冀明 趙浩全

摘 要:近年來,無線局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動(dòng)數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢(shì)等特點(diǎn)得以迅速發(fā)展。但是隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,無線局域網(wǎng)受到越來越多的威脅。本文將深入探討無線局域網(wǎng)非法接入點(diǎn)對(duì)企業(yè)及其網(wǎng)絡(luò)帶來的巨大安全威脅,以及如何緩解或消除這種威脅。

關(guān)鍵詞:無線局域網(wǎng)探測(cè)處理

中圖分類號(hào):TP319.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2012)07(b)-0011-03

無線局域網(wǎng)具有使用靈活方便,成本較低等優(yōu)點(diǎn),但由于無線電波可以輕易穿透墻壁,窗戶等屏障,入侵者就可以在戶外輕易的利用無線局域網(wǎng)的安全漏洞入侵用戶所在的以太網(wǎng)。無線局域網(wǎng)的發(fā)展前景極其廣闊,是未來網(wǎng)絡(luò)發(fā)展的一個(gè)重要的方向,但是無線局域網(wǎng)的安全問題,成為當(dāng)今一個(gè)非常重要的研究課題,也正是因?yàn)檫@個(gè)安全因素,限制了無線局域網(wǎng)的蓬勃發(fā)展。本文將就無線局域網(wǎng)的安全薄弱環(huán)節(jié)—非法接入點(diǎn)的安全問題進(jìn)行深入探討,同時(shí)介紹如何使用技術(shù)手段防止非法接入點(diǎn)的接入。

1非法接入點(diǎn)概述

無線接入點(diǎn)即無線AP(AccessPoint)它是用于無線網(wǎng)絡(luò)的無線交換機(jī),也是無線網(wǎng)絡(luò)的核心[1]。無線AP是移動(dòng)計(jì)算機(jī)用戶進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn),主要用于寬帶家庭、大樓內(nèi)部以及園區(qū)內(nèi)部,典型距離覆蓋幾十米至上百米,目前主要技術(shù)為802.11系列。

1.1 非法接入點(diǎn)帶來的問題

非法接入點(diǎn)指的是未經(jīng)許可而被安裝的接入點(diǎn)。它可能會(huì)給安全敏感的企業(yè)網(wǎng)絡(luò)造成一個(gè)后門,從而對(duì)企業(yè)的信息安全帶來極大威脅。攻擊者可以通過后門對(duì)一個(gè)受保護(hù)的網(wǎng)絡(luò)進(jìn)行訪問,從而繞開“前門”的所有安全措施。

無線信號(hào)是在空氣中進(jìn)行傳播的,因此在大多數(shù)情況下沒有傳輸屏障。它們可以穿過墻壁和屏障,到達(dá)公司建筑外很遠(yuǎn)的地方。這些無線信號(hào)既可能來自非法接入點(diǎn)又可能來自合法接入點(diǎn)。它們代表的敏感數(shù)據(jù)或機(jī)密信息既可能來自企業(yè)內(nèi)部,也可能來自員工在企業(yè)外部使用的移動(dòng)設(shè)備,若入侵者能夠連接企業(yè)內(nèi)部的局域網(wǎng),則將會(huì)對(duì)企業(yè)以太網(wǎng)的安全性造成威脅,若是用戶連接了入侵者所設(shè)置的非法接入點(diǎn),則可能造成對(duì)用戶本身的機(jī)密信息丟失。

私自安裝的非法接入點(diǎn)造成的問題在于給企業(yè)帶來了極大的安全威脅,因?yàn)樗鼈冎徊捎昧朔浅１∪醯陌踩胧?卻把公司內(nèi)部網(wǎng)絡(luò)擴(kuò)展到了外部攻擊者的可訪問范圍內(nèi)[2]。

所以,在任何一個(gè)公司的網(wǎng)絡(luò)環(huán)境中,都需要對(duì)非法的無線接入點(diǎn)進(jìn)行探測(cè)和核查,即使該公司并不提供無線網(wǎng)絡(luò)訪問服務(wù)。

