無(wú)線(xiàn)辦公網(wǎng)絡(luò)接入的安全性

◎王輝

無(wú)線(xiàn)辦公網(wǎng)絡(luò)接入的安全性

◎王輝

鑒于無(wú)線(xiàn)網(wǎng)絡(luò)存在的安全問(wèn)題，為了保證清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)的大規(guī)模使用，同時(shí)也為了給全省無(wú)線(xiàn)網(wǎng)絡(luò)的安全使用探索解決方案，我們從“用戶(hù)身份認(rèn)證、加密傳輸協(xié)議、無(wú)線(xiàn)入侵檢測(cè)、安全管理制度”四個(gè)方面入手對(duì)無(wú)線(xiàn)辦公網(wǎng)絡(luò)的安全性進(jìn)行研究，并結(jié)合清遠(yuǎn)移動(dòng)的具體實(shí)際，從方便管理的角度出發(fā)，提出一個(gè)切實(shí)可行的整體方案保證無(wú)線(xiàn)辦公網(wǎng)絡(luò)接入的安全性和易管理性，為提供高效的無(wú)線(xiàn)辦公服務(wù)打下堅(jiān)實(shí)的基礎(chǔ)。

清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)的現(xiàn)狀

用戶(hù)身份認(rèn)證方式簡(jiǎn)單。目前清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)的用戶(hù)身份認(rèn)證方式是：各種使用者（包括本公司、不同分公司、外單位）均使用一個(gè)統(tǒng)一不變的密鑰來(lái)進(jìn)行身份認(rèn)證。對(duì)于這種傳統(tǒng)的身份認(rèn)證方式，黑客可以通過(guò)很多種方法接入到無(wú)線(xiàn)網(wǎng)絡(luò)里(如社會(huì)工程學(xué)、暴力窮舉法)，從而達(dá)到資源濫用、破壞網(wǎng)絡(luò)的目的。

此外在配置AP的時(shí)候，我們使用的仍是傳統(tǒng)的WEP協(xié)議，這也使得用戶(hù)的靜態(tài)密鑰極易被破解。

加密傳輸協(xié)議過(guò)于簡(jiǎn)單。WEP協(xié)議在802.11b中負(fù)責(zé)訪(fǎng)問(wèn)控制與通信數(shù)據(jù)加密兩個(gè)過(guò)程，但由于WEP算法在初始向量方面出現(xiàn)了嚴(yán)重的漏洞，導(dǎo)致攻擊者能在捕捉到足夠加密數(shù)據(jù)包的前提下破解WEP KEY。我們通過(guò)模擬環(huán)境進(jìn)行了相關(guān)測(cè)試，結(jié)果表明：在有10個(gè)用戶(hù)連接同一臺(tái)AP的網(wǎng)絡(luò)下，用一臺(tái)裝有WEPCRACK的客戶(hù)端接入無(wú)線(xiàn)網(wǎng)絡(luò)，捕捉1個(gè)小時(shí)到1.5個(gè)小時(shí)的數(shù)據(jù)，就可以破解一個(gè)使用WEP協(xié)議的無(wú)線(xiàn)網(wǎng)絡(luò)密鑰。

沒(méi)有完善的無(wú)線(xiàn)入侵檢測(cè)手段及產(chǎn)品。（1）非法AP：入侵者通過(guò)在合法的無(wú)線(xiàn)網(wǎng)絡(luò)中搭建一個(gè)非法的AP，來(lái)達(dá)到獲取網(wǎng)絡(luò)資源及敏感數(shù)據(jù)的目的，主要是建立與合法AP相同的SSID來(lái)迷惑用戶(hù)。（2）DOS攻擊：通過(guò)使用噪聲源干擾無(wú)線(xiàn)電通信造成堵塞(即RF攻擊)的方法，或者通過(guò)不斷發(fā)送“解除關(guān)聯(lián)”幀使得客戶(hù)機(jī)關(guān)聯(lián)不上AP的手段來(lái)達(dá)到阻止合法用戶(hù)訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)的目的。

