behindthewalls 2014-06-04
移动互联网的快速发展和智能移动终端的快速普及,师生用户对校园内无线覆盖的需求越来越强烈。校园无线网建设程度逐渐成为衡量高校信息化发展的一个重要指标,高校纷纷建设大规模无线校园网。由于无线网信号是在开放空间传输,Wi-Fi 协议在安全性上又不同于有线网络,容易遭受黑客的攻击,通过无线传输的信息容易受到攻击者窃取和篡改。在高校校园内,学生在网络上的活跃程度和好奇心都非常强,网络攻击行为时有发生。因此,高校无线校园网络安全有其自身的特点,在建设和运维无线校园网络时需要充分考虑其安全性,以保障无线网络可靠稳定运行。
无线网络安全性及技术趋势
无线网络虽然具有便于安装、灵活使用、易于扩展等优点,但是由于无线网络信道开放、接入终端的移动性等特点,以及无线终端计算能力和存储能力的局限性,使得有线网络环境下的许多安全方案和技术不能直接用于无线网络。
WLAN 无线网络技术标准制定者IEEE 802.11 工作组从一开始就考虑了无线网络安全问题。最初的IEEE 802.11-1999 协议定义的WEP 机制存在较多缺陷,协议中没有对用户进行认证,只对客户端设备进行认证,未经授权的用户也可以访问网络资源;协议中使用的WEP 加密(Wired Equivalent Privacy)方式是一种低效率的加密方式,容易在链路传输层被窃听破解;协议使用的消息完整性验证方式ICV(Integrity Check Value)效率不高,无线传输数据帧的内容容易被黑客修改。所以IEEE 802.11又成立了802.11i工作组,提出了AES-CCM 等安全机制。此外,我国国家标准化组织也制定了WAPI 标准。
目前,从校园无线网管理要求和各大无线厂商解决方案来看,有线无线网络一体化管理逐渐成为趋势,相应的技术产品逐渐成熟,可以实现有线无线一体化的安全架构。通过有线网硬件平台上集成无线交换、防火墙、入侵检测等功能模块,可以实现的主要安全功能包括:动态检测和过滤数据包、防范多种DoS/DDoS 攻击、防范ARP 欺骗攻击、识别网络应用层流量并过滤、流量审计与分析等。有线无线网络一体化管理还要实现有线无线接入认证系统以及计费系统的统一,既方便了用户用网,同时又可以实现无线用户特有的服务策略控制。
无线安全问题及应对策略
无线校园网络面临的主要安全问题有:
1. 侦测攻击:通过窃听、伪造等方式针对系统或服务弱点进行未经授权的查询和访问。
2. 非法AP 欺骗:通过使正常用户接入未授权的AP,以获取正常用户的认证和数据信息。
3.ARP 病毒:很多校园网内ARP 病毒泛滥,无线校园网由于共享带宽机制,更易受到ARP 病毒影响。
4.DoS 攻击:通过发起大量服务请求来占用过多服务资源,从而使合法用户无法得到正常服务。
针对无线校园网的特点及安全问题,可在网络不同层次采取多种安全策略,如图1 所示,主要措施有:
图1:无线校园网安全策略示意
1. 建立完善的无线用户认证和授权系统,支持802.1X 认证、MAC 地址认证、Portal 认证、PPPoE 和WAPI 认证等多种方式,用户通过身份认证后可动态授权VLAN 和ACL,对用户的策略可以事先设定好。无线用户经认证系统认证后,无线控制器应对用户进行标识并绑定,并分配带宽等属性。可以防止IP 地址欺骗、带宽滥用、DHCP 服务器被攻击等问题。
2. 提供基于AP 位置的用户接入控制,出于安全性或计费等的考虑, 要求无线控制器支持基于AP 的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC 下发允许用户接入的AP 列表,在AC 上进行接入控制,从而达到限制无线用户只能接入到指定位置AP 的目的。
