大型郵件處理場地WLAN安全方案研究

李瑞

摘 ? 要：文章結(jié)合郵政企業(yè)實際，采用目前主流的成熟技術(shù)作為解決方案，介紹了勞動密集型企業(yè)、大型郵件處理場地的WLAN安全方案設(shè)計，闡述了WLAN安全設(shè)計方案的部署和實現(xiàn)，對用戶認(rèn)證和數(shù)據(jù)加密機(jī)制進(jìn)行了分析，以便更好地保證相關(guān)物流數(shù)據(jù)的安全傳輸，從而保障日常大批量郵件分揀封發(fā)等處理環(huán)節(jié)穩(wěn)定、高效地進(jìn)行。

關(guān)鍵詞：無線局域網(wǎng);WPA2;802.1x;遠(yuǎn)程用戶撥號認(rèn)證服務(wù)

1 ? ?中心樞紐郵件處理背景

隨著網(wǎng)絡(luò)購物迅猛發(fā)展，快遞包裹量也隨之增加，作為全國郵政系統(tǒng)二級樞紐中心局，日均處理郵件量達(dá)幾十萬，“雙十一”期間達(dá)到最高峰，而且逐年大量增加。該中心樞紐采用大平面皮帶機(jī)分揀矩陣輸送分揀封發(fā)郵件，郵件信息處理采用手持條形碼掃碼器（Personal Digital Assistant，PDA）掃描郵件條碼。作為勞動密集型郵政企業(yè)，在大型郵件處理場地，日常使用上百臺PDA同時作業(yè)，通過無線局域網(wǎng)（Wireless Local Area Networks，WLAN）鏈接到郵政企業(yè)內(nèi)部生產(chǎn)網(wǎng)絡(luò)，并把相關(guān)物流數(shù)據(jù)上傳至全國中心服務(wù)器。

目前，該樞紐使用無線接入點（Access Point，AP）摩托羅拉6521，并將其中一臺AP作為虛擬接入控制器（Access Controller，AC），胖AP不適合大型無線局域網(wǎng)的應(yīng)用;目前采用的加密方式是WPA/WPA2-PSK，這種認(rèn)證加密適合小型企業(yè)和家庭WiFi用戶，不適合大型企業(yè)。

目前的部署和加密方式?jīng)Q定了無線網(wǎng)絡(luò)將面臨許多安全問題，已經(jīng)不適應(yīng)大型企業(yè)的生產(chǎn)作業(yè)實際，更不能滿足未來淮海地區(qū)國際國內(nèi)郵件交換中心的定位。

2 ? ?WLAN安全部署

首先，對WLAN進(jìn)行安全部署。采用核心交換機(jī)旁掛AC，AC+瘦AP是目前無線局域網(wǎng)部署與維護(hù)的主流技術(shù)。AC負(fù)責(zé)WLAN的接入控制、對AP的監(jiān)控、漫游管理和安全控制等，瘦AP只具有加密、射頻功能和將有線轉(zhuǎn)換成無線的功能，AP使用POE交換機(jī)或POE電源適配器供電。AP必須和AC聯(lián)動。瘦AP必須在無線控制器AC上注冊成功，才能從AC上下載配置與固件升級，從而實現(xiàn)零配置[1]。通過IEEE802.11n標(biāo)準(zhǔn)能夠與現(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行平滑無縫的鏈接，支持多入多出（Multiple Input and Multiple Output，MIMO）與正交頻分復(fù)用（Orthogonal Frequency Division Multiplexing，OFDM），使傳輸速率得到極大提升。

