實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的部署與安全管理

2015-03-10 07:06:00陳國凱

實(shí)驗(yàn)技術(shù)與管理 2015年2期

關(guān)鍵詞：實(shí)驗(yàn)室設(shè)備檢測

陳波，陳國凱

(南京師范大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇南京 210023)

計(jì)算機(jī)技術(shù)應(yīng)用

實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的部署與安全管理

陳波，陳國凱

(南京師范大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇南京 210023)

針對高校實(shí)驗(yàn)室環(huán)境、用戶對象和主要用途，給出了部署Wi-Fi網(wǎng)絡(luò)應(yīng)遵循的步驟和一套具體的Wi-Fi網(wǎng)絡(luò)部署方案。在部署網(wǎng)絡(luò)時融入安全設(shè)備以應(yīng)對網(wǎng)絡(luò)安全問題，通過定期的掃描檢測來對Wi-Fi網(wǎng)絡(luò)的安全性進(jìn)行監(jiān)測和預(yù)警，從而確保實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全。

Wi-Fi網(wǎng)絡(luò)；無線網(wǎng)絡(luò)部署；網(wǎng)絡(luò)安全管理

Wi-Fi是當(dāng)今使用最廣泛的一種無線網(wǎng)絡(luò)傳輸技術(shù)[1]。在高校實(shí)驗(yàn)室，實(shí)驗(yàn)人員習(xí)慣用自己的手機(jī)或平板電腦進(jìn)行信息查詢、資料檢索甚至是學(xué)術(shù)交流和實(shí)驗(yàn)探討，故在實(shí)驗(yàn)室部署Wi-Fi網(wǎng)絡(luò)已十分必要。

確保Wi-Fi網(wǎng)絡(luò)的安全運(yùn)行是實(shí)驗(yàn)室的工作重點(diǎn)之一。盡管實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)已采用了防火墻、入侵檢測系統(tǒng)、增強(qiáng)網(wǎng)絡(luò)訪問控制、端口認(rèn)證技術(shù)[2](802.1x)以及數(shù)據(jù)加密傳輸?shù)萚3]一系列常規(guī)安全措施，但這些都是被動防御技術(shù)手段，難以應(yīng)對日益復(fù)雜的Wi-Fi網(wǎng)絡(luò)安全威脅，例如不能對系統(tǒng)進(jìn)行脆弱性分析、不能抵御未知攻擊等[4]。筆者對Wi-Fi網(wǎng)絡(luò)采用主動安全防御手段，通過定期掃描檢測進(jìn)行Wi-Fi網(wǎng)絡(luò)安全性分析，對網(wǎng)絡(luò)中的潛在安全威脅做出預(yù)警，從而保障了實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全。

1 實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)部署的步驟

Wi-Fi網(wǎng)絡(luò)的設(shè)計(jì)要比有線網(wǎng)絡(luò)復(fù)雜得多，因?yàn)閃i-Fi網(wǎng)絡(luò)很容易受到其他信號的干擾，所面臨的安全威脅也比有線網(wǎng)絡(luò)更加嚴(yán)重。做好實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)部署方案，不但能從性能和安全上保障網(wǎng)絡(luò)的可靠運(yùn)行、提升用戶滿意度，也能節(jié)省網(wǎng)絡(luò)運(yùn)營成本、降低后期網(wǎng)絡(luò)安全管理的難度。

1.1 認(rèn)真進(jìn)行實(shí)驗(yàn)室勘探

實(shí)驗(yàn)室勘探就是要根據(jù)用戶數(shù)量、業(yè)務(wù)特征、行為習(xí)慣等，明確Wi-Fi網(wǎng)絡(luò)的覆蓋范圍、應(yīng)用背景、網(wǎng)絡(luò)設(shè)計(jì)容量以及預(yù)期質(zhì)量。同時還需通過對目標(biāo)網(wǎng)絡(luò)區(qū)域的現(xiàn)場勘察獲得現(xiàn)場環(huán)境參數(shù)。由于Wi-Fi網(wǎng)絡(luò)使用的是非授權(quán)的ISM頻段，還需實(shí)地測量Wi-Fi覆蓋區(qū)域的干擾情況，排除或屏蔽干擾源[5]。