1.2 非法接入點(diǎn)是安全鏈中最薄弱的一環(huán)

網(wǎng)絡(luò)的安全性取決于整個(gè)安全鏈中最薄弱的一環(huán)。假設(shè)公司內(nèi)部已經(jīng)部署了一個(gè)非常穩(wěn)定和安全的無線及有線網(wǎng)絡(luò),建立這個(gè)安全的無線網(wǎng)絡(luò)所花費(fèi)的全部時(shí)間和金錢,卻可能被一個(gè)小小的非法接入點(diǎn)抵消掉[3]。

如圖1展示了一個(gè)位于安全的無線網(wǎng)絡(luò)拓?fù)渲械臒o線外圍網(wǎng)絡(luò)拓?fù)渲械臒o線外圍網(wǎng)絡(luò)層(DMZ)。為了讓合法用戶A有權(quán)訪問受保護(hù)的公司網(wǎng)絡(luò),相關(guān)實(shí)體必須經(jīng)過一個(gè)合適的身份驗(yàn)證過程,通過防火墻和入侵檢測(cè)系統(tǒng)(IDS)的檢查并使用加密措施。與用戶A不同,用戶B無需通過任何安全限制,就能訪問公司網(wǎng)絡(luò),而他只是利用了一個(gè)有可能是員工私自假設(shè)的非法接入點(diǎn)。

1.3 入侵者安裝的非法接入點(diǎn)

與員工私自安裝的非法接入點(diǎn)不同,入侵者安裝的非法接入點(diǎn)并不是連接到公司的有線網(wǎng)絡(luò)上。它位于無線信號(hào)的傳輸范圍之內(nèi),并且作為一種欺騙設(shè)備讓合法用戶掉進(jìn)圈套。當(dāng)合法用戶試圖連接到入侵者安裝的接入點(diǎn)時(shí),這個(gè)非法接入點(diǎn)就能欺騙用戶提供有價(jià)值的信息,如身份驗(yàn)證的類型和用戶憑證等。入侵者會(huì)記錄下來這些信息,在隨后用于獲取某個(gè)合法接入點(diǎn)的訪問權(quán)限[4]。

2非法接入點(diǎn)的預(yù)防和檢測(cè)

許多技術(shù)都能用于非法接入點(diǎn)的預(yù)防或檢測(cè)。在每次網(wǎng)絡(luò)核查中,都應(yīng)該檢測(cè)非法接入點(diǎn),以避免把可能存在的網(wǎng)絡(luò)后門暴露給攻擊者。

2.1 非法接入點(diǎn)的預(yù)防

大多數(shù)非法接入點(diǎn)都是沒有惡意的員工安裝的,他們只是想在工作場(chǎng)所中訪問無線網(wǎng)絡(luò)。要防止員工安裝這種非法接入點(diǎn),一種解決方案是主動(dòng)為他們提供無線訪問服務(wù)。同時(shí),企業(yè)必須制定涵蓋無線網(wǎng)絡(luò)的安全策略,尤其是要禁止使用個(gè)人自私安裝的非法接入點(diǎn)[5]。這樣做并不意味著要停止對(duì)公司網(wǎng)絡(luò)的核查和非法接入點(diǎn)的檢測(cè),而是為了減少非法接入點(diǎn)的數(shù)量,從而改善整個(gè)網(wǎng)絡(luò)的安全性。

2.2 通過探測(cè)射頻信號(hào)檢測(cè)和定位非法接入點(diǎn)

檢測(cè)非法接入點(diǎn)的其中一項(xiàng)技術(shù)是使用網(wǎng)絡(luò)嗅探工具(Sniffer)手工對(duì)公司范圍內(nèi)的射頻信號(hào)進(jìn)行探測(cè)。無線嗅探工具能夠捕捉空氣中正在傳遞的所有通信數(shù)據(jù),而這些數(shù)據(jù)可用于隨后的分析,例如MAC地址的比較。每個(gè)無線設(shè)備都有一個(gè)獨(dú)一無二的MAC地址。如果代表某個(gè)未知接入點(diǎn)的陌生MAC地址被無線嗅探工具探測(cè)到,它就可能是一個(gè)非法接入點(diǎn)。