無(wú)線(xiàn)網(wǎng)絡(luò)安全管理制度不完善。 “網(wǎng)絡(luò)安全三分靠技術(shù)，七分靠管理”，由于目前清遠(yuǎn)移動(dòng)的無(wú)線(xiàn)辦公網(wǎng)絡(luò)正處于一個(gè)起步階段，現(xiàn)有的安全管理制度還是以原來(lái)有線(xiàn)網(wǎng)絡(luò)的安全管理制度為主體，并沒(méi)有制定專(zhuān)門(mén)針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全管理制度。

清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)安全接入的整體解決方案

用戶(hù)身份認(rèn)證。以前無(wú)線(xiàn)網(wǎng)絡(luò)的身份認(rèn)證基本都是用戶(hù)通過(guò)輸入靜態(tài)的用戶(hù)名和密碼，由認(rèn)證服務(wù)器來(lái)驗(yàn)證。為了保證安全性，要求認(rèn)證服務(wù)器的管理員要定期修改密碼，這就增加了維護(hù)難度。而本課題通過(guò)開(kāi)發(fā)接口程序，提供短信方式，用戶(hù)可通過(guò)短信申請(qǐng)動(dòng)態(tài)密碼，該密碼也由接口程序同時(shí)下發(fā)到認(rèn)證服務(wù)器，從而可以實(shí)現(xiàn)動(dòng)態(tài)身份認(rèn)證，簡(jiǎn)化身份認(rèn)證管理。在認(rèn)證服務(wù)器通過(guò)認(rèn)證后，將下發(fā)不同的訪(fǎng)問(wèn)控制策略，對(duì)公司員工、其他人員獲得的無(wú)線(xiàn)辦公服務(wù)進(jìn)行控制，提高控制靈活性。動(dòng)態(tài)身份認(rèn)證的具體流程如下所述：

建立一個(gè)Radius服務(wù)器，負(fù)責(zé)進(jìn)行用戶(hù)的接入認(rèn)證、授權(quán)、審計(jì)的功能，即AAA功能；開(kāi)發(fā)一套短信接口，能夠發(fā)送隨機(jī)生成的密碼給用戶(hù)以及Radius服務(wù)器；用戶(hù)每次接入無(wú)線(xiàn)辦公網(wǎng)絡(luò)時(shí)，必須使用手機(jī)向指定的短信接口發(fā)送接入申請(qǐng)，獲取動(dòng)態(tài)密碼；每一個(gè)用戶(hù)申請(qǐng)的密碼最長(zhǎng)存活時(shí)間為12個(gè)小時(shí)。

傳輸協(xié)議加密。目前清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)通過(guò)應(yīng)用WEP（Wireless Equivalent Privacy）協(xié)議提供了一定的安全性，但是WEP破解起來(lái)比較容易，而且WEP的加密密鑰為靜態(tài)密鑰而非動(dòng)態(tài)密鑰，在較大的企業(yè)級(jí)網(wǎng)絡(luò)中，密鑰的管理難度很大。我們針對(duì)WEP協(xié)議加密的數(shù)據(jù)進(jìn)行了一次模擬破解。測(cè)試結(jié)果表明，現(xiàn)有無(wú)線(xiàn)網(wǎng)絡(luò)中傳輸數(shù)據(jù)加密的安全性存在很大的問(wèn)題。

WEP KEY破解過(guò)程：在進(jìn)行WEP KEY破解前，我們首先需要通過(guò)NetStumbler確認(rèn)客戶(hù)端已在某AP的覆蓋區(qū)內(nèi)，并利用AP信號(hào)的參數(shù)進(jìn)行‘踩點(diǎn)’（數(shù)據(jù)搜集）。本次實(shí)驗(yàn)的目的是通過(guò)捕捉適當(dāng)?shù)臄?shù)據(jù)幀進(jìn)行IV（初始化向量）暴力破解得到WEP KEY，因此我們使用airodump工具捕捉數(shù)據(jù)幀，然后利用WinAircrack工具破解WEP KEY。

首先使用airodump工具捕捉數(shù)據(jù)幀。在成功破解前，airodump工具必須通過(guò)1-1.5小時(shí)的數(shù)據(jù)捕捉過(guò)程。在此過(guò)程中，airodump工具會(huì)收集大量的數(shù)據(jù)包，數(shù)據(jù)包的數(shù)量越多，破解的時(shí)間就會(huì)越短。在本次實(shí)驗(yàn)中我們共捕捉了300,138個(gè)數(shù)據(jù)包。