筆者所在學(xué)院的實(shí)驗(yàn)樓為2層“口”字型建筑，長約50 m，寬約42 m，中央為草坪。實(shí)驗(yàn)樓一層有1間報告廳、4間教師辦公室、4間研究生實(shí)驗(yàn)室、1間管理室；二層有9間教師辦公室、7間教師專屬實(shí)驗(yàn)室、1間網(wǎng)絡(luò)機(jī)房。

實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)應(yīng)該方便研究人員使用自帶設(shè)備進(jìn)行信息查詢、資料檢索以及信息交流，對網(wǎng)絡(luò)的吞吐量要求不高，但要求Wi-Fi網(wǎng)絡(luò)覆蓋各個實(shí)驗(yàn)室和走廊，覆蓋的用戶數(shù)約為120個。部署實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)前，應(yīng)消除或減弱實(shí)驗(yàn)室中的2.4 GHz頻段干擾源，例如微波爐或無繩電話，以保證網(wǎng)絡(luò)通信質(zhì)量。

1.2 合理規(guī)劃網(wǎng)絡(luò)覆蓋范圍

確定無線AP的位置在Wi-Fi網(wǎng)絡(luò)覆蓋范圍規(guī)劃中是非常重要的[6]。合理的AP位置有利于提供一個連接到有線網(wǎng)絡(luò)資源的接口，并為在Wi-Fi網(wǎng)絡(luò)中漫游的用戶提供足夠的覆蓋范圍。在室內(nèi)環(huán)境中，AP的位置需要考慮墻壁、門窗等遮擋物對無線信號的影響，并且需要進(jìn)行實(shí)地測試，以確保AP位置的選擇滿足要求。

無線AP的室內(nèi)覆蓋半徑通常為20～30 m，如果實(shí)驗(yàn)室面積較小，只需部署1個無線AP，將其安裝在實(shí)驗(yàn)室頂部的中心位置即可；如果實(shí)驗(yàn)室面積稍大，則應(yīng)部署2個無線AP，分別安裝于實(shí)驗(yàn)室寬的中心，長的1/4和3/4位置處，以保證Wi-Fi信號的全面覆蓋；對于整個樓層的實(shí)驗(yàn)室，可以間隔20 m設(shè)置一個無線AP。所有無線AP形成信號覆蓋區(qū)域的交叉覆蓋。

1.3 合理規(guī)劃網(wǎng)絡(luò)容量

目前Wi-Fi網(wǎng)絡(luò)支持IEEE802.11a/b/g/n標(biāo)準(zhǔn)。IEEE802.11b的標(biāo)稱數(shù)據(jù)傳輸速率可高達(dá)11 Mbit/s，IEEE802.11a/g的標(biāo)稱數(shù)據(jù)速率最高可達(dá)54 Mbit/s，IEEE802.11n的標(biāo)稱數(shù)據(jù)速率最高可達(dá)300 Mbit/s(在5 GHz頻段)。但在實(shí)際使用中，IEEE802.11a/b/g/n的傳輸凈數(shù)據(jù)率遠(yuǎn)遠(yuǎn)低于標(biāo)稱值。過于密集的AP群和單個AP接入過多的用戶數(shù)都會給網(wǎng)絡(luò)通信帶來沖突，從而影響Wi-Fi網(wǎng)絡(luò)的吞吐量。

實(shí)驗(yàn)室的Wi-Fi網(wǎng)絡(luò)應(yīng)部署支持802.11n的無線AP，因?yàn)檠芯咳藛T的自帶設(shè)備很多都支持802.11n標(biāo)準(zhǔn)，而802.11n在提供較高數(shù)據(jù)傳輸率的同時兼容使用802.11a/b/g標(biāo)準(zhǔn)的設(shè)備。此外，Wi-Fi網(wǎng)絡(luò)中的傳輸速率還取決于距離，只有距離AP相當(dāng)近時才能得到較高的速率。考慮到大多數(shù)時間，只有部分用戶會連接至AP，故一個無線AP可以為十幾臺接入設(shè)備提供較為滿意的服務(wù)。

