基于校园规模化无线网络入侵安全防御技术方案的设计
2017-06-16郑州杨帆
郑州++杨帆
摘 要:随着校园智慧化建设的迅速加快、移动互联网的快速发展,未来校园信息化更加关心的是创新、改变。在国家“互联网+”大战略背景下,如何利用无线网络为业务、管理提供更多的创新服务,这是下一阶段许多校园信息化建设关注的重点。随着无线互联热点的普及,人们对无线WiFi的依赖程度也越来越高,然而随之而来的无线安全问题也日益严重。为了有效防范和化解风险,更全面地防护无线安全,必须在无线网络边界进行安全防护,以增强公共WiFi平台的整体安全。本文进行了无线网络风险分析、安全需求分析,通过实际方案的实验探究了解无线网络入侵安全防御技术。
关键词:无线网络;入侵安全;防御技术;实验方案
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2017)11-0088-04
一、无线网络风险分析
目前,无线WiFi网络所面临的安全威胁大体可分为两种:一是黑客通过无线攻击入侵校园WiFi公共平台内部,获取内部信息,或影响无线网络的正常运行;二是如何实施监控校园公共WiFi无线网络中存在的攻击及非法热点,例如DDoS攻击、暴力破解、钓鱼攻击等。具体分析如下几点:
1.缺乏无线网络威胁监控手段
校园公共WiFi网络建成后,无线热点逐渐成为人们在校园公共场所通讯及获取信息的重要手段及方式,包括教学、办公、出行、休闲娱乐等日常生活和工作。无线网络如果被网络攻击或黑客破坏,将使用户接入大幅降低,严重影响系统性能,将造成网络瘫痪、业务中断,甚至社会生活混乱等情况。
无线局域网传输作为开放的传输介质,很容易被用来发动 DoS 攻击。此外,802.11 MAC 协议中的 soft spots 也是被用来作为发动 DoS 攻击的漏洞。例如以下的 DoS 攻击:authentication、association、de-authentication 或 disassociation flood、NAV attack、CTS flood、EAP and EAPOL message floods,这类就可以轻易发动而造成整个无线局域网络瘫痪。从因特网上可以轻易获得各种 DoS 工具,如AirJack、FataJack、Void11、Fake AP等等。
2.缺乏无线网络安全评估手段
对于合法设备的安全性设置情况,如是否启用了适当的加密手段、是否启用了适当的安全策略等。
无法得知在公共范围内,是否有人恶意搭建钓鱼AP,无法得知公共无线网络是否受到攻击和威胁,比如无线网络是否受到了DoS攻击、是否有人在对合法AP进行暴力密码破解等。
3.非法热点发现
目前无线局域网接入点(WLAN APs)非常便宜﹑容易安装﹑小巧而容易携带。非法的 WLAN APs 可以无意地或者在网络管理人员无法察觉的情况下恶意地接入到已有的网络,只需要把一个小巧的 WLAN APs 带到公共WiFi网络覆盖范围内即可使用,瞬间即可建立独立热点。
在很多校园公共场所,用户为了方便上网,私接无线 AP 是快速方便无线接入的典型方式,他们安装的 AP 几乎没有任何安全控制(例如接入控制列表﹑Wire Equivalent 协议﹑802.1X、 802.11i等)。由于这些 AP 可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如Wi-Fi 交换机和防火墙)。私接 AP 的无线电覆盖无法被所在建筑物完全屏蔽,非法用户这时就可以通过这些私接 AP 溢出的无线电覆盖连接到网络。不可见的电磁场使管制这种意外活动变得很困难,即使察觉到他们的存在,找到他们同样很困难。
终端的不当连接也是合法用户终端与非法热点AP 建立的连接。一些部署在办公区周围的AP 可能没有做任何安全控制,办公区内的用户就可能与这些外部 AP 建立连接。一旦这个客户端连接到外部 AP,内部可信赖的网络就置身风险之中,外部不安全的连接通过这个客户端就能接入内部网络。考虑到无线网络的安全状况,我们要防止特定区域内的合法用户与外部 AP 建立连接,进而导致内部信息外露的情况。
二、安全需求分析
根据校园公共WiFi无线网络的建设现状以及风险分析,我们认为校园公共WiFi无线网络应着重解决如下安全需求:
1.安全评估
对于无线网络的安全防御,首先需要有一套安全評估系统对无线网络的安全状况有清晰的了解。它可以了解管理范围内的AP情况,可以区分出哪些是合法的AP、哪些是非法私搭乱建AP,可以了解合法AP的安全设置情况,是否有弱密码、是否开启了适当的加密手段、是否启用了适当的安全策略等。可以了解当前无线网络,是否在受到诸如DDoS、暴力破解密码等攻击,并根据以上情况,对网络的整体情况进行综合打分,使网络管理人员可以对网络的整体安全情况一目了然。
