大型郵件處理場(chǎng)地WLAN安全方案研究

李瑞

摘 ? 要：文章結(jié)合郵政企業(yè)實(shí)際，采用目前主流的成熟技術(shù)作為解決方案，介紹了勞動(dòng)密集型企業(yè)、大型郵件處理場(chǎng)地的WLAN安全方案設(shè)計(jì)，闡述了WLAN安全設(shè)計(jì)方案的部署和實(shí)現(xiàn)，對(duì)用戶認(rèn)證和數(shù)據(jù)加密機(jī)制進(jìn)行了分析，以便更好地保證相關(guān)物流數(shù)據(jù)的安全傳輸，從而保障日常大批量郵件分揀封發(fā)等處理環(huán)節(jié)穩(wěn)定、高效地進(jìn)行。

關(guān)鍵詞：無(wú)線局域網(wǎng);WPA2;802.1x;遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)

1 ? ?中心樞紐郵件處理背景

隨著網(wǎng)絡(luò)購(gòu)物迅猛發(fā)展，快遞包裹量也隨之增加，作為全國(guó)郵政系統(tǒng)二級(jí)樞紐中心局，日均處理郵件量達(dá)幾十萬(wàn)，“雙十一”期間達(dá)到最高峰，而且逐年大量增加。該中心樞紐采用大平面皮帶機(jī)分揀矩陣輸送分揀封發(fā)郵件，郵件信息處理采用手持條形碼掃碼器（Personal Digital Assistant，PDA）掃描郵件條碼。作為勞動(dòng)密集型郵政企業(yè)，在大型郵件處理場(chǎng)地，日常使用上百臺(tái)PDA同時(shí)作業(yè)，通過(guò)無(wú)線局域網(wǎng)（Wireless Local Area Networks，WLAN）鏈接到郵政企業(yè)內(nèi)部生產(chǎn)網(wǎng)絡(luò)，并把相關(guān)物流數(shù)據(jù)上傳至全國(guó)中心服務(wù)器。

目前，該樞紐使用無(wú)線接入點(diǎn)（Access Point，AP）摩托羅拉6521，并將其中一臺(tái)AP作為虛擬接入控制器（Access Controller，AC），胖AP不適合大型無(wú)線局域網(wǎng)的應(yīng)用;目前采用的加密方式是WPA/WPA2-PSK，這種認(rèn)證加密適合小型企業(yè)和家庭WiFi用戶，不適合大型企業(yè)。

目前的部署和加密方式?jīng)Q定了無(wú)線網(wǎng)絡(luò)將面臨許多安全問(wèn)題，已經(jīng)不適應(yīng)大型企業(yè)的生產(chǎn)作業(yè)實(shí)際，更不能滿足未來(lái)淮海地區(qū)國(guó)際國(guó)內(nèi)郵件交換中心的定位。

2 ? ?WLAN安全部署

首先，對(duì)WLAN進(jìn)行安全部署。采用核心交換機(jī)旁掛AC，AC+瘦AP是目前無(wú)線局域網(wǎng)部署與維護(hù)的主流技術(shù)。AC負(fù)責(zé)WLAN的接入控制、對(duì)AP的監(jiān)控、漫游管理和安全控制等，瘦AP只具有加密、射頻功能和將有線轉(zhuǎn)換成無(wú)線的功能，AP使用POE交換機(jī)或POE電源適配器供電。AP必須和AC聯(lián)動(dòng)。瘦AP必須在無(wú)線控制器AC上注冊(cè)成功，才能從AC上下載配置與固件升級(jí)，從而實(shí)現(xiàn)零配置[1]。通過(guò)IEEE802.11n標(biāo)準(zhǔn)能夠與現(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行平滑無(wú)縫的鏈接，支持多入多出（Multiple Input and Multiple Output，MIMO）與正交頻分復(fù)用（Orthogonal Frequency Division Multiplexing，OFDM），使傳輸速率得到極大提升。