1.4 合理規(guī)劃網(wǎng)絡(luò)信道

在Wi-Fi網(wǎng)絡(luò)的組網(wǎng)中，可以通過信道復(fù)用來增加網(wǎng)絡(luò)的容量，但同頻干擾和鄰頻干擾已成為Wi-Fi組網(wǎng)中存在的主要干擾源。故在規(guī)劃AP信道時，需要盡量將兩個相鄰AP設(shè)定在不交疊的信道上，以確保在增加AP擴(kuò)展網(wǎng)絡(luò)覆蓋范圍后，Wi-Fi網(wǎng)絡(luò)容量也同比增加。

實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)通常使用2.4 GHz的ISM頻段，該頻段劃分為13個信道，其中只有3個不交疊信道。為最大限度地避免信道的同頻干擾和鄰頻干擾，可設(shè)置AP復(fù)用1、6、11信道。實(shí)驗(yàn)室部署的802.1n標(biāo)準(zhǔn)AP同時也支持5.8 GHz頻段。5.8 GHz頻段提供了5個互不交疊的信道，信道號分別為149、153、157、161、165，該頻段抗干擾能力較強(qiáng)，可保證用戶的接入質(zhì)量和接入速率。因此，在實(shí)驗(yàn)室Wi-Fi組網(wǎng)中，可考慮采用2.4 GHz和5.8 GHz的雙頻組網(wǎng)(見圖1)。

圖1 實(shí)驗(yàn)室無線AP群雙頻信道配置

1.5 規(guī)劃網(wǎng)絡(luò)的安全

Wi-Fi在提供網(wǎng)絡(luò)資源的同時，也面臨著諸多安全問題，如鏈路竊聽、數(shù)據(jù)篡改、消息重放、身份假冒、非法訪問、拒絕服務(wù)、服務(wù)抵賴、路由攻擊和高級攻擊等[7-9]。為此，在Wi-Fi網(wǎng)絡(luò)的安全性規(guī)劃中，防火墻、入侵檢測系統(tǒng)是需要部署的常規(guī)安全設(shè)備，認(rèn)證方案可以選擇集團(tuán)認(rèn)證、本地認(rèn)證和家庭用戶認(rèn)證。

集團(tuán)認(rèn)證是指Wi-Fi用戶認(rèn)證要使用統(tǒng)一的集團(tuán)RADIUS認(rèn)證服務(wù)器，通過Web進(jìn)行認(rèn)證的方式；本地認(rèn)證則是使用本地設(shè)置RADIUS認(rèn)證服務(wù)器，以PPPoE、Web或IEEE802.1x等方式進(jìn)行認(rèn)證[10]；家庭用戶認(rèn)證多采用WEP、WPA-PSK/WPA2-PSK認(rèn)證，雖然安全性不及集團(tuán)認(rèn)證，但是其系統(tǒng)開銷較小[11]。Wi-Fi網(wǎng)絡(luò)中的加密包括無線鏈路層的加密和網(wǎng)絡(luò)層的加密。無線鏈路層的加密可采用WEP、TKIP、AES等協(xié)議算法加密，網(wǎng)絡(luò)層的加密通常會采用IPSec、L2TP、PPTP等隧道技術(shù)建立虛擬專用網(wǎng)后對通信數(shù)據(jù)進(jìn)行加密[12]。

鑒于實(shí)驗(yàn)室的Wi-Fi網(wǎng)絡(luò)并不以盈利為目的，為節(jié)省運(yùn)營成本，可采取WPA2-PSK進(jìn)行認(rèn)證，認(rèn)證口令盡量設(shè)置為20個以上的隨機(jī)字符，加密算法可選擇AES。同時應(yīng)更改無線AP的默認(rèn)管理地址和默認(rèn)管理密碼，以保證無線AP自身配置的安全。此外，由于實(shí)驗(yàn)室的人員較為固定，建議關(guān)閉無線AP的SSID廣播并設(shè)置MAC地址過濾，以提高安全性。