NetStumbler等軟件就能作為非法接入點(diǎn)的嗅探工具。它能顯示在當(dāng)前信號(hào)的強(qiáng)度區(qū)域內(nèi),可以檢測(cè)到哪些接入點(diǎn),然后把檢測(cè)到的接入點(diǎn)列表與一個(gè)友好接入點(diǎn)的數(shù)據(jù)庫進(jìn)行比較。NetStumbler還能用來瞄準(zhǔn)一個(gè)物理的非法接入點(diǎn),通過測(cè)算信號(hào)的強(qiáng)度,獲得該接入點(diǎn)的位置信息。

2.3 Cisoc的非法接入點(diǎn)檢查工具

使用嗅探工具檢測(cè)非法接入點(diǎn)是一件非常耗時(shí)的任務(wù),在大規(guī)模的無線及有線網(wǎng)絡(luò)環(huán)境中幾乎是不可能完成的。管理員必須走遍整個(gè)區(qū)域,并把檢測(cè)到的潛在的非法接入點(diǎn)與已知的友好接入點(diǎn)進(jìn)行手工進(jìn)行比較。這個(gè)任務(wù)還必須每天重復(fù)進(jìn)行[6]。

現(xiàn)在已經(jīng)有了更為完善的解決方案,用以替代對(duì)非法接入點(diǎn)的手工嗅探。Cisco公司的解決方案能把所有的無線客戶端和接入點(diǎn)都變成嗅探設(shè)備,這些設(shè)備可以連續(xù)不斷的對(duì)自己周圍的射頻信號(hào)進(jìn)行監(jiān)視和分析。每個(gè)友好的接入點(diǎn)和無線客戶端都可以對(duì)其周圍所能覆蓋的區(qū)域進(jìn)行7×24h不斷的檢測(cè)。無線客戶端和合法接入點(diǎn)如果檢測(cè)到非法接入點(diǎn),就會(huì)把相關(guān)信息發(fā)送到一個(gè)中央管理工作站,然后該工作站就會(huì)向網(wǎng)絡(luò)管理員發(fā)出提示。

2.4 通過WLSE集中管理非法接入點(diǎn)檢測(cè)

“無線局域網(wǎng)解決方案引擎”(Wireless LANSolutionEngine,WLSE)是CiscoWorks工具集提供的一個(gè)解決方案,用來集中管理具有“Cisco-識(shí)別”功能的所有無線設(shè)備。WLSE通過“簡單網(wǎng)絡(luò)管理協(xié)議”(SimploNetworkManagementProtocol,SNMP)可以從無線客戶端和接入點(diǎn)獲得檢測(cè)到的非法接入點(diǎn)的信息(如圖2)。

當(dāng)無線客戶端檢測(cè)到一個(gè)潛在的非法接入點(diǎn)之后,會(huì)把相關(guān)信息發(fā)送給一個(gè)友好接入點(diǎn)。該接入點(diǎn)再通過“SNMP陷阱”(SNMP-trap)協(xié)議把信息傳遞給WLSE引擎,從而面向管理服務(wù)器報(bào)告自己的發(fā)現(xiàn)。WLSE引擎把獲得的信息與友好接入點(diǎn)的數(shù)據(jù)庫進(jìn)行比較。如果WLSE引擎無法在友好接入點(diǎn)列表中找到被報(bào)告的這個(gè)接入點(diǎn),就會(huì)給它標(biāo)記一個(gè)紅色警示信號(hào),提醒管理員有一個(gè)潛在的非法接入點(diǎn)被檢測(cè)到。

