我的书签
添加书签
移除书签7.3 Wi-Fi网络安全性规划
7.3.1 Wi-Fi网络安全性概述
1.Wi-Fi网络安全性问题
Wi-Fi的安全性问题及其成因一般分为两方面,一方面源自技术层面,即IEEE 802.11协议在其设计发展期间对其安全问题考虑不周;另外一方面源自管理层面,即网络管理策略不完善。下面将对这两方面原因造成的安全性问题进行阐述。
首先,从技术层面上看,IEEE 802.11协议中有如下几个问题。
(1)认证方式问题:协议中仅对客户端设备进行认证,而没有认证用户,这样没有授权的用户也可以访问网络资源。
(2)弱数据加密问题:协议中使用有线等效加密(Wired Equivalent Privacy,WEP)方式,而这种加密方式被证明是一种低效率的加密方式。采用这种加密的数据比较容易被更改加密有效负载中的位并适当更新CRC32加密的结果,从而阻止接收节点检测到帧内容已发生更改。在无线链路上传输时比较容易被黑客窃听。
(3)消息完整性检验问题:协议中使用完整性检验值(Integrity Check Value,ICV)作为验证消息完整性的方式,而这种方式被证明效率不高。ICV低效率的验证方式使黑客能够任意修改无线数据帧的内容。
其次,从管理层面看,存在安全隐患的原因是比较复杂的,包括以下两个方面。
(1)网络管理人员对无线网络技术不熟悉,由于管理上的失误造成网络漏洞,例如网络管理人员可能因为使用了AP上的默认管理密码,从而导致系统存在安全隐患。
(2)内部管理人员主动泄密,例如修改无线网卡设置,为外部人员提供接入途径;或者与外部人员交换网卡并提供网络信息[SSID(Service Set Identifier,服务集合标识符),WEP Key等],使其获得非法登录的权限。
鉴于以上问题的存在,Wi-Fi网络面临的安全问题可具体分为以下几类。
(1)侦测攻击
侦测是针对系统或服务弱点进行未经授权的查询和访问。收集到的数据用于进行下一步访问攻击或拒绝访问(Denial of Service,DoS)攻击。其中的无线窃听可以查看网络数据,发现正在使用的SSID,验证MAC地址以及确认数据是否被加密。
(2)访问攻击
访问攻击用于发现身份认证服务、FTP功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。在Wi-Fi中,黑客经常利用AP访问LAN中的设备,例如台式机和服务器。一些更高级别的黑客会控制整个AP并按照自己的需要重新配置AP。
(3)恶意AP攻击
未经授权的AP称为恶意AP。恶意AP攻击即是通过使用户接入未授权AP的方式访问用户端设备的数据。在接入过程中,客户端会选择信号最强的AP进行附着,当与一个未授权的AP连接之后,这个AP可以访问与它建立连接的所有客户端设备的数据。因此,它可以进行中间人攻击,从而获取加密数据,例如安全套接字层(Secure Sockets Layer,SSL)或安全外壳(Secure Shell,SSH)等。
(4)WEP攻击
WEP攻击程序可以让攻击者被动检测和分析数据包,然后根据这些信息破解用于加密数据的WEP Key。WEP攻击又分明文攻击和密文再利用两种,第一种情况攻击者在截取明文本消息和其加密文本的拷贝后,运用字典攻击等破解Key;后一种是指从WEP包中截取Key流,使用这个Key流,攻击者可在没有被认证的情况下进入无线网络。
(5)DoS攻击
DoS攻击广义上可以指任何导致服务器不能正常提供服务的攻击。从网络攻击的各种方法和所产生的破坏情况来看,DoS是一种很简单但又很有效的进攻方式。它的目的就是拒绝用户的服务访问,破坏组织的正常运行,最终使用户的部分Internet连接和网络系统失效。DoS攻击的方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。攻击者并不需要对目标具有优先访问权限,只要能够访问网络即可。因此,DoS攻击的潜在破坏性是最大的,也是最难以防备的。
现今,许多新的网络攻击工具包括专门针对无线网络的攻击工具,同时包含了侦测工具和访问工具。并且,攻击工具正向着高自动化、复杂化和高速攻击的趋势发展,能够更快地发现网络安全漏洞,具有更高的防火墙渗透率和威胁不对称性,对基础设施形成更大的威胁。
因此,要解决网络安全问题必须明确网络安全目标,了解安全策略要求,并制定有效的Wi-Fi安全保证方案。
2.网络安全目标
本节针对上面讨论的安全问题,明确了Wi-Fi网络规划的安全目标。该目标主要表现在系统的保密性、完整性、可控性、可靠性、可用性、不可抵赖性等6个方面。
(1)可靠性
可靠性是指网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。例如:Wi-Fi的热点AP和其连接的AC能够使用户正常接入Wi-Fi网络,并通过认证服务器完成用户认证过程,使用户可正常访问Internet,同时用户的计费信息不被伪造和破坏。