2 實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)部署方案

由于實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的用戶接入量和網(wǎng)絡(luò)通信量都不及校園網(wǎng)和大中型單位的Wi-Fi網(wǎng)絡(luò)，并且實(shí)驗(yàn)室已經(jīng)進(jìn)行了綜合布線，因此，筆者在進(jìn)行Wi-Fi網(wǎng)絡(luò)部署時采用了“無線AP+交換機(jī)+寬帶路由器”的方案(見圖2)，使用無線AP作為無線客戶端的接入設(shè)備，采用交換機(jī)作為AP間互聯(lián)的中心集線設(shè)備，使用寬帶路由器提供到Internet的連接(見圖3)。

圖2 “無線AP+交換機(jī)+寬帶路由器”方案

圖3 實(shí)驗(yàn)樓一層Wi-Fi網(wǎng)絡(luò)部署圖

在部署方案中，無線AP可采用性價比較高的Cisco Aironet 1040系列接入點(diǎn)，交換機(jī)采用內(nèi)置無線局域網(wǎng)控制器的Cisco Catalyst 3750系列交換機(jī)。為了確保網(wǎng)絡(luò)的安全性，入侵檢測系統(tǒng)采用入門級的Cisco IDS 4210系列設(shè)備檢測器，防火墻采用新一代的Cisco ASA 5500系列自適應(yīng)安全設(shè)備，寬帶路由器采用集成多業(yè)務(wù)的Cisco 1900系列路由器并配置好訪問控制列表(access control list，ACL)。

該方案能實(shí)現(xiàn)Wi-Fi網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的兼容，既能保護(hù)實(shí)驗(yàn)室原有以太網(wǎng)，又能保證移動設(shè)備聯(lián)網(wǎng)的需求，同時該方案還能實(shí)現(xiàn)無線用戶的漫游。

3 實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全管理

傳統(tǒng)的被動網(wǎng)絡(luò)安全防護(hù)設(shè)備難以滿足經(jīng)常變化的Wi-Fi網(wǎng)絡(luò)終端設(shè)備、終端用戶和終端應(yīng)用的安全要求，對Wi-Fi網(wǎng)絡(luò)的信號干擾、偽裝AP和非法客戶端、網(wǎng)絡(luò)拒絕服務(wù)、惡意占用帶寬和無線接入設(shè)備配置錯誤等安全問題[13-14]非常突出。因此，需要在實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)投入運(yùn)行后，加強(qiáng)對網(wǎng)絡(luò)安全的管理，以保證網(wǎng)絡(luò)能持續(xù)穩(wěn)定地運(yùn)行。

3.1 安全管理的解決思路

首先要確立主動安全管理的思路，即通過定期Wi-Fi網(wǎng)絡(luò)狀態(tài)掃描檢測的主動防御手段，對實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)安全問題進(jìn)行預(yù)警。Wi-Fi網(wǎng)絡(luò)狀態(tài)掃描檢測對于安全管理的重要意義在于：

(1) 可以通過掃描Wi-Fi網(wǎng)絡(luò)使用的信道，檢測干擾信號的強(qiáng)度和信噪比，同時檢測覆蓋實(shí)驗(yàn)室的其他Wi-Fi網(wǎng)絡(luò)信號，并分析實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)所受到的干擾影響程度，給出排除或減弱干擾信號的措施；

(2) 可以通過掃描檢測出不符合系統(tǒng)安全規(guī)則的異常設(shè)備，對偽裝AP和非法客戶端進(jìn)行報警，幫助管理員對非法設(shè)備進(jìn)行定位，并最終排除非法設(shè)備；

(3) 可以掃描檢測Wi-Fi網(wǎng)絡(luò)中的用戶行為，對存在的DoS攻擊或其他不合規(guī)行為進(jìn)行報警，幫助管理員及早消除網(wǎng)絡(luò)攻擊；

(4) 通過監(jiān)測實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的流量，判斷是否存在惡意占用網(wǎng)絡(luò)帶寬的情況，是否存在ARP病毒等，以幫助管理員及時改善網(wǎng)絡(luò)性能；