WLSE還可以使用三角測(cè)量法,根據(jù)多個(gè)無線客戶端和接入點(diǎn)探測(cè)到信號(hào)強(qiáng)度計(jì)算非法接入點(diǎn)的物理位置,并且在窗口里有“接受信號(hào)強(qiáng)度指示”,可以用來估算這個(gè)非法接入點(diǎn)的大概物理位置。

2.5 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP）

SNMP是專門設(shè)計(jì)用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)(服務(wù)器、工作站、路由器、交換機(jī)及HUBS等)的一種標(biāo)準(zhǔn)協(xié)議,它是一種應(yīng)用層協(xié)議。SNMP使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能,發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機(jī)消息(及事件報(bào)告)網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題[7]。SNMP管理的網(wǎng)絡(luò)有三個(gè)主要組成部分:管理的設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)。管理設(shè)備是一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),包含ANMP代理并處在管理網(wǎng)絡(luò)之中。被管理的設(shè)備

用于收集并儲(chǔ)存管理信息。通過SNMP,NMS能得到這些信息。被管理設(shè)備,有時(shí)稱為網(wǎng)絡(luò)單元,可能指路由器、訪問服務(wù)器,交換機(jī)和網(wǎng)橋、HUBS、主機(jī)或打印機(jī)。SNMP代理是被管理設(shè)備上的一個(gè)網(wǎng)絡(luò)管理軟件模塊。SNMP代理擁有本地的相關(guān)管理信息,并將它們轉(zhuǎn)換成與SNMP兼容的格式。NMS運(yùn)行應(yīng)用程序以實(shí)現(xiàn)監(jiān)控被管理設(shè)備。此外,NMS還為網(wǎng)絡(luò)管理提供了大量的處理程序及必須的儲(chǔ)存資源。任何受管理的網(wǎng)絡(luò)至少需要一個(gè)或多個(gè)NMS。

SNMP封裝在UDP中。各種版本的SNMP信息通用格式如表1所示。

Version:SNMP版本號(hào):管理器和代理器必須使用相同版本的SNMP。需要?jiǎng)h除具有不同版本號(hào)的信息,并不對(duì)它們作進(jìn)一步的處理。

Community:團(tuán)體名稱,用于在訪問代理器之前認(rèn)證管理器。

PDU(協(xié)議數(shù)據(jù)單元):SNMPv1,v2和v3中的PDU類型和格式將在對(duì)應(yīng)文件中作具體介紹。

2.6 使用802.1x基于端口的安全措施防止非法接入點(diǎn)

在一個(gè)無線網(wǎng)絡(luò)環(huán)境中,802.1x提供了相互進(jìn)行身份驗(yàn)證的機(jī)制,用來消除合法用戶與非法接入點(diǎn)進(jìn)行連接造成的威脅。圖3展示了一個(gè)典型的802.1x“輕量級(jí)可擴(kuò)展身份驗(yàn)證協(xié)議”(Light Extendable Authentication Protocal,LEAP)的相互驗(yàn)證過程:在建立一個(gè)成功的連接之前,無線客戶端要對(duì)RADIUS訪問控制服務(wù)器(Access Control Server,ACS)進(jìn)行身份驗(yàn)證;與此同時(shí),該服務(wù)器也要對(duì)這個(gè)客戶端進(jìn)行身份驗(yàn)證。

圖4中的接入點(diǎn)(AP)如果是一個(gè)非法接入點(diǎn),它將無法訪問RADIUS訪問控制服務(wù)器(ACS),因?yàn)樗鼰o法通過服務(wù)器發(fā)出的用戶身份驗(yàn)證質(zhì)詢(challenge)。這樣,用戶就會(huì)拒絕與該接入點(diǎn)建立連接。

每個(gè)經(jīng)過認(rèn)證的接入點(diǎn)都必須由管理員在RADIUSACS服務(wù)器上手工添加,然后該接入點(diǎn)才能訪問ACS服務(wù)器并進(jìn)行身份驗(yàn)證。因此,未經(jīng)授權(quán)的設(shè)備—例如圖4中的非法接入點(diǎn)—就不會(huì)被允許對(duì)RADIUSACS的服務(wù)進(jìn)行請(qǐng)求或使用,因?yàn)樗静粫?huì)被管理員添加到允許訪問列表中。