(2)可用性
可用性是指网络在提供信息服务时允许授权用户或实体使用的特性,或者在网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性还应该满足以下需求:身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪。
(3)保密性
保密性是指信息只被授权用户使用、防止泄漏给非授权个人或实体的特性。常用的保密技术包括:防侦听技术、防辐射技术、信息加密技术和物理保密技术。
(4)完整性
完整性是指网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入和丢失的特性。影响网络信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。
(5)不可抵赖性
不可抵赖性也称作不可否认性,是指所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
(6)可控性
可控性是一种对网络信息的传播及内容具有控制能力的特性。
安全性目标是否已经达到,需要对Wi-Fi网络进行广泛的安全性测试,包括模拟各种攻击行为,例如无线信号泄露检测、无线安全机制检测、非法无线接入点检测及定位、恶意无线干扰检测、恶意无线方式的攻击测试、Ad-hoc检测与定位和无线安全相容性测试等。
7.3.2 Wi-Fi安全系统组成
根据网络面临的主要安全威胁(例如非法接入、恶意欺骗、信息外泄、信息遭篡改以及网络和通信业务遭受攻击),安全性保证的对象被分为用户和系统两部分,即用户安全和系统安全。下面分别对Wi-Fi网络的用户安全和系统安全进行详细的分析。
1.Wi-Fi用户级安全策略
(1)用户认证
由于IEEE 802.11x中规定的基于SSID、共享WEP Key和MAC地址的认证和存取控制不能提供较好的用户安全,电信运营商Wi-Fi规范中采用基于SIM卡或者手机号码结合密码方式的用户授权和认证方式来防止非法用户侵入IP承载网;通过对识别用户身份进行相应授权的方式,保证在认证过程中用户认证信息的安全。认证方式包括以下几种。
⑴PPPoE认证:采用挑战握手认证协议(Challenge Handshake Authentication Protocol,CHAP)认证,可通过MD5算法,使得用户密码不以明文方式在网上传输,从而保证认证信息的安全。
⑵WEB认证:采用安全超文本传输协议(Hypertext Transfer Protocol Secure,HTTPS)加密传送用户密码,从而保证认证信息的安全。
⑶IEEE 802.1x认证:指无线客户端和应用处理器在AP端实现扩展认证协议(Extensible Authentication Protocol,EAP)的认证,利用RADIUS服务器对Wi-Fi客户端设备和终端用户进行认证。不论是对有线的以太网络还是无线的IEEE 802.11网络,RADIUS都是标准化的网络登录技术。支持IEEE 802.1x协议的RADIUS技术,提高了Wi-Fi的用户认证能力,使IEEE 802.1x技术能够为用户带来高效、灵活的无线网络提供了安全的解决方案。所以,选用IEEE 802.1x技术的无线产品是各级组织Wi-Fi访问控制的最佳选择。
(2)用户绑定与用户隔离
通过各种认证技术(WEB、PPPoE或IEEE 802.1x)对用户进行认证后,AC应对用户进行绑定。AC可以通过VLAN+IP地址+MAC地址来唯一标识一个用户,同时为该用户分配带宽等属性。该技术可以防止IP地址欺骗、带宽滥用、DHCP服务器被攻击等问题。
同时,作为公共区域的接入网络,可运营的Wi-Fi网络中用户之间是互不信任的,所以必须采用用户隔离技术防止热点地区的用户之间互相攻击或窃听。用户隔离包括同一AP下用户之间的隔离以及不同AP下用户之间的隔离,具体包括三种方式。
⑴AP内部采用MAC互访控制原理隔离用户,确保同一AP下的用户只能与上行口相通,而不能二层相通。
⑵AP之间采用MAC地址访问控制或组网汇聚设备二层隔离技术(如VLAN/PVLAN/PVC)进行隔离,保证不同AP下的用户不能直接相通。
⑶AC通过用户控制列表(User Control List,UCL)用户的三层互控访问,所有用户只有通过AC认证后才能进行三层受控互通。
(3)用户数据加密
由于基于IEEE 802.11x的Wi-Fi接口是空中接口,因此要对数据进行加密,防止用户数据被非法窃取。用户数据的加密包括无线链路层的加密和网络层的加密。
⑴无线链路层的加密
WEP:基于RC4算法,对报文进行流加密;
