入侵檢測方面：實現通過BSSID作對比的非法AP檢測機制，以及無線入侵檢測系統基于多種常見無線攻擊行為的報警。4）無線網絡安全管理制度：根據清遠移動的實際，初步制定了一套切實可行的無線網絡管理制度。

今后的工作。本課題后續的工作包括如下方面：1）用戶身份認證方面：提供更加完善的動態身份認證和訪問控制策略下發機制，完成短信接口處理模塊。2）傳輸協議加密方面：提供例如定向天線或使用MAC地址過濾的方式提高無線網絡的安全性以降低現有的風險；對WPA/WPA2協議進行深入分析，對采用WPA/WPA2的無線網絡進行詳細測試，以證實WPA/ WPA2的可行性。3）無線入侵檢測方面：實現根據信標信號對比的非法AP檢測機制和對DOS與DDOS攻擊的檢測機制，優化無線入侵檢測系統的報警模塊。4）無線網絡安全管理制度：根據清遠移動的實際情況，對已制定的無線網絡管理制度進行修訂。5）針對802.11ax協議進行深入研究，802.11ax是一個802.11無線局域網（WLAN）通信標準，它通過5G頻段進行傳輸，是802.11ac的后續升級版，將能夠提升多用戶環境下（比如公共場所熱點）的Wi-Fi性能，而這主要是通過提升頻譜效率、更好地管理串擾、增強底層協議（比如介質訪問控制數據通訊）來實現的，會讓公共Wi-Fi熱點變得更加快速和穩定。

通過以上幾方面的研究，我們將提出一個更加完善的整體方案保證清遠移動無線辦公網絡接入的安全性和易管理性，為提供高效的無線辦公服務打下堅實的基礎。

（作者單位：中國移動清遠分公司）