層層布控 保護無線網絡安全

■河南 許紅軍

保護Layer1 層面的安全

Layer1 層面的安全策略可以限制客戶的登錄認證次數。如果用戶使用暴力破解來頻繁嘗試登錄，就會被攔截并被放置到排除列表中，只有超過預設時間后才允許再次進行連接。

在某款思科WLC 設備命令行環境下執行“show wlan x”命令，在返回信息中的“Exclusionlist Timeout”欄中顯示目標WLAN 的超時時間。執行“config wlan exclusionlist x y”命令，設置超時時間，其中的“x”為具體的WLAN 編號，“y”表示超時時間，單位為秒，“0”表示永久禁用。也可以在WLC 管理界面中打開目標WLAN 的屬性窗口，在“Advanced”面板中的“Client Exclusion”欄中設置該超時時間。

在WLC 管理界面工具欄上選擇“SECURITY”項，在左側選擇“Wireless Protection Policies”→“Client Exclusion Policies”項，在右側選擇“Exclussive 802.11 Association Failures”項，表示對于802.11 來說，如果關聯六次的話，如果前五次連續失敗，則將其放置到排除列表中。選擇“Exclussive 802.11 Authenticationn Failures”項，表示對于802.11 來說，如果認證六次的話，如果前五次連續失敗，則將其放置到排除列表中。

選擇“Exclussive802.1X Authenticationn Failures”項，表示對于802.1X 來說，如果認證四次的話，如果前三次連續失敗，則將其放置到排除列表中。選擇“IP Theft or IP Resume”項，表示該客戶端的IP 已經被占用，當其連接時會被放置到排除列表中。選擇“Exclussive Web Authenticationn Failures”項，表示對于Web 認證來說，如果認證四次的話，如果前三次連續失敗，則將其放置到排除列表中。為了防止客戶隨意無線網絡，可以關閉SSID 廣播功能，客戶只能通過手動方式來設置網絡連接參數。

保護Layer2 和Layer3 層面安全

Layer2 層利用了工業化的安全解決方案，例如擴展認證協議（EAP，即DOTT1X）、Wi-Fi 保護控制（WPA/WPA2）等措施，來提供更高級的安全和加密操作?？蛻舳说紸P 的數據會通過WAP/WAP2/WEP/802.11i 等協議，利用AES/TKIP 進行加密。對于AP 到WLC 控制器CAP 隧道來說，默認數據層面是不加密的，為了提高安全性，也可以開啟加密功能。這樣不管是無線還是有線部分，都實現了嚴密的安全保護。

Layer3 層安全支持本地和RADIUS 的MAC 地址過濾功能，讓符合條件的客戶端才可以連接進來。中小型無線網絡還可以使用本地或RADIUS 認證方式來對用戶登錄進行管理，其實這就是Web 認證服務，所有的用戶名和密碼可以存放在WLC 本地，也可以存放在RADIUS 服務器上。對于后者來說，Web認證的流量會發送到RADIUS服務器上，如果通過認證則可以順利連接。

思科UWN 是基于802.1X的3A（即認證、授權和審計）機制運作的，對于在WLC 本地無法實現的安全功能，可以借助于ACS/ISE 設備來完成。對于WLC 和AP 來說，在其所有接口上都支持802.1X認證和授權的協議。對于基于每WLAN 的安全解決方案來說，每個AP 最多廣播16個WLAN，減少了更多AP 的需求，但是增加了干擾并減少了系統吞吐量。通過RRM（射頻資源管理）來連續的監控干擾和安全事件，及時通知管理員查看檢測到的時間。

使用密碼策略，實現安全連接

對于安全認證來說，密碼的作用是極為重要的，普通的密碼難以應對黑客攻擊。為此可以在WLC上開啟增強的密碼檢查功能，來強化密碼的安全性。

密碼策略會影響到本地管理和AP 用戶。登錄到WLC 管理界面，在工具欄上選擇“SECURITY”項，在左側選擇“AAA”→“Password Policies”項，在右側的“Local Management User and AP”欄中針對本地管理員和AP 用戶設置密碼策略。