暂时密钥集成协议(Temporal Key Integrity Protocol,TKIP):对RC4算法进行了改进,在密钥生成中采用哈希算法并增加MIC(消息完整性检查),克服WEP的一些缺点。其初始密钥可通过扩展认证协议—用户身份模块(EAP-Subscriber Identity Module,EAP-SIM)、扩展认证协议—隧道传输层安全(EAP-Tunneled Transport Layer Security,EAP-TTLS)、受保护的可扩展身份验证协议(Protected EAP,PEAP)认证方式获得;
高级加密标准(Advanced Encryption Standard,AES):IEEE 802.11i标准规定的标准算法,对报文进行块加密,需要硬件支持。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得。
⑵网络层的加密
在终端(Station,STA)和虚拟专用网(Virtual Private Network,VPN)网关之间对信息进行加密和解密,保证STA和VPN网关之间信息传送的安全性,主要用于VPN业务的实现。常用的网络层加密技术有IP层协议安全结构(Security Architecture for IP network,IPsec)、第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)、点对点隧道协议(Point to Point Tunneling Protocol,PPTP)等隧道技术,根据隧道建立方式可主要分为如下两类。
第一类:用户发起的VPN
用户发起的VPN连接是指如下情况:首先,用户通过Wi-Fi热点接入Internet访问企业网;随后,用户通过网络隧道协议与企业网建立一条加密的IP隧道连接,从而安全地访问企业网内部资源。在这种情况下,用户端必须维护与管理与发起隧道连接的有关协议和软件。
第二类:AC发起的VPN
在AC发起的VPN连接应用中,用户通过PPPoE方式接入Wi-Fi网络,AC对用户进行认证。AC在根据域名判断为VPN业务之后,发起一条隧道连接到用户的企业网。在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的软件均由运营商负责管理和维护。这种方式下的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现数据加密。
2.Wi-Fi系统级安全策略
先进的系统级安全系统包括防火墙、入侵检测系统(Intrusion Detection Systems,IDS)和入侵防护系统(Intrusion Prevention System,IPS)、防分布式拒绝服务(Distributed DoS,DDoS)攻击设备和风险评估系统等。
(1)防火墙
防火墙由软件和硬件设备组合而成,它在内部网和外部网之间、专用网与公共网之间的界面上构成保护屏障,使Internet与Intranet(企业内部网)之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙是解决子网的边界安全问题、实现网络访问控制的有效方法。防火墙的主要功能包括包过滤、网络地址翻译、应用代理、身份认证和虚拟专网等。
防火墙作为网络流量的阻塞点和网络入口的控制点能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低网络受到攻击的风险,例如防火墙可以禁止不安全的网络文件服务器(Network File Server,NFS)协议进出受保护网络,使外部攻击者无法利用这些协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,例如IP选项中的源路由攻击和网际控制信息协议(Internet Control Message Protocol,ICMP)重定向中的重定向路径攻击。
防火墙通常至少具有三个接口。当使用具有三个接口的防火墙时,就至少产生了三个网络,分别是内部区域、外部区域和隔离区(DMZ)。内部区域即内网,通常就是指企业内部网络或者是企业内部网络的一部分。内部区域是互联网络的信任区域,受到防火墙的保护。外部区域,即外网,通常指Internet或者非企业内部网络。外部区域是互联网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙就可以实现有限制的访问。隔离区,也称“非军事化区”,是一个隔离的网络或几个网络,位于隔离区中的主机或服务器被称为堡垒主机。隔离区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。这个小网络区域内通常放置一些必须公开的服务器设施,如WEB服务器、Mail服务器、FTP服务器和论坛等。隔离区对于外部用户来说通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。需要注意的是,两个接口的防火墙是没有隔离区的。