(5) 檢測實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)設(shè)備的基本配置情況，如加密認(rèn)證方式、所使用的信道、SSID廣播設(shè)置、MAC過濾設(shè)置、設(shè)備制造商等信息，可以過濾出配置有誤的設(shè)備：其中加密認(rèn)證信息能預(yù)估該網(wǎng)絡(luò)的安全性，所使用的信道能判斷Wi-Fi網(wǎng)絡(luò)頻段規(guī)劃是否合理，關(guān)閉SSID廣播和設(shè)置MAC地址過濾能提高Wi-Fi網(wǎng)絡(luò)的安全性，通過AP設(shè)備制造商的信息能及時獲取設(shè)備的安全公告和相應(yīng)的補(bǔ)丁程序。

3.2 安全管理工具

針對實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全管理，可使用Nmap、Nessus、OpenVAS等系統(tǒng)安全漏洞掃描工具，也可使用NetStumbler、inSSIDer、Kismet等免費(fèi)Wi-Fi網(wǎng)絡(luò)狀態(tài)監(jiān)測工具，還可使用AirMagnet Wi-Fi Analyzer、AirMagnet Spectrum Analyzer、AirMagnet Handheld Analyzer等專業(yè)Wi-Fi網(wǎng)絡(luò)分析管理工具。

以我校102實(shí)驗(yàn)室為例，該實(shí)驗(yàn)室是一個近似正方形的計(jì)算機(jī)系研究生實(shí)驗(yàn)室，面積90 m2，內(nèi)部放置了36臺PC機(jī)，部署一個SSID名為“102”的Wi-Fi熱點(diǎn)。該實(shí)驗(yàn)室附近還有3個研究生實(shí)驗(yàn)室，每個實(shí)驗(yàn)室都部署了Wi-Fi熱點(diǎn)。

筆者所用的Wi-Fi網(wǎng)絡(luò)安全管理軟件是美國Fluke電子儀器儀表公司的AirMagnet Wi-Fi Analyzer Pro(以下簡稱Analyzer)，配套Proxim公司的Proxim Orinoco 8494 802.11a/b/g/n USB無線適配器，軟件及無線適配器均安裝在一臺運(yùn)行Windows 7操作系統(tǒng)的筆記本電腦上。Analyzer是一款用于移動審計(jì)和解決企業(yè)級Wi-Fi網(wǎng)絡(luò)問題的行業(yè)標(biāo)準(zhǔn)工具，它提供了一套全面的IEEE802.11監(jiān)控和診斷工具，用于搜索無線設(shè)備及其文件信息，能夠檢查設(shè)備活動情況以及測試和診斷各種無線網(wǎng)絡(luò)性能問題。該工具還可以自動探測Wi-Fi安全威脅和無線網(wǎng)絡(luò)漏洞，并給出檢測報告。

4 實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)安全檢測實(shí)例

4.1 兩層實(shí)驗(yàn)樓整體Wi-Fi網(wǎng)絡(luò)運(yùn)行情況的檢測

使用Analyzer對實(shí)驗(yàn)樓中的Wi-Fi網(wǎng)絡(luò)信號進(jìn)行掃描，發(fā)現(xiàn)除存在SSID名為“102”、“105”等實(shí)驗(yàn)室部署的Wi-Fi網(wǎng)絡(luò)外，還有SSID名為“fly-pc_AP”、“TP-Link_0CEE60”等無線網(wǎng)絡(luò)信號不在實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)登記之列，有些Wi-Fi信號來自附近樓宇或無線網(wǎng)絡(luò)運(yùn)營商(如中國移動)的Wi-Fi網(wǎng)絡(luò)，不過其信號強(qiáng)度很弱，在實(shí)驗(yàn)樓中無法連接至這些網(wǎng)絡(luò)。

通過掃描檢測得到的統(tǒng)計(jì)數(shù)據(jù)可以對Wi-Fi網(wǎng)絡(luò)的運(yùn)行環(huán)境和運(yùn)行狀況有一個大致的了解。例如信道利用率數(shù)據(jù)可以了解當(dāng)前Wi-Fi網(wǎng)絡(luò)使用的信道情況；客戶端流量排行可以了解是哪臺設(shè)備正在占用大量帶寬；SSID利用率排行可以了解各個Wi-Fi網(wǎng)絡(luò)的使用情況；AP安全性設(shè)置可以了解當(dāng)前實(shí)驗(yàn)樓Wi-Fi網(wǎng)絡(luò)的安全防護(hù)狀況。這些數(shù)據(jù)為Wi-Fi網(wǎng)絡(luò)的安全管理提供了一個重要參考。