依次包括激活密碼復雜度要求（至少包含三個不同的內容），在密碼中不能包含連續三個以上重讀的字符，密碼不能使用諸如“cisco”和“admin”之類的名稱等。

在“Management User”和“SNMPv3 User”欄中分別針對管理用戶和SNMP V3 用戶設置控制策略，依次包括激活管理員/SNMP v3 鎖定功能、嘗試登錄次數、鎖定時間、密碼有效期等。在左側選擇“AAA”→“General”項，在右側的“Maximum Local Databse entries”欄中可以設置本地最大數據庫的條目，包括本地管理員用戶、本地網絡用戶、MAC Filter 條目、排除清單條目、AP 授權列表條目等。

使用MAC 過濾，攔截非法客戶

MAC Filter 可以針對客戶和管理員實現認證功能，首先需要在WLAN 級別進行激活，當開啟了MAC 地址過濾功能后，需將所需MAC 地址加入白名單。注意，MAC 認證優先級高于本地MAC 過濾。

在WLC 管理界面工具欄上點擊“WLANs”，選擇某個WLAN 項目，在屬性窗口中的“Security”面板打開“Layer2”標簽，選擇“MAC Filtering”激活MAC 過濾功能。在工具欄上選擇“SECURITY”項，在左側選擇“AAA”、“MAC Filtering”項，在右側輸入MAC 地址、名稱、描述信息、對應IP 地址，在“Interface Name”列表中關聯的接口名稱。點擊“Apply”按鈕，將其添加到白名單中。

在默認情況下，WLC 會自動激活IP 和MAC 地址綁定功能，即WLC 會自動記錄關聯上來的客戶端設備的MAC和IP 地址。當客戶的數據包發給WLC 時，WLC 會檢測其中的MAC 和IP 地址是否匹配，如果不匹配則拒絕轉發。如果需要禁用該功能，可以在WLC 的命令行接口中執行“config network ip-macbinding disable”命令即可。

管理DHCP 中繼代理

在默認情況下，WLC 會充當DHCP 中繼代理的角色，客戶端必須通過WLC 才可以和DHCP 服務器進行聯系。WLC在執行DHCP 中繼任務時，會通過DHCP 82 號選項，在回應信息中插入一些信息。

例如，對于多個VLAN 的環境中，WLC 會將每個VALN的SVI 地址插入進來，讓DHCP 服務器來關聯對應的地址池，之后將所需地址送給特定VLAN 中的主機。利用這一特性可以插入更多信息，實現高級管理功能。

例如，插入AP 的MAC 地址和SSID 信息，之后在DHCP上配置復雜的策略，實現靈活的地址推送功能。在工具欄上選擇“CONTROLLER”項，在左側選擇“Interfaces”，選擇某個動態接口，該接口和特定VLAN 綁定。在右側的“DHCP Information”欄選擇“Enable DHCP Option 82”，激活該插入功能。在左側選擇“Advanced →DHCP”項，在右側的“DHCP Option 82 RemoteIdfieldformat”列表中顯示所有可以插入的格式。

例如，選擇“AP-ETHMACSSID”項，來插入AP 的MAC地址和SSID 信息。在充當DHCP 服務器的某交換機上執行“ip dhcp poolap”，“class APESSID”，“addressrange172.1.1.210172.1.1.220”，“calssdefault”，“address range 172.1.1.1 172.1.1.199”之類的命令，來創建所需的地址池。執行：

其中“xxx”為AP 的MAC加上SSID 的內容。如果檢測到該MAC 和SSID 的組合，就為其分配指定范圍內地址。如果不符合該格式，就使用默認的地址范圍。

激活CAPWAP 加密功能

為保護AP和WLC之間數據傳輸安全性，可以啟用CAPWAP 數據層面加密功能。在工具欄上選擇“WIRELESS”項，選擇某個AP，在屬性窗口中的“Advanced”面板選擇“Data Encryption”，重啟AP激活該功能。將WLC 和IDS聯合運作可有效提高無線網卡安全性。當IDS 檢測到惡意連接請求后，就會提交給WLC，WLC 通知目標AP 在邊界位置將該惡意用戶阻斷。