其次，無(wú)線局域網(wǎng)以電磁波為載體，在功率覆蓋范圍內(nèi)有條件地對(duì)信息進(jìn)行竊聽和干擾[2]。基本做法是關(guān)閉服務(wù)集標(biāo)識(shí)（Service Set Identifier，SSID）廣播、MAC地址綁定、部署防地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊功能等。例如，為了避免非法用戶通過(guò)SSID搜索到并建立非法連接，可以禁用AP廣播SSID，隱藏?zé)o線SSID信息，那么其他用戶搜索不到無(wú)線信息，通過(guò)無(wú)線網(wǎng)絡(luò)的隱蔽性來(lái)提高WLAN的安全性。對(duì)無(wú)線接入終端設(shè)備PDA進(jìn)行IP和MAC綁定過(guò)濾，MAC過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，設(shè)置黑白名單后，確保只有在企業(yè)注冊(cè)過(guò)的終端設(shè)備才能通過(guò)這些AP進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。由于接入無(wú)線網(wǎng)絡(luò)用戶的多樣性和不確定性，有可能出現(xiàn)客戶端私設(shè)IP地址或者ARP病毒發(fā)起ARP攻擊的情況，因此，需要部署防ARP攻擊功能，解決這些問(wèn)題，實(shí)施包括以下措施：在AC上，開啟DHCP snooping，并且配置信任端口;配置ARP防護(hù)功能及清除ARP及proxy_arp表。

再次，把PDA作為無(wú)線終端，把核心交換機(jī)華三S5560設(shè)置成本地遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)（Remote Authentication Dial In User Service，RADIUS）認(rèn)證，華三S5560在PDA和認(rèn)證服務(wù)器之間充當(dāng)代理角色（proxy）。在核心交換機(jī)上旁掛一臺(tái)主用的RADIUS服務(wù)器和一臺(tái)備用的RADIUS服務(wù)器，對(duì)用戶驗(yàn)證的執(zhí)行順序可以通過(guò)命令行設(shè)置。設(shè)置RADIUS服務(wù)器目的是使用戶認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離，安全性提高;對(duì)于大規(guī)模用戶來(lái)說(shuō)，只要管理這臺(tái)RADIUS服務(wù)器即可。

最后，有線網(wǎng)與無(wú)線網(wǎng)單獨(dú)劃分子網(wǎng)，并在無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間設(shè)置防火墻，防止無(wú)線網(wǎng)絡(luò)被入侵后范圍擴(kuò)大;核心交換機(jī)上設(shè)置訪問(wèn)控制列表，嚴(yán)格控制各子網(wǎng)間訪問(wèn);部署入侵檢測(cè)系統(tǒng)，與防火墻聯(lián)動(dòng)，這樣可以有效阻止內(nèi)外部的入侵。

3 ? ?用戶接入認(rèn)證

為了增強(qiáng)已部署的無(wú)線網(wǎng)絡(luò)安全性，對(duì)無(wú)線用戶的接入加強(qiáng)控制，以限定特定的用戶（授權(quán)的用戶）可以使用網(wǎng)絡(luò)資源，采用802.1x身份認(rèn)證+RADIUS認(rèn)證服務(wù)器[3-4]。802.1x系統(tǒng)為Client/Server結(jié)構(gòu)，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略，是基于端口的認(rèn)證策略（可以是物理端口也可以是VLAN一樣的邏輯端口，相對(duì)于無(wú)線局域網(wǎng)“端口”就是一條信道）。它包括3個(gè)實(shí)體，即請(qǐng)求者系統(tǒng)（Client）、認(rèn)證系統(tǒng)（如LAN Switch或AP等）和RADIUS。第1步：在客戶端PDA上設(shè)置802.1x-EAP安全方式，在LAN Switch或AP設(shè)備上啟動(dòng)AAA功能、定義驗(yàn)證方法列表、應(yīng)用驗(yàn)證方法列表等，這時(shí)LAN Switch或AP作為RADIUS服務(wù)器的客戶端，將PDA的認(rèn)證信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器。第2步：配置RADIUS相關(guān)參數(shù)，包含指定RADIUS服務(wù)器的IP地址、LAN Switch或AP設(shè)備與RADIUS服務(wù)器之間的密碼等參數(shù)，把LAN Switch或AP設(shè)備和RADIUS服務(wù)器設(shè)置成聯(lián)動(dòng)模式。第3步：配置授權(quán)、記賬等相關(guān)參數(shù)。