數(shù)據(jù)收集結(jié)束后，接下來(lái)的工作便是WEP KEY破解。我們通過(guò)airodump工具收集的所有數(shù)據(jù)，利用WinAircrack工具進(jìn)行破解，從而得到該AP的WEP KEY。

測(cè)試結(jié)果以及改進(jìn)措施：上述實(shí)驗(yàn)是模擬清遠(yuǎn)移動(dòng)的無(wú)線(xiàn)辦公網(wǎng)絡(luò)進(jìn)行測(cè)試工作，清遠(yuǎn)移動(dòng)現(xiàn)有的無(wú)線(xiàn)網(wǎng)絡(luò)是采用64位的WEP協(xié)議，實(shí)驗(yàn)結(jié)果證明64位的WEP協(xié)議很不安全，基于現(xiàn)有的情況，我們將在今后考慮使用128位以上的WEP協(xié)議，使用128位的WEP算法后，數(shù)據(jù)包收集的數(shù)量上需要達(dá)到900,000個(gè)或以上的數(shù)據(jù)包（大約是64位WEP協(xié)議的三倍）才能和64位的WEP算法具有相同的破解時(shí)間。WEP被破解的時(shí)間將會(huì)大大延長(zhǎng)，從而在一定程度上提高了無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。同時(shí)根據(jù)清檢測(cè)設(shè)備的檢測(cè)覆蓋區(qū)內(nèi)時(shí)，檢測(cè)設(shè)備將該AP的信標(biāo)發(fā)送頻率與作為特征基準(zhǔn)的信標(biāo)發(fā)送頻率作同步對(duì)比，若“不同步”則檢測(cè)設(shè)備會(huì)產(chǎn)生報(bào)警。

在本次測(cè)試中，我們使用了第一種方式（通過(guò)BSSID作對(duì)比）的非法AP檢測(cè)機(jī)制。以下為無(wú)線(xiàn)入侵檢測(cè)設(shè)備的報(bào)警信息：遠(yuǎn)移動(dòng)現(xiàn)有的環(huán)境，我們將提供例如定向天線(xiàn)或使用MAC地址過(guò)濾的方式提高無(wú)線(xiàn)網(wǎng)絡(luò)的安全性以降低現(xiàn)有的風(fēng)險(xiǎn)。

表1 探測(cè)AP數(shù)據(jù)

無(wú)線(xiàn)入侵檢測(cè)。在本課題研究中，我們采用了無(wú)線(xiàn)入侵檢測(cè)來(lái)防止非法AP的接入以及802.11幀的DOS攻擊。根據(jù)清遠(yuǎn)移動(dòng)現(xiàn)有的無(wú)線(xiàn)辦公網(wǎng)絡(luò)，我們構(gòu)建了模擬測(cè)試環(huán)境，并在其中部署了一臺(tái)非法AP。

非法AP的工作原理是通過(guò)設(shè)置其三元組（SSID、頻道、WEPKEY）與合法AP相同，從而迷惑正常客戶(hù)端登陸該非法AP，達(dá)到繞過(guò)邏輯訪(fǎng)問(wèn)控制列表或進(jìn)行中間人攻擊的目的。歸結(jié)以上攻擊方法的特點(diǎn)，我們可以找到非法AP的兩個(gè)缺陷：1）非法AP沒(méi)有改變本身的BSSID（無(wú)線(xiàn)適配器的MAC）數(shù)值；2）非法AP發(fā)出的信標(biāo)信號(hào)未必能與合法AP的信標(biāo)信號(hào)發(fā)出的頻率同步。

因此目前已知的、檢測(cè)非法AP的方法有兩種：

在無(wú)線(xiàn)入侵檢測(cè)設(shè)備（至少擁有一個(gè)處于混雜模式的無(wú)線(xiàn)網(wǎng)卡）上記錄合法AP的三元組以及與其對(duì)應(yīng)的BSSID。當(dāng)檢測(cè)設(shè)備發(fā)現(xiàn)其檢測(cè)覆蓋區(qū)內(nèi)存在三元組與登記的合法AP有相同的信標(biāo)時(shí)，則檢測(cè)該信標(biāo)發(fā)送方的BSSID是否與合法AP的BSSID相同，若“否”則檢測(cè)設(shè)備會(huì)產(chǎn)生報(bào)警。