不是所有種類的802.1x具體實(shí)現(xiàn)或可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)都支持相互驗(yàn)證。在EAP中,支持相互驗(yàn)證的具體方式包括輕量級(jí)EAP和EAP傳輸層安全(EAP-TLS)協(xié)議。在LEAP方式中,身份驗(yàn)證和質(zhì)詢都是從用戶名和密碼派生的。EAP-TLS的驗(yàn)證過程與LEAP幾乎相同,但不是基于用戶名和密碼,而是使用數(shù)字證書。

2.7 使用Catalyst交換機(jī)過濾器在端口過濾MAC地址

組織非法接入點(diǎn)的另一種方法是使用交換機(jī)的端口安全機(jī)制與有線網(wǎng)絡(luò)建立連接。端口安全機(jī)制利用Catalyst交換機(jī)的安全功能,根據(jù)一個(gè)事先設(shè)置好的允許設(shè)備列好,限制對(duì)交換機(jī)某一端口的連接。

這個(gè)允許設(shè)備列表是由硬件的MAC地址表示的。每個(gè)端口都必須設(shè)有自己的允許的MAC地址,以防止未經(jīng)授權(quán)的設(shè)備連接到該端口。

在Catalyst交換機(jī)的端口安全機(jī)制里,可以設(shè)置3中不同類型的MAC地址,分別是靜態(tài)MAC地址,動(dòng)態(tài)MAC地址和粘性MAC地址。

靜態(tài)MAC地址是以手工方式為端口設(shè)置的被允許設(shè)備的MAC地址。默認(rèn)情況下只能設(shè)置一個(gè)靜態(tài)MAC地址,但是可以使用命令增加允許設(shè)備的數(shù)量,如果試圖設(shè)置多個(gè)靜態(tài)MAC地址,但事先沒有為端口增加允許連接的MAC地址數(shù)量,就會(huì)收到一個(gè)錯(cuò)誤提示。靜態(tài)MAC地址被保存在一個(gè)配置文件中,這樣當(dāng)交換機(jī)重啟時(shí)就不會(huì)丟失端口的安全設(shè)置。

動(dòng)態(tài)MAC地址是從連接的設(shè)備那里動(dòng)態(tài)獲知的。如果一個(gè)交換機(jī)端口被設(shè)置最多允許3臺(tái)設(shè)備連接,就動(dòng)態(tài)地獲知最初3個(gè)設(shè)備的MAC地址,并把它們放在內(nèi)存里的一個(gè)列表中。動(dòng)態(tài)MAC地址并不保存在配置文件中。當(dāng)交換機(jī)重啟后,所有動(dòng)態(tài)MAC地址都將被重置。通常這種動(dòng)態(tài)機(jī)制并不被使用。

粘性MAC地址是一種靜態(tài)和動(dòng)態(tài)相結(jié)合的方法來設(shè)置列表。設(shè)備的MAC地址是被動(dòng)態(tài)獲知的,同時(shí)也能靜態(tài)地保存在一個(gè)配置文件中。例如如果有一個(gè)超過200個(gè)用戶的局域網(wǎng),就可以動(dòng)態(tài)的獲知所有200臺(tái)工作站的MAC地址,再把它們轉(zhuǎn)變成為一個(gè)靜態(tài)的MAC地址列表。

2.8 安全違規(guī)

當(dāng)一個(gè)不在MAC地址使用一種靜態(tài)和動(dòng)態(tài)相結(jié)合的未知設(shè)備試圖訪問相應(yīng)的交換機(jī)接口時(shí),就會(huì)發(fā)生端口的安全違規(guī)。對(duì)于這種情況,Catalyst交換機(jī)可以設(shè)置3中不同的處理方式。每個(gè)交換機(jī)端口可以使用保護(hù)模式,限制模式或者關(guān)閉模式。