802.1x協(xié)議是基于用戶的訪問(wèn)控制和認(rèn)證協(xié)議的，它可以限制未經(jīng)授權(quán)的用戶和設(shè)備通過(guò)接入端口訪問(wèn)網(wǎng)絡(luò)。在認(rèn)證通過(guò)之前，802.1x只允許基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol over LAN，EAPoL）數(shù)據(jù)通過(guò)設(shè)備端口，將用戶名和口令傳送到后臺(tái)的RADIUS認(rèn)證服務(wù)器上，如果用戶名及口令通過(guò)了驗(yàn)證，則相應(yīng)端口打開，分配無(wú)線用戶設(shè)備IP地址，正常的數(shù)據(jù)才可以順利地通過(guò)端口，用戶上線完畢;如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1x的認(rèn)證報(bào)文EAPOL通過(guò)。由此構(gòu)成實(shí)現(xiàn)驗(yàn)證（用戶是誰(shuí)？）、授權(quán)（用戶可以做什么？）、統(tǒng)計(jì)（用戶做過(guò)什么？）功能的AAA系統(tǒng)。RADIUS可以對(duì)用戶身份進(jìn)行集中管理，安全性好，策略也更靈活，同時(shí)還可以記錄用戶的網(wǎng)絡(luò)使用情況用于網(wǎng)管分析。

除了可以為WLAN提供認(rèn)證安全措施外，802.1x與RADIUS服務(wù)器相結(jié)合，還可以提供密鑰管理功能，使用802.1x周期性地把這些密鑰傳送給各相關(guān)用戶，快速重置密鑰，架設(shè)的RADIUS服務(wù)器為Windows 2008 server，以用戶名、口令的方式驗(yàn)證無(wú)線接入用戶。通過(guò)接入控制，防止未經(jīng)授權(quán)的用戶訪問(wèn)網(wǎng)絡(luò)，保證了網(wǎng)絡(luò)的安全性。

4 ? ?數(shù)據(jù)加密傳輸

在WLAN用戶通過(guò)認(rèn)證并賦予訪問(wèn)權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶所傳輸?shù)臄?shù)據(jù)不被窺視，那就需要對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特定設(shè)備可以對(duì)接收到的報(bào)文成功解密。所以使用WPA2-RADIUS加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，防止被非法截獲。

WPA2是經(jīng)由WiFi聯(lián)盟驗(yàn)證過(guò)的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式。IEEE802.11i協(xié)議標(biāo)準(zhǔn)由上下兩個(gè)層次組成：上層是802.1x協(xié)議和EAP認(rèn)證協(xié)議，提供雙向認(rèn)證和動(dòng)態(tài)密鑰管理功能[5];下層是兩種改進(jìn)的加密協(xié)議，即TKIP，CCMP，實(shí)現(xiàn)數(shù)據(jù)的加密和安全傳輸。CCMP采用AES加密算法，徹底解決了WLAN安全性問(wèn)題，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。對(duì)于AES塊加密，目前無(wú)法破解，非常安全。

和WAP/WPA2-PSK相同的是，WPA2-RADIUS的密鑰也隨著數(shù)據(jù)包的不同而變化。但WPA2-RADIUS加密需要一個(gè)RADIUS服務(wù)器，對(duì)用戶接入認(rèn)證就是使用的RADIUS。所以只要配置好它就可以，而且WPA2-RADIUS加密的安全性非常高，很適合大型的企業(yè)對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行安全設(shè)置。

5 ? ?結(jié)語(yǔ)

本文論述了大型郵件處理場(chǎng)地加強(qiáng)WLAN安全性的防護(hù)方案，但郵件處理講究時(shí)效性，如果設(shè)置部署WLAN策略過(guò)多，勢(shì)必影響到網(wǎng)絡(luò)的速度，因此，需要平衡安全與效率的問(wèn)題。同時(shí)加強(qiáng)對(duì)從業(yè)人員使用網(wǎng)絡(luò)的教育與培訓(xùn)，建立使用網(wǎng)絡(luò)的安全管理制度，并嚴(yán)格執(zhí)行，從而為日常大批量郵件分揀封發(fā)等處理環(huán)節(jié)穩(wěn)定、高效地進(jìn)行提供網(wǎng)絡(luò)支撐，有力保證各類KPI的實(shí)現(xiàn)。

[參考文獻(xiàn)]

[1]杰夫.TCP/IP路由技術(shù)[M].葛建立，吳劍章，譯.北京：人民郵電出版社，2007.

[2]張路橋.無(wú)線網(wǎng)絡(luò)技術(shù)—原理、安全及實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2019.

[3]楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.

[4]楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)[M].北京：電子工業(yè)出版社，2008.

[5]加斯特.802.11無(wú)線網(wǎng)絡(luò)權(quán)威指南[M].OReilly Taiwan公司，編譯.南京：東南大學(xué)出版社，2007.