在標(biāo)準(zhǔn)的情況下，信標(biāo)發(fā)送設(shè)備是以每100毫秒發(fā)送一次信標(biāo)的頻率進(jìn)行工作的。無(wú)線(xiàn)入侵檢測(cè)設(shè)備在正式工作前必須首先捕捉合法AP發(fā)送信標(biāo)的頻率用作特征基準(zhǔn)，當(dāng)非法AP啟動(dòng)（開(kāi)始發(fā)送信標(biāo)）并在

通過(guò)上面的檢測(cè)過(guò)程我們可以看到，模擬環(huán)境里面存在一個(gè)非法AP。從上述表格中可以發(fā)現(xiàn)，該無(wú)線(xiàn)網(wǎng)絡(luò)中一共存在六個(gè)AP，如果不采取無(wú)線(xiàn)入侵檢測(cè)，我們無(wú)法觀(guān)察到哪個(gè)是合法AP，哪個(gè)是非法AP。

通過(guò)無(wú)線(xiàn)入侵檢測(cè)的具體過(guò)程，我們可以了解到：上述表格中前面五個(gè)AP是合法的AP，最后一個(gè)就是非法AP。這是因?yàn)槲鍌€(gè)合法AP的BSSID在無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)的BSSID表中都進(jìn)行了登記，而非法AP則是通過(guò)無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)查詢(xún)BSSID表時(shí)自動(dòng)發(fā)現(xiàn)，從上圖中我們可以看到無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)已經(jīng)可以檢測(cè)出非法AP的存在。此外非法AP還存在其它一些特點(diǎn)，例如：信號(hào)特強(qiáng)。在上面六個(gè)AP中，非法AP的信號(hào)明顯要比其他AP的信號(hào)強(qiáng)，否則不會(huì)吸引用戶(hù)接入該AP。

以上測(cè)試的所有數(shù)據(jù)都是模擬清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)環(huán)境的真實(shí)數(shù)據(jù)，通過(guò)測(cè)試，我們發(fā)現(xiàn)現(xiàn)有的無(wú)線(xiàn)辦公網(wǎng)絡(luò)在防止非法AP接入方面存在一定的風(fēng)險(xiǎn)。由于還沒(méi)有對(duì)應(yīng)的無(wú)線(xiàn)入侵檢測(cè)產(chǎn)品，因此無(wú)法對(duì)非法AP的接入進(jìn)行有效地監(jiān)控和管理。在今后的工作中，我們將對(duì)自行開(kāi)發(fā)的無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)進(jìn)行完善，并根據(jù)清遠(yuǎn)移動(dòng)的具體實(shí)際，制定有效的監(jiān)控策略，及時(shí)發(fā)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)中存在的各種潛在威脅。

無(wú)線(xiàn)網(wǎng)絡(luò)安全管理制度。“網(wǎng)絡(luò)安全三分靠技術(shù)，七分靠管理”，因此我們?cè)诜治隽四壳盁o(wú)線(xiàn)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)并提出解決方案之后，必須根據(jù)清遠(yuǎn)移動(dòng)的具體實(shí)際情況，結(jié)合國(guó)內(nèi)外相關(guān)企業(yè)的成功經(jīng)驗(yàn)，制定一套切實(shí)可行的無(wú)線(xiàn)網(wǎng)絡(luò)管理制度，將管理手段和技術(shù)手段有機(jī)結(jié)合起來(lái)，保證無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。目前我們已經(jīng)制定了初步的無(wú)線(xiàn)網(wǎng)絡(luò)安全管理制度。

結(jié)論以及今后的工作

相關(guān)結(jié)論。為了保證清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)的大規(guī)模使用，同時(shí)也為了給全省無(wú)線(xiàn)應(yīng)用探索安全的解決方案，我們從目前無(wú)線(xiàn)辦公網(wǎng)絡(luò)存在的“用戶(hù)身份認(rèn)證、傳輸協(xié)議加密、無(wú)線(xiàn)入侵檢測(cè)、安全管理制度”四個(gè)方面入手對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性進(jìn)行研究，取得了下列進(jìn)展：