在工具欄上點擊“SECURITY”項，在左側選擇“Advanced”→“CIDS”→“Sensors”項，在右側輸入IDS/IPS 設備的IP、IDS 的用戶名和密碼，在“Status”欄中選擇“Enabled”項，將其激活接口。這樣，WLC 會在預設的周期（默認為60秒）向IDS 設備進行詢問，來獲取需要阻斷的用戶信息。其實，在WLC 已經內建了簡單的IDS 功能模塊，提供了17 種特征碼，來匹配和抵御符合條件的無線攻擊行為。在上述窗口左側選擇“Wireless Protection Policies”→“Standard Signatures”項，在右側顯示標準的特征碼信息。

利用ACL 列表，管控客戶訪問

ACL 列表可有效管控WLC特定端口的訪問行為，可以將ACL 放置到管理接口、動態接口以及WLAN 等位置。在上述窗口左側選擇“Access Control List → Access Contrl List”項，在右側可以創建針對數據層面的ACL項目，即主要對客戶端和WLC之間的傳輸的數據流量進行管理。點擊“New”按鈕輸入該ACL 名稱（例如“Acl1”），在“ACL Type”欄中選擇其類型，包括IPv4 和IPv6。

在其屬性窗口中點擊“Add New Rule”，設置所需的源和目的地址、協議及方向等。例如，在“Protocol”列表中選擇“ICMP”協議，在“Destination”中輸入目的地址段，如20.1.1.0/255.255.255.0。在“Action”列表中選擇“Deny”項。同理創建新的規則，放行所有的流量。這樣，針對特定地址的ICMP 流量就會被攔截。

在工具欄上選擇“CONTROLLER”項，然后選擇“Interfaces”，選擇某個動態接口，在右側“ACL Name”列表中選擇上述“Acl1”項，將其綁定到該接口上。

這樣就可以阻止來自該接口的特定的ICMP 流量。當然，也可以選擇某個WLAN，在屬性窗口中的“Advanced”面板的“Override Interface ACL”列表中選擇所需ACL 項目，使兩者綁定。CPU 的ACL可以針對抵達WLC 的管理和控制層面的流量進行管理的ACL，例如先按照上述方法創建一個普通ACL 項目（如“Cpuacl”），添加兩個規則，分別實現攔截HTTP 的流量和放行所有流量。

選擇“Access Control List →CPU Access Contro List”項，在右側選擇“Enable CPU ACL”項，激活ACL 控制列表。在“ACL Name”列表中選擇上述“Cpuacl”。這樣，即使已經開啟了HTTP 網管功能，也被該ACL 禁止。Layer2 控制列表基于以太網類型進行判斷，選擇“Access Control List →Layer2 ACLs”項，點擊“New”輸入該ACL 名稱（如“Acl2”），在屬性窗口添加一個規則，在“EtherType”列表選擇以太網類型，例如選擇“PPPoE Discovery Stage”，在“Action”列表中選擇“Deny”。

同理，創建新的規則，針對“PPPoESession Stage”類型進行攔截。之后再創建一個規則，選擇“Custom”類型，在“Ether Type(Custom)”和“EtherMask(Custom)”欄中輸入“0”，表示放行所有流量。選擇WAN 項目的屬性窗口“Advanced”→“Layer 2 Acl”列表，選擇該ACL 項目。這樣在該WLAN 中就可禁止傳輸PPPoE 的流量。FlexConnect ACL 適用于FlexConnect 轉發模式，需要將ACL 列表推送給AP。

選擇“Access Control List”→“FlexConnect ACLs”項，創建新的ACL（例如“Flexacl”），創建兩條規則，實現攔截去往諸如172.1.1.0/255.255.255.0之類地址段的ICMP 流量和放行所有的流量。注意，目標AP 必須處于FlexConnect模式。在目標WLAN 的屬性窗口中的“Advanced”面板中選擇“FlexConnect Local Switching”項，將其切換到FlexConnect 狀態下。