其次，無線局域網(wǎng)以電磁波為載體，在功率覆蓋范圍內(nèi)有條件地對信息進(jìn)行竊聽和干擾[2]。基本做法是關(guān)閉服務(wù)集標(biāo)識（Service Set Identifier，SSID）廣播、MAC地址綁定、部署防地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊功能等。例如，為了避免非法用戶通過SSID搜索到并建立非法連接，可以禁用AP廣播SSID，隱藏?zé)o線SSID信息，那么其他用戶搜索不到無線信息，通過無線網(wǎng)絡(luò)的隱蔽性來提高WLAN的安全性。對無線接入終端設(shè)備PDA進(jìn)行IP和MAC綁定過濾，MAC過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，設(shè)置黑白名單后，確保只有在企業(yè)注冊過的終端設(shè)備才能通過這些AP進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。由于接入無線網(wǎng)絡(luò)用戶的多樣性和不確定性，有可能出現(xiàn)客戶端私設(shè)IP地址或者ARP病毒發(fā)起ARP攻擊的情況，因此，需要部署防ARP攻擊功能，解決這些問題，實施包括以下措施：在AC上，開啟DHCP snooping，并且配置信任端口;配置ARP防護(hù)功能及清除ARP及proxy_arp表。

再次，把PDA作為無線終端，把核心交換機(jī)華三S5560設(shè)置成本地遠(yuǎn)程用戶撥號認(rèn)證服務(wù)（Remote Authentication Dial In User Service，RADIUS）認(rèn)證，華三S5560在PDA和認(rèn)證服務(wù)器之間充當(dāng)代理角色（proxy）。在核心交換機(jī)上旁掛一臺主用的RADIUS服務(wù)器和一臺備用的RADIUS服務(wù)器，對用戶驗證的執(zhí)行順序可以通過命令行設(shè)置。設(shè)置RADIUS服務(wù)器目的是使用戶認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離，安全性提高;對于大規(guī)模用戶來說，只要管理這臺RADIUS服務(wù)器即可。

最后，有線網(wǎng)與無線網(wǎng)單獨劃分子網(wǎng)，并在無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間設(shè)置防火墻，防止無線網(wǎng)絡(luò)被入侵后范圍擴(kuò)大;核心交換機(jī)上設(shè)置訪問控制列表，嚴(yán)格控制各子網(wǎng)間訪問;部署入侵檢測系統(tǒng)，與防火墻聯(lián)動，這樣可以有效阻止內(nèi)外部的入侵。

3 ? ?用戶接入認(rèn)證

為了增強(qiáng)已部署的無線網(wǎng)絡(luò)安全性，對無線用戶的接入加強(qiáng)控制，以限定特定的用戶（授權(quán)的用戶）可以使用網(wǎng)絡(luò)資源，采用802.1x身份認(rèn)證+RADIUS認(rèn)證服務(wù)器[3-4]。802.1x系統(tǒng)為Client/Server結(jié)構(gòu)，是一種對用戶進(jìn)行認(rèn)證的方法和策略，是基于端口的認(rèn)證策略（可以是物理端口也可以是VLAN一樣的邏輯端口，相對于無線局域網(wǎng)“端口”就是一條信道）。它包括3個實體，即請求者系統(tǒng)（Client）、認(rèn)證系統(tǒng)（如LAN Switch或AP等）和RADIUS。第1步：在客戶端PDA上設(shè)置802.1x-EAP安全方式，在LAN Switch或AP設(shè)備上啟動AAA功能、定義驗證方法列表、應(yīng)用驗證方法列表等，這時LAN Switch或AP作為RADIUS服務(wù)器的客戶端，將PDA的認(rèn)證信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器。第2步：配置RADIUS相關(guān)參數(shù)，包含指定RADIUS服務(wù)器的IP地址、LAN Switch或AP設(shè)備與RADIUS服務(wù)器之間的密碼等參數(shù)，把LAN Switch或AP設(shè)備和RADIUS服務(wù)器設(shè)置成聯(lián)動模式。第3步：配置授權(quán)、記賬等相關(guān)參數(shù)。

802.1x協(xié)議是基于用戶的訪問控制和認(rèn)證協(xié)議的，它可以限制未經(jīng)授權(quán)的用戶和設(shè)備通過接入端口訪問網(wǎng)絡(luò)。在認(rèn)證通過之前，802.1x只允許基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol over LAN，EAPoL）數(shù)據(jù)通過設(shè)備端口，將用戶名和口令傳送到后臺的RADIUS認(rèn)證服務(wù)器上，如果用戶名及口令通過了驗證，則相應(yīng)端口打開，分配無線用戶設(shè)備IP地址，正常的數(shù)據(jù)才可以順利地通過端口，用戶上線完畢;如果認(rèn)證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1x的認(rèn)證報文EAPOL通過。由此構(gòu)成實現(xiàn)驗證（用戶是誰？）、授權(quán)（用戶可以做什么？）、統(tǒng)計（用戶做過什么？）功能的AAA系統(tǒng)。RADIUS可以對用戶身份進(jìn)行集中管理，安全性好，策略也更靈活，同時還可以記錄用戶的網(wǎng)絡(luò)使用情況用于網(wǎng)管分析。