1）用戶(hù)身份認(rèn)證方面：完成了PEAPMD5、PEAP-TLS加密認(rèn)證測(cè)試；初步完成對(duì)用戶(hù)信息進(jìn)行設(shè)置以及動(dòng)態(tài)控制策略下發(fā)；完成接收短信請(qǐng)求部分的處理模塊。2）傳輸協(xié)議加密方面：完成了WEP協(xié)議的深入分析，進(jìn)行了WEP破解測(cè)試，并根據(jù)測(cè)試結(jié)果提出了保證無(wú)線(xiàn)數(shù)據(jù)傳輸安全性的相關(guān)措施。3）無(wú)線(xiàn)入侵檢測(cè)方面：實(shí)現(xiàn)通過(guò)BSSID作對(duì)比的非法AP檢測(cè)機(jī)制，以及無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)基于多種常見(jiàn)無(wú)線(xiàn)攻擊行為的報(bào)警。4）無(wú)線(xiàn)網(wǎng)絡(luò)安全管理制度：根據(jù)清遠(yuǎn)移動(dòng)的實(shí)際，初步制定了一套切實(shí)可行的無(wú)線(xiàn)網(wǎng)絡(luò)管理制度。

今后的工作。本課題后續(xù)的工作包括如下方面：1）用戶(hù)身份認(rèn)證方面：提供更加完善的動(dòng)態(tài)身份認(rèn)證和訪(fǎng)問(wèn)控制策略下發(fā)機(jī)制，完成短信接口處理模塊。2）傳輸協(xié)議加密方面：提供例如定向天線(xiàn)或使用MAC地址過(guò)濾的方式提高無(wú)線(xiàn)網(wǎng)絡(luò)的安全性以降低現(xiàn)有的風(fēng)險(xiǎn)；對(duì)WPA/WPA2協(xié)議進(jìn)行深入分析，對(duì)采用WPA/WPA2的無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行詳細(xì)測(cè)試，以證實(shí)WPA/ WPA2的可行性。3）無(wú)線(xiàn)入侵檢測(cè)方面：實(shí)現(xiàn)根據(jù)信標(biāo)信號(hào)對(duì)比的非法AP檢測(cè)機(jī)制和對(duì)DOS與DDOS攻擊的檢測(cè)機(jī)制，優(yōu)化無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)的報(bào)警模塊。4）無(wú)線(xiàn)網(wǎng)絡(luò)安全管理制度：根據(jù)清遠(yuǎn)移動(dòng)的實(shí)際情況，對(duì)已制定的無(wú)線(xiàn)網(wǎng)絡(luò)管理制度進(jìn)行修訂。5）針對(duì)802.11ax協(xié)議進(jìn)行深入研究，802.11ax是一個(gè)802.11無(wú)線(xiàn)局域網(wǎng)（WLAN）通信標(biāo)準(zhǔn)，它通過(guò)5G頻段進(jìn)行傳輸，是802.11ac的后續(xù)升級(jí)版，將能夠提升多用戶(hù)環(huán)境下（比如公共場(chǎng)所熱點(diǎn)）的Wi-Fi性能，而這主要是通過(guò)提升頻譜效率、更好地管理串?dāng)_、增強(qiáng)底層協(xié)議（比如介質(zhì)訪(fǎng)問(wèn)控制數(shù)據(jù)通訊）來(lái)實(shí)現(xiàn)的，會(huì)讓公共Wi-Fi熱點(diǎn)變得更加快速和穩(wěn)定。

通過(guò)以上幾方面的研究，我們將提出一個(gè)更加完善的整體方案保證清遠(yuǎn)移動(dòng)無(wú)線(xiàn)辦公網(wǎng)絡(luò)接入的安全性和易管理性，為提供高效的無(wú)線(xiàn)辦公服務(wù)打下堅(jiān)實(shí)的基礎(chǔ)。

（作者單位：中國(guó)移動(dòng)清遠(yuǎn)分公司）