在目標AP 屬性窗口中的“FlexConnect”面板中選擇“VLAN Support”項，在“Native VLAN”欄中輸入對應的VLAN 號（例如“20”），點擊“Apply”和“VALN Mapping”，在打開窗口中點擊“Go”按鈕，在上述VLAN“Ingress ACL”和“Egress ACL”列表中分別選擇上述“Flexacl”項目，點擊“Apply”按鈕推送到該AP。這樣，在該VLAN 中就可以攔截特定的ICMP 流量了。

保護管理幀

在802.11 中，管理幀始終沒有得到認證和加密保護，而使用WPA/WPA2 等協議是可以加密數據流的，這就會引發一些安全問題。

例如，攻擊者可以使用偽裝AP 的管理幀攻擊與其關聯的客戶端，讓客戶頓無法正常連接。使用這種攻擊方法可以在WLAN 上執行DoS攻擊，當重新連接時，可以在客戶端上進行中間人攻擊。

對于這種攻擊來說，只有使用管理幀保護才可以進行有效防御。在AP 之間是可以發送一些管理幀的，這些管理幀需要被保護。對于客戶端和AP 之間發送的管理幀，也需要進行保護。對于基礎架構的MPF 來說，所有管理幀被秘密進行散列化處理，來創建消息完整性檢查，并被添加到幀的末端。

當一個或多個WLAN 上啟用MPF 時，WLC 將唯一的密鑰發送到每個已經注冊的AP上，AP通過啟用MPF的WLAN 發送管理幀，任何試圖修改幀的操作都會使消息變得無效。客戶端MFP 屏蔽了來自偽裝幀的已認證的客戶端，阻止了對無線網絡的很多常見的攻擊。即客戶端MPF 加密在接入點和CCXv5客戶端之間發送的管理幀，以便接入點和客戶端均能采取預防措施并丟棄偽裝的第三類管理幀?？蛻舳薓PF 可以有效利用IEEE802.11i 定義的安全機制來保護這些類型為第三類的管理幀，從而防御來自常見拒絕服務攻擊的客戶端接入點會話。

當然，在客戶端必須使用支持CCXv5 MPF 的網卡才行。在WLC 界面工具欄選擇“SECURITY”，選擇“Wireless Protection Policies →AP Authentication”項，在右側的“Protection Type”列表中選擇“Management Frame Protection”項，激活基礎設施的管理幀保護功能。在工具欄上選擇“WLANs”項，選擇某個WLAN，在屬性窗口中的“Advanced”面板中的“MPF Client Protection”列表中選擇“Required”項，激活基于客戶端的MPF 功能。

利用本地認證，配置管控策略

WLC 本地策略可基于HTTP/DHCP 等協議來識別客戶端設備。利用這一特性，可以基于設備類型（例如安卓手機等），來推送對應策略，管控客戶端行為。注意，最多可配置64 個本地策略。其匹配條件靈活，當匹配合適的條件后，可以執行各種授權操作。

在選定的WLAN 屬性窗口中的“Advanced”面板中的“Local Client Profiling”欄選擇“DHCP Profiling”和“HTTP Profiling”項，激活本地設備識別功能。即在本地收集DHCP 和HTTP協議的信息，對設備進行識別操作。在工具欄上選擇“MONITOR”項，在左側選擇“Local Profiles”項，在右側顯示識別出來的設備信息（例如是Windows 7 的主機等）。在工具欄上選擇“SECURITY”項，在左側選擇“Local Policies”項，在右側點擊“New”按鈕，輸入該策略名稱。

在其屬性編輯窗口中的“Device Type”列表中選擇設備類型，例如“Windows7-Workstation”項。點擊“Add”按鈕，在“Action”欄中可以設置匹配的動作，例如設置ACL、VLAN 等。在“Active Hours”欄中設置具體的日期和時間，來確定策略的有效期。當創建了策略后，需要在工具欄上選擇“WLANs”項，在選定的WLAN的“Policy →Mapping”面板中的“Local Policy”列表中選擇該策略，點擊“Add”按鈕，來調用該策略才可以讓其生效。