鉴于防火墙部署对于Wi-Fi安全的重要性,本章7.3.3节将讨论防火墙的部署问题。
(2)IDS/IPS
IDS主要用于检测黑客或攻击者通过网络进行的入侵行为。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的设备上运行以监测所有网络设备(比如Hub、路由器)的通信信息。当有某个事件与一个已知的攻击信号相匹配时,多数IDS都会告警。一个基于异常事件的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警。例如,当一个用户突然获取了管理员或根目录的权限时,IDS就会告警。
IPS对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或减免使用者对异常状况的处理资源开销。IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。而且IPS数据包处理引擎是专业化定制的集成电路,可以做到逐一字节地检查数据包,并深层检查数据包的内容。
同IDS一样,IPS系统分为基于主机和网络两种类型。基于主机的IPS依靠在被保护的系统中所直接安装的代理,与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或应用程序编程接口(Application Programming Interface,API)的系统调用,以便达到阻止并记录攻击的作用。基于网络的IPS综合了标准IDS的功能,可被称为嵌入式IDS或网关IDS(Gateway IDS,GIDS)。
7.3.3 Wi-Fi安全系统部署方案
Wi-Fi核心网具有很高的安全性要求,因此,本规划方案根据不同的典型场景提出了不同的Wi-Fi安全方案,此外还系统规划了Wi-Fi核心网的防火墙部署方案以及安全管理策略。
1.典型应用场景下的Wi-Fi安全方案
根据长期积累的经验,针对各行各业对无线网络的需求,本节制定了一系列的安全方案(如表7-1所示),最大程度方便用户组建安全的无线网络,节省不必要的开支,更好地发挥无线网络“有线速度、无线自由”的特性。
表7-1 典型场景下的Wi-Fi安全方案
(1)小型企业、家庭用户
对于小型企业和一般的家庭用户来说,使用网络的范围相对较小且终端用户数量有限,初级安全方案完全可以满足这些用户的网络安全需求,且投资成本低,配置方便,效果显著。
初级安全方案建议使用传统的WEP认证与加密技术,采用各种型号的AP以及无线路由器都要支持64位、128位WEP认证与加密,以保证无线链路中的数据安全,防止数据被盗用。同时,由于这些场合的终端用户数量比较固定且有限,手工配置WEP Key还是比较可行的。如果能进一步配合AP中提供的基于MAC地址的接入控制就能更好地防止服务被其他非法用户盗用。该方案的组网结构如图7-7所示。
图7-7 初级安全组网方案
(2)仓库物流、医院、学校、餐饮娱乐场合
在这些场合中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,这使得单一的WEP已经不能满足此类用户的需求。中级安全方案使用本地认证或集团认证的用户认证技术作为无线网络的安全核心,并通过后台的RADIUS服务器进行用户身份验证,有效地阻止未经授权的接入。此方案完全适合此类场景使用,并提供了完整的安全保障。该方案的组网结构如图7-8所示。
图7-8 中级安全组网方案
(3)各类公共场合以及网络运营商、大、中型企业、金融机构
有些用户需要在热点公共地区(如机场、咖啡吧等)通过无线接入Internet,浏览WEB页面,接收E-mail,对于他们来说如何安全可靠地接入Internet是十分重要的。公共地区通常是由网络运营商提供接入网络设施,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,就有可能造成服务盗用的问题,这种服务盗用对于无线接入服务提供商来说是不可接受的损失。此时可提供基于IEEE 802.1x的认证方式,并通过后台RADIUS服务器进行认证计费。另外,由于公共场合存在相邻未知用户相互访问而引起的数据泄漏问题,还应注意用户之间的隔离。该方案的组网结构如图7-9所示。
图7-9 大型公共场合安全组网方案
对于大、中型企业、金融机构来说,网络的安全性是至关重要的。他们往往会因为对无线网络安全性的担忧而放弃使用无线系统。专业级的无线网络安全解决方案,可以使这些机构的用户同样能够享受无线所带来的便利、自由。