當(dāng)安全違規(guī)發(fā)生在保護(hù)模式下時(shí),試圖連接到端口的設(shè)備將被阻止并禁止連接,所有來自這個(gè)未經(jīng)授權(quán)設(shè)備的數(shù)據(jù)包也將被丟棄。

限制模式與安全模式類似,也會(huì)丟棄未經(jīng)授權(quán)設(shè)備發(fā)出的所有數(shù)據(jù)包。兩者的區(qū)別在于,限制模式會(huì)把違規(guī)情況記錄到日志中。他會(huì)生成一個(gè)SNMP的trap發(fā)送給管理工作站,用來通知管理員有安全違規(guī)發(fā)生。它還能發(fā)送一個(gè)系統(tǒng)日志消息,并增加交換機(jī)端口設(shè)置中違規(guī)計(jì)數(shù)器的值。

在關(guān)閉模式下,交換機(jī)端口一旦檢測(cè)到某個(gè)未經(jīng)授權(quán)的設(shè)備試圖與自己連接時(shí),就會(huì)自動(dòng)關(guān)閉。這時(shí)交換機(jī)會(huì)發(fā)送一個(gè)SNMPtrap給管理工作站或者發(fā)送一個(gè)系統(tǒng)日志消息,還會(huì)如限制模式那樣增加端口的違規(guī)計(jì)數(shù)器的值。

3結(jié)語

本文主要闡述了用于檢測(cè)和阻止非法接入點(diǎn)(roughAP)的各種不同技術(shù)。使用手工檢測(cè)非法接入點(diǎn)的技術(shù)和使用Cisco公司提供的一種完善的集中式的檢測(cè)方案,即使用一個(gè)管理工作站作為WLSE,用來控制具備Cisco識(shí)別功能的所有設(shè)備,本文還著重介紹了使用IEEE802.1x的協(xié)議基于端口的安全措施防止非法接入點(diǎn)的相關(guān)技術(shù)。802.1x協(xié)議支持相互身份驗(yàn)證,從而讓接入點(diǎn)和用戶能夠相互認(rèn)證,以確保用戶連接到一個(gè)合法的而不是非法的接入點(diǎn)。本文的最后介紹了使用Catalyst交換機(jī)過濾器在端口過濾MAC地址的技術(shù),通過Catalyst交換機(jī)的端口安全機(jī)制,可以根據(jù)設(shè)備的MAC地址限制對(duì)其端口的物理連接。非法接入點(diǎn)是無線局域網(wǎng)中最薄弱的安全環(huán)節(jié),但只要采用規(guī)范的安全策略,輔以正確的技術(shù)手段,那無線局域網(wǎng)的安全性就會(huì)大大提升。

參考文獻(xiàn)

[1] 顏炳風(fēng).無線局域網(wǎng)的安全機(jī)制,漏洞破解以及解決方法[J].科技信息,2010(27)．

[2] 趙偉艇,史玉珍.基于802.11i的無線局域網(wǎng)安全加密技術(shù)研究[J].計(jì)算機(jī)工程設(shè)計(jì),2010,31(4)．

[3] 黎明.基于無線局域網(wǎng)的安全機(jī)制研究[J].科技管理研究,2010(15).

[4] 楊青譯.無線網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2010

[5] 陳雪兆.無線局域網(wǎng)安全技術(shù)研究與實(shí)現(xiàn)[J].科技創(chuàng)新導(dǎo)報(bào),2010(1)．

[6] 趙遠(yuǎn)東,陳飛.無線局域網(wǎng)安全協(xié)議淺析[J]電腦知識(shí)與技術(shù),2010,6(28)．

[7] Sithirasenan E,Muthukkumarasamy V,Powell D.IEEE 802.11iWLAN security protocol—a software engineer''s model[C].AusCERT''05:Proceedings of the 4th Asia Pacific Information Technology Security Conference,2005:39-50.