3. 采取无线用户隔离措施,用户隔离包括同AP 下用户的隔离以及不同AP 下用户的隔离。AP 内部采用MAC 互访控制原理隔离用户,保证同AP 下用户只能与上联端口进行通讯;AP 之间采用MAC 地址访问控制或组网汇聚设备二层技术(如VLAN、PVLAN、PVC)进行隔离,保证不同A P 下用户不能直接相通。所有用户只有通过A C 认证后才能进行三层受控互通。
4. 通过数据加密防止用户数据被非法窃取,用户数据的加密包括无线链路层和网络层的加密。
5. 部署无线入侵检测/ 防御(WIDS/WIPS),非法设备的告警和攻击防护功能使得无线控制器可以自动监测WLAN 网络中的非法设备( 如Rouge AP,或者AdHoc 无线终端),并实时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。
安全运维管理
尽管无线网络相关安全技术和设备已有较快发展,但由于系统开销和性价比原因,在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。因此,后期的安全运维管理是保障无线校园网稳定运行的重要手段。
无线校园网安全运维管理可分为流程定义、运行监控、事件分析、安全响应四个环节。
1. 流程定义环节:根据学校安全应急等级制度以及校园网安全管理制度,预定义无线校园网安全事件等级和安全响应流程,明确各类安全事件的响应步骤及相关责任岗位,定期进行安全预演。
2. 运行监控环节:建立无线校园网运行监控系统,通过网络运行监控中心对无线网络控制器、交换机、AP 等设备的运行状态以及安全设备告警日志进行实时采集和定期查看,生成安全报表。
3. 事件分析环节:管理员对监控中心发现的异常告警进行分析,对监控系统收集的运行数据进行分类梳理,对海量日志信息进行过滤和审计,评估安全风险。
4. 安全响应环节:针对已发生的安全事件,根据预定义的流程及时响应处理并保存日志备查,同时修复漏洞;对潜在的安全威胁,提出解决方案并组织实施。
安全设计和运维案例
浙江大学于2013 年初建成覆盖全校五校区的大规模高速无线校园网络,采用有线无线一体化架构,共部署双频802.11n 无线接入AP 近1 万个,实现全校教学区、学生宿舍区、室外公共区域无线网络的全覆盖,在教学、科研等重点区域实现450M 无线网络高速接入。
在无线校园网络方案设计时,详细考虑了无线网络安全需求和运维管理需求。拓扑示意图如图2 所示,相关组网设计思路如下:
1. 核心层:五个校区的教学区、宿舍区无线网络核心通过万兆互联,校园有线无线共用核心层设备,采用各校区核心交换机插卡的形式部署无线控制系统。同时,为保证分区的安全控制与防御,在核心层可部署防火墙、入侵检测等安全设备,与网络融合,灵活安全控制策略。
2. 汇聚层:从汇聚层开始,无线网采用专用光纤、汇聚交换机独立组网,各汇聚单元通过冗余万兆上联核心交换机,同时双千兆接入到各楼宇。
3. 接入层:采用瘦AP(Fit AP)+ 集中式无线控制器的方式,通过无线控制器(AC)来集中管理所有AP,AP 通过PoE接入交换机上行至无线网络的汇聚及核心。接入层交换机直接和无线AP 连接,可能遭受来自AP 用户的ARP 风暴、MAC扫描、ICMP 风暴、带宽攻击等攻击方式,需要具备较高的防攻击能力。
4. 用户认证:基于原校园有线网络认证数据库,实现有线无线网络统一认证,无线认证方式支持Web Portal、802.1X 等安全认证方式。针对不同的用户套餐使用不同的用户策略。
5. 网络管理:部署无线网络管理系统,通过管理无线控制器,进而管理整个无线网络设备,实现有线无线一体化的网络管理和运行监控。
浙江大学通过建立无线网络运维体系,保障无线校园网安全可靠运行。设立网络运维监控中心,通过无线网管系统对无线校园网运行情况进行7x24 小时监控;建立无线网运维队伍,对无线网运行情况和安全问题进行整理,每周例会定期分析;建立相应的运维制度,进行规范化运维。