依據(jù)速率、幀類型、重傳/分片幀、目的地址和介質(zhì)類型5個屬性，Analyzer能夠分別給出流量排名前10位的AP。Wi-Fi網(wǎng)絡(luò)的802.11b/g/n標(biāo)準(zhǔn)在各幀中使用多個不同速率發(fā)送，大量的低速幀意味著過量的帶寬占用以及低吞吐量。此外，Wi-Fi網(wǎng)絡(luò)中幀類型的比例對帶寬的利用率也有較大的影響，管理幀會以低速進(jìn)行傳輸，比數(shù)據(jù)幀占用更多的帶寬。過多的重傳和分片幀也使Wi-Fi網(wǎng)絡(luò)過于擁擠，網(wǎng)絡(luò)吞吐率不高。Wi-Fi網(wǎng)絡(luò)對多播和廣播幀更為敏感，因?yàn)樗械亩嗖ズ蛷V播幀都以低速傳輸，致使帶寬利用率低。多播和廣播幀需要更長的時間來完成傳輸過程，給其他等待信道空閑的設(shè)備造成了更多的延時。Wi-Fi網(wǎng)絡(luò)中不同介質(zhì)所占據(jù)的傳輸比例反映了該網(wǎng)絡(luò)的性能狀況。802.11n網(wǎng)絡(luò)會向下兼容802.11b/g網(wǎng)絡(luò)，如果支持802.11n的Wi-Fi網(wǎng)絡(luò)存在過多的802.11b/g流量，那么該網(wǎng)絡(luò)的吞吐量會比較低。

可以根據(jù)以上5個屬性數(shù)據(jù)對Wi-Fi網(wǎng)絡(luò)做出針對性的改進(jìn)。例如，當(dāng)某個Wi-Fi網(wǎng)絡(luò)的管理幀比例過高時，應(yīng)判斷網(wǎng)絡(luò)是否受到其他信號的干擾，并定位和排除干擾信號源。

4.2 針對102實(shí)驗(yàn)室信號干擾的管理

對102實(shí)驗(yàn)室中的Wi-Fi網(wǎng)絡(luò)信號進(jìn)行掃描，可以發(fā)現(xiàn)有19個Wi-Fi網(wǎng)絡(luò)可以覆蓋到該實(shí)驗(yàn)室，其中AP數(shù)有18個，信號強(qiáng)于-65 dBm的約占1/5，這些Wi-Fi網(wǎng)絡(luò)多集中在1、6、11信道上。“102”網(wǎng)絡(luò)所在的信道6上共有5個AP，因此存在一定的同頻干擾，但該信道上的實(shí)時干擾評分僅為1.451，小于閾值5，故干擾在可接受的范圍內(nèi)。

進(jìn)一步檢測“102”網(wǎng)絡(luò)在大量數(shù)據(jù)傳輸時信道6的利用率和吞吐量，可以看到低速幀的百分比過高，高速幀的百分比過低，流量主要集中在36 Mbit/s的低速幀(相對于54 Mbit/s)，使網(wǎng)絡(luò)的性能受到了影響。可以將實(shí)驗(yàn)室Wi-Fi使用的信道設(shè)為13，以減小信號干擾的影響。

筆者對102實(shí)驗(yàn)室四壁處的Wi-Fi網(wǎng)絡(luò)信號進(jìn)行了測量，實(shí)測信號強(qiáng)度為-45～-65 dBm，覆蓋效果較理想。檢測還表明，該Wi-Fi網(wǎng)絡(luò)存在多徑效應(yīng)，它是無線信號的多徑傳輸引起的干涉延時效應(yīng)。多徑效應(yīng)越嚴(yán)重，無線網(wǎng)絡(luò)的傳輸效率也就越差。改進(jìn)的措施是將該AP固定在實(shí)驗(yàn)室天花板的中心位置。