在使用了完备的用户认证机制的基础上,为了解决远程办公用户能够安全地访问公司内部网络信息的问题,建议利用现有的VPN设施,进一步完善网络的安全性能。VPN目前已经广泛应用于保护远程接入的数据传输安全,很多公司的内部网络系统都已有VPN接入服务器,利用现有资源就可以快速简便地满足这部分用户的安全需要。VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议,因此,具有比WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接,如图7-10所示。VPN技术的另外一个优点是可以提供基于RADIUS的用户认证以及计费。
2.Wi-Fi核心网防火墙部署方案
由于Wi-Fi运用于开放公共运营网络,它的运用环境、组网网元、服务对象不断变化,因此在Wi-Fi核心网中应有效使用防火墙技术。Wi-Fi核心网防火墙设计,首先要明确防火墙在网络中的位置,即部署隔离区;其次是制定防火墙过滤规则,即确定哪些流量不能通过防火墙;最后比较硬件或软件防火墙。具体规划如下。
图7-10 安全隧道连接示意图
(1)部署隔离区
隔离区即DMZ,它通过E1连接到Internet。将需要提供给公共访问的服务器放置在DMZ中,即使这些服务器被攻击也不会影响到内部网络。可通过在接入路由器上设置访问控制列表(Access Control List,ACL)来创建隔离区,例如,在DMZ中可放置Portal服务器、域名系统(Domain Name System,DNS)服务器、测速服务器(FTP服务器)等。
(2)防火墙过滤规则
确定防火墙上可开放的服务种类,例如:允许出网TCP连接,支持HTTP/FTP/SMTP/POP和其他各种流行的TCP应用;允许到AC的DNS连接;允许到Portal服务器的入网HTTP连接;允许到DNS服务器地址入网DNS连接;允许到流量识别服务器入网HTTP和SNMP连接;允许到网管服务器入网SNMP和TELNET连接;允许到高FTP端口(端口号大于1024)的入网FTP数据连接;尽力保护驻留在高端口号上的网络服务等。
(3)边界安全
边界安全可以由硬件防火墙或者软件防火墙实现,下面以思科公司的防火墙为例予以说明。
⑴ASA防火墙
ASA防火墙是一种硬件防火墙系列设备,起到策略过滤的作用,从而隔离内外网。ASA防火墙可以根据用户实际需求设置DMZ。,思科ASA可以提供以下安全服务。
(a)NAT:网络地址转换,将私网IP地址转换为公网IP地址。
(b)PAT(Port Address Translation,端口地址转换):将不同用户映射到同一个IP地址的不同端口。
(c)内容过滤:过滤网页的非法内容。
(d)URL过滤:过滤指定的统一资源定位符(Uniform Resource Locator,URL)内容。
(e)AAA(Authentication,Authorzatioin,Accounting,认证,授权,记账)、RADIUS/ TACACS+集成应用。
(f)支持X.509公钥基础设施(Public Key Infrastructure,PKI)解决方案。
(g)支持DHCP,即动态配置主机IP地址。
(h)支持PPPoE,即以太网上的PPP。
⑵IOS防火墙
IOS防火墙是一种附加的软件模块,无需硬件设备。思科IOS有以下功能。
(a)集成了防火墙和入侵检测的主要功能。
(b)提供基于状态的应用级过滤,即通过会话状态检测并过滤信息。
(c)基于用户的动态认证和授权。
(d)防御网络攻击。
(e)Java阻塞,即大量数据流导致Java的输入输出端口阻塞。
(f)实时报警。
3.Wi-Fi防火墙规划
根据部署隔离区、设置防火墙过滤规则和保证边界安全的三个方面以及Wi-Fi的组网结构,规划Wi-Fi的防火墙网络部署结构,如图7-11所示。
图7-11 Wi-Fi防火墙规划图
如图7-11所示,在安全性要求较高的热点安装IOS防火墙,设置ASA防火墙。由于Portal/RADIUS服务器与Internet连接,且部署于DMZ区域,因此此处的防火墙配置公网IP。核心网中的其他设备,如网管和流量控制服务器均通过防火墙接入Wi-Fi核心网,此处的防火墙可配置私网IP。
4.安全管理策略
(1)针对设备的安全管理
⑴完成本系统中各类用户信息、用户组信息、使用权限、工作职则、使用状态、日志等的安全管理功能。除实现了计算机系统都应该具备的安全管理功能外,为了支持网络管理的不同力度和不同客户的安全要求,应选择不同的安全等级。
⑵应用系统应保证数据不被非法盗用和修改,保证数据的一致性。对非法登陆或系统故障等能采取多种检查和处理手段。采用故障检查、告警和处理机制,保证数据不因意外情况丢失和损坏。
⑶不同的操作员具有不同的数据访问权限和功能操作权限,系统管理员应能对各操作员的权限进行配置和管理。
(2)安全制度的建立
制定安全制度,定期进行安全检查。网络技术人员应该公布关于无线网络安全的服务等级协议或政策,还应指定政策负责人,定期检查各级组织网络上的欺骗性或未知接入点。此外,应及时更改接入点上的缺省管理密码,并实施动态密钥(IEEE 802.1x)或定期配置密钥更新,这样有助于最大限度地减少非法接入。