除了可以為WLAN提供認(rèn)證安全措施外，802.1x與RADIUS服務(wù)器相結(jié)合，還可以提供密鑰管理功能，使用802.1x周期性地把這些密鑰傳送給各相關(guān)用戶，快速重置密鑰，架設(shè)的RADIUS服務(wù)器為Windows 2008 server，以用戶名、口令的方式驗證無線接入用戶。通過接入控制，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)，保證了網(wǎng)絡(luò)的安全性。

4 ? ?數(shù)據(jù)加密傳輸

在WLAN用戶通過認(rèn)證并賦予訪問權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶所傳輸?shù)臄?shù)據(jù)不被窺視，那就需要對數(shù)據(jù)報文進(jìn)行加密，保證只有特定設(shè)備可以對接收到的報文成功解密。所以使用WPA2-RADIUS加密技術(shù)對數(shù)據(jù)進(jìn)行加密，防止被非法截獲。

WPA2是經(jīng)由WiFi聯(lián)盟驗證過的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式。IEEE802.11i協(xié)議標(biāo)準(zhǔn)由上下兩個層次組成：上層是802.1x協(xié)議和EAP認(rèn)證協(xié)議，提供雙向認(rèn)證和動態(tài)密鑰管理功能[5];下層是兩種改進(jìn)的加密協(xié)議，即TKIP，CCMP，實現(xiàn)數(shù)據(jù)的加密和安全傳輸。CCMP采用AES加密算法，徹底解決了WLAN安全性問題，使得WLAN的安全程度大大提高，是實現(xiàn)RSN的強(qiáng)制性要求。對于AES塊加密，目前無法破解，非常安全。

和WAP/WPA2-PSK相同的是，WPA2-RADIUS的密鑰也隨著數(shù)據(jù)包的不同而變化。但WPA2-RADIUS加密需要一個RADIUS服務(wù)器，對用戶接入認(rèn)證就是使用的RADIUS。所以只要配置好它就可以，而且WPA2-RADIUS加密的安全性非常高，很適合大型的企業(yè)對無線網(wǎng)絡(luò)進(jìn)行安全設(shè)置。

5 ? ?結(jié)語

本文論述了大型郵件處理場地加強(qiáng)WLAN安全性的防護(hù)方案，但郵件處理講究時效性，如果設(shè)置部署WLAN策略過多，勢必影響到網(wǎng)絡(luò)的速度，因此，需要平衡安全與效率的問題。同時加強(qiáng)對從業(yè)人員使用網(wǎng)絡(luò)的教育與培訓(xùn)，建立使用網(wǎng)絡(luò)的安全管理制度，并嚴(yán)格執(zhí)行，從而為日常大批量郵件分揀封發(fā)等處理環(huán)節(jié)穩(wěn)定、高效地進(jìn)行提供網(wǎng)絡(luò)支撐，有力保證各類KPI的實現(xiàn)。

[參考文獻(xiàn)]

[1]杰夫.TCP/IP路由技術(shù)[M].葛建立，吳劍章，譯.北京：人民郵電出版社，2007.

[2]張路橋.無線網(wǎng)絡(luò)技術(shù)—原理、安全及實踐[M].北京：機(jī)械工業(yè)出版社，2019.

[3]楊哲.無線網(wǎng)絡(luò)安全攻防實戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.

[4]楊哲.無線網(wǎng)絡(luò)安全攻防實戰(zhàn)[M].北京：電子工業(yè)出版社，2008.

[5]加斯特.802.11無線網(wǎng)絡(luò)權(quán)威指南[M].OReilly Taiwan公司，編譯.南京：東南大學(xué)出版社，2007.