4.3 針對非法AP和非法客戶端的管理

對于實(shí)驗(yàn)室中用戶私自搭建的非法AP，可以使用Analyzer監(jiān)測其信號強(qiáng)度并定位，然后予以清除。在Analyzer的安全告警中能夠提示實(shí)驗(yàn)室中可能存在偽AP，原因是這些AP始終沒有關(guān)聯(lián)客戶端，因此可能會造成客戶端需要更長的時間去發(fā)現(xiàn)合法AP并進(jìn)行關(guān)聯(lián)。然而實(shí)驗(yàn)室中是否真的存在偽AP，并不能依據(jù)AP是否關(guān)聯(lián)客戶端來判斷，需要結(jié)合被報警AP的詳細(xì)信息進(jìn)行判斷。

對于非法客戶端的管理，可以查看實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)所關(guān)聯(lián)客戶端的MAC地址，如果接入客戶端的MAC地址不在實(shí)驗(yàn)室移動設(shè)備登記之列，就可以判斷該設(shè)備為非法客戶端，可在“102”網(wǎng)絡(luò)的AP中設(shè)置MAC地址過濾，以清除非法客戶端。

4.4 針對網(wǎng)絡(luò)攻擊的管理

在掃描檢測中，可以勾選Airmagnet策略管理的告警選項(xiàng)，得到AirWISE智能分析引擎的告警。AirWISE將告警分為4個級別，并能給出有關(guān)告警的描述、告警的原因以及推薦的解決辦法。例如經(jīng)檢測發(fā)現(xiàn)信道6上存在RTS(請求發(fā)送)和CTS(允許發(fā)送)的拒絕服務(wù)攻擊，從而影響網(wǎng)絡(luò)性能。而該攻擊的來源和可能引發(fā)的原因(病毒造成、黑客行為、相關(guān)配置的問題)需要借助相關(guān)的專業(yè)設(shè)備進(jìn)一步確定。

檢測還顯示出在信道5上存在過多的具有重疊RF頻率的AP，即網(wǎng)絡(luò)中可能存在信號干擾攻擊。雖然它們都工作在信道6上，但已經(jīng)對信道5造成了比較大的干擾，故再增加AP時，應(yīng)避免使用信道5。

4.5 實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)性能和安全性設(shè)置管理

針對實(shí)驗(yàn)室的Wi-Fi網(wǎng)絡(luò)，AirWISE會給出11項(xiàng)告警。例如網(wǎng)絡(luò)中低速幀傳輸百分比過高告警，可能是網(wǎng)絡(luò)受到較大干擾所致，也可能是網(wǎng)絡(luò)中長時間沒有較大的數(shù)據(jù)流量；AP利用率超載告警是由于該網(wǎng)絡(luò)目前有過多的客戶端接入，使得帶寬利用率持續(xù)高于正常值，故可考慮在實(shí)驗(yàn)室中再部署一個AP以均衡負(fù)載。在安全方面，該網(wǎng)絡(luò)使用的是WPA2-PSK的認(rèn)證機(jī)制，其PSK的4次握手信息可能會被截獲，并用于離線字典攻擊，安全性相比基于802.1x+EAP的認(rèn)證方式要弱，但使用PSK的開銷要小。可以根據(jù)實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的要求來選擇相應(yīng)的安全設(shè)置。此外，為了實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全，建議在AP配置中關(guān)閉SSID廣播。根據(jù)AirWISE告警信息，可以有針對性地調(diào)整Wi-Fi網(wǎng)絡(luò)設(shè)備的配置，以提高網(wǎng)絡(luò)性能和安全性。

使用Analyzer可以對實(shí)驗(yàn)樓Wi-Fi網(wǎng)絡(luò)進(jìn)行很好的安全管理，然而Analyzer是一款商業(yè)化的工具，價格比較昂貴，普通用戶難以獲得。筆者在實(shí)踐中也使用了前面提到的NetStumbler、inSSIDer、Kismet等免費(fèi)的Wi-Fi網(wǎng)絡(luò)狀態(tài)檢測軟件，這些具有類似功能的軟件也可以幫助管理人員了解實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的性能和安全狀況，進(jìn)而對其中的Wi-Fi網(wǎng)絡(luò)進(jìn)行一定程度的安全管理。

5 結(jié)束語

隨著Wi-Fi網(wǎng)絡(luò)的應(yīng)用普及，Wi-Fi網(wǎng)絡(luò)面臨的性能和安全問題也日益突出，這也給實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的建設(shè)和管理帶來了很大的挑戰(zhàn)。隨著新的安全威脅不斷地出現(xiàn)，Wi-Fi網(wǎng)絡(luò)安全管理和安全威脅的博弈還會持續(xù)下去，這就要求管理者不斷轉(zhuǎn)變安全防護(hù)思路，變被動為主動、變靜態(tài)為動態(tài)、變局部為整體，以確保實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的安全運(yùn)行。

References)

[1] 李曉陽.WiFi技術(shù)及其應(yīng)用與發(fā)展[J].信息技術(shù),2012(2):196-198.

[2] 劉文杰,惠煌,薛強(qiáng)，等.基于802.1X混合認(rèn)證體系的無線網(wǎng)絡(luò)實(shí)驗(yàn)研究[J].實(shí)驗(yàn)技術(shù)與管理,2012,29(10):89-92.

[3] 孟祥豐.無線局域網(wǎng)安全設(shè)置優(yōu)化研究[J].現(xiàn)代電子技術(shù),2011,34(19):108-110.

[4] 李洪敏,李宇明,張建平，等.基于局域網(wǎng)的主動防御技術(shù)應(yīng)用[J].兵工自動化,2013(12):20-22.

[5] 高峰,高澤華,文柳，等.無線城市：電信級Wi-Fi網(wǎng)絡(luò)建設(shè)與運(yùn)營[M].2版：北京:人民郵電出版社,2012.

[6] 李麗,楊建華.WLAN無線網(wǎng)絡(luò)覆蓋解決方案研究[J].通信技術(shù),2012,45(1):38-40,43.

[7] Pan Feng. Wireless LAN Security Issues and Solutions[C]//2012 IEEE Symposium on Robotics and Applications(ISRA).Kuala Lumpur:IEEE,2012:921-924.

[8] 盛仲飆.WiFi無線網(wǎng)絡(luò)技術(shù)及安全性研究[J].電子設(shè)計(jì)工程,2012,20(16):1-3.

[9] 李宇.基于IEEE802.11上的無線局域網(wǎng)安全簡要分析及改進(jìn)[D].長春：吉林大學(xué),2012.

[10] 朱燕瓊,徐慧.無線局域網(wǎng)認(rèn)證機(jī)制綜述[J].計(jì)算機(jī)工程與設(shè)計(jì),2012,33(1):96-100.

[11] 吳一塵.WPA/WPA2-PSK的安全性分析與改進(jìn)[J].計(jì)算機(jī)與現(xiàn)代化,2013(1):153-157.

[12] 白珅,王軼駿,薛質(zhì).WPA/WPA2協(xié)議安全性研究[J].信息安全與通信保密,2012(1):106-108.

[13] 林烈青.無線局域網(wǎng)通信安全機(jī)制的研究[J].實(shí)驗(yàn)室研究與探索,2012,31(8):257-260,284.

[14] 任偉.無線網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2011.

Deployment and security management of Wi-Fi network in the laboratory

Chen Bo, Chen Guokai

(School of Computer Science and Technology, Nanjing Normal University, Nanjing 210023, China)

Considering the laboratory environment, the user object and the main purpose, this paper introduces the steps adopted to deploy Wi-Fi network and a practical deployment scenario of Wi-Fi network. To deal with the security issues in the laboratory’s Wi-Fi network, the security devices are integrated in deployment scenarios. Then in the daily Wi-Fi network’s management, the idea of active security is established. Active defense means regular scans and detections for monitoring Wi-Fi network in a laboratory and gives early warning.

Wi-Fi network; deployment of wireless network; security management of network

2014- 07- 22

陳波(1972—)，男，江蘇南通，博士，教授，從事無線網(wǎng)絡(luò)安全管理、移動互聯(lián)網(wǎng)安全等研究與應(yīng)用.

E-mail：njnuchenbo@163.com

TP393

1002-4956(2015)2- 0136- 05