2.热点管理
AP热点,是无线网络的重要组成部分,只有加强AP的管理,无线网络才有安全的基础。需要以黑白名单的方式,来区分合法AP和非法私搭乱建AP。对于非法AP,要能够进行压制,避免有终端有意或者无意进行连接。对于非法AP,要能够进行定位,可以快速找出私搭乱建者的位置,以便下一步处理。
3.攻击检测预警
对于DDoS和暴力破解等攻击,需要能够及时发现、及时预警,以便管理员采取相应手段进行应对。
4.终端接入管理
为了进一步确保终端的安全,需要以黑白名单的形式来设置终端可接入AP的范围,以避免终端在无意之间钓鱼AP。
三、无线安全解决方案
1.整体思路
针对当前校园公共WiFi建设遇到的安全风险和需求,为了解决当前无线网络安全问题,我们应专门研究制定一套整体解决方案进行验证,该方案从无线攻防的角度进行设计,以数据捕获能力、协议分析能力为基础,可以精准识别攻击行为并快速对威胁进行响应,不间断地对无线网络进行监测并将无线入侵拒之门外,保护无线网络边界安全;快捷、直观、全面的管理方式提高管理效率、降低管理难度,可协助无线网络管理员了解无线环境安全状况、为公共无线网络安全建设和防御提供决策依据;简易的部署方式不改变用户原有网络结构,节省用户投资,独立的无线收发引擎设备可提供更专注更高效的安全保护。
根据当前公共WiFi建设需求、无线接入点AP的设计数量和覆盖的范围,考虑到校园WiFi建设的实际情况,中等规模校园一般需要1.15万个无线收发引擎来保障当前环境的无线安全,(1:2的比例,1个收发引擎对应2个无线接入点防护)以无线攻防思维,为校园构建全面的无线安全防护体系,切实保護公共无线网络边界安全。
2.方案架构
无线安全防御系统主要由中控服务器、硬件传感器和WEB管理平台组成,满足校园公共WiFi系统的更高安全要求,为无线网络安全提供更多保护。管理员通过访问WEB管理平台,能够及时发现是否存在私建热点、伪造热点等违规行为,及时对可疑热点进行阻断和定位,将无线网络安全威胁拒之门外。同时系统提供热点分布概况分析、客户端连接热点趋势分析以及安全事件汇总等核心数据,帮助校园公共WiFi系统制定更加有针对性的无线网络防护策略。
3.基础架构(见图1)
4.系统设计
考虑到无线校园公共WiFi总体建设范围广、覆盖面积大、涉及AP终端数量较多的特点,安全防御系统采用分布式多级部署方式。其中,设置一级总管控中心,用于管理一级系统范围AP收发引擎;在重点区域核心区域设置多个二级管理分控制中心,用于管理辖内AP收发引擎并定期向一级管控中心上报运行情况,同时一级管控中心可集中对下发无线安全策略,二级中心也可根据自身无线环境特点定制本级中心的策略。如图2所示:
5.主要功能
(1)无线热点阻断
WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是作为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线安全防御系统中是不可或缺的。本解决方案的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断方式。通过热点阻断,可允许所在无线网络区域内某些特定的热点可用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。
(2)无线攻击检测
保证无线网络安全的关键任务是持续关注当前无线网络的安全状况,方案通过部署在各个区域的高性能无线数据收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。
(3)安全策略设置
非白即黑策略,启用该策略后,把本区域内的合法热点全部加入白名单,则所有白名单之外的热点,都会被自动阻断。报警策略,可以定义安全事件的报警级别、报警方式等。
(4)无线安全评估
对校园公共WiFi系统的无线网络安全情况进行评估,主要有以下几点依据。无线热点的安全性设置,针对已经添加在白名单中的热点,如加密等级过低、使用弱口令等,都会影响到无线网络的安全评级。
6.方案特点
(1)无线防御实时监测
保证无线网络安全的关键任务是持续关注当前无线网络的安全状况,通过部署高性能无线数据收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。
(2)恶意热点精确阻断
WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是作为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线安全防御系统中是不可或缺的。本方案的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,方案使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断。通过热点阻断,可允许所在无线网络区域内某些特定的热点使用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。
(3)安全事件智能告警
对于一款无线安全防御产品来说,监测到无线攻击事件发生或检测到恶意热点存在时,向管理员提供告警信息已经是十分普遍的做法。但同时也带来一个问题就是,告警信息过多,管理员疲于应付每天系统向他发出的各种告警,这些告警大多是没有经过过滤和分析过的无用告警,有些则是真正需要被管理员注意到并需要处理的问题,但这些真正的问题很可能被淹没在大量的无用告警信息之中。本方案搭载事件分析与告警引擎,能够对中控服务器上报的安全事件进行分析和筛选,并在此基础上将事件按照安全策略设定的严重级别进行分类,筛选后告警信息将通过邮件提醒、首页提示和告警日志三种方式展现给管理员。这样无用的安全事件告警信息将大大减少,同时管理员在本方案的管理界面就可以看到他真正关注的无线安全事件。本解决方案事件分析与告警引擎有效降低无线安全事件误报率,极大提高管理员工作效率,降低维护工作量,让事件告警更智能。
(4)黑白名单智能管控
无线安全防御系统的主要工作方式分为监测、识别和阻断三个阶段。监测功能大多由系统自动完成,但绝大多数无线安全防御系统的识别与阻断功能,尤其是阻断都是由管理员手工完成的:对于系统监测到的攻击事件发生或存在恶意热点,系统可以向管理员发出告警提示,并由管理员进行处理。但传统解决方案存在的一个很大的问题就是:为了及时处理系统监测的攻击事件(尤其攻击者喜欢在半夜进行攻击),管理员甚至需要7×24小时值班进行看管;管理员需要持续地在大量热点与终端中进行手工排查,查看当前无线网络中是否存在非法热点或终端。本方案就是从管理者角度出发,向用户提供热点及终端黑白名单管理功能,首先管理员根据安全策略对当前无线网络环境内的热点及终端进行分类,属于合法热点和终端的就划分至白名单,安全属性未知的则划分至未知名单中,有可疑行为的热点或终端则划分至黑名单中。同时系统也将根据安全策略进行自动监测,并将监测到的热点或终端按以上分类方式进行区别对待,在设置自动阻断前提下,系统可自动阻断和隔离黑名单中的热点及终端,这样可大大提高管理员排查和阻断的工作效率。
(5)安全审计报表
对于公共WiFi系统来说,报表不仅是为了向上级进行工作汇报,更需要通过报表中的数据反映出实际的问题和应对的策略。但目前绝大多数同类产品轻视报表的重要性,甚至没有报表功能。有的产品所产生的报表仅仅是一份堆叠原始采集数据的Excel表(例如日志数据、安全事件数据、告警信息等)或是毫无意义的大段文字。管理员面对这样的审计报表很难发挥报表应有效果。本方案可根据管理员的需求灵活生成无线安全威胁报告,并可在生成后自动发送至管理员邮箱,方便管理员抄送至领导邮箱,提高管理员工作效率。同时管理员也可查看过往已生成的报告。无线安全威胁报告包括安全概览、恶意热点处理、恶意热点分布、无线攻击分布和安全小结。安全概况可帮助读者通过整体安全指数快速概览当前无线安全状态,并可知道哪个区域安全指数最高、哪个区域安全指数最低以及恶意热点和无线攻击的趋势如何。恶意热点(攻击事件)处理及分布概况向读者展示报告周期内,热点及攻击事件的处理状况和分布情况,帮助管理员进行有针对性的排查。由于系统支持分布式多区域的部署方式,因此管理员可选择指定区域详细查看该区域的无线安全状况,可以根据报表中的安全小结采取相应措施。
(6)无线网络状况展示
传统的无线安全防御系统或国内安全类产品对事件的描述大多为列表文字化的方式,并且按时间由远及近的排序。满足业务需求永远是传统安全产品的首要任务,管理员似乎也逐渐接受这种古老的单一维度的展现方式。但是仍有国内部分大的互联网安全企业,深谙应如何向用户提供更好的产品,满足用户需求是基本,提高用户体验才能让用户更好地使用产品,在产品设计之初便清楚,满足业务需求与提高用户体验都是一个解决方案的职责所在。本方案将互联网产品设计模式引入传统安全产品领域,创新性地运用多种统计方式为管理员从多方面展现无线网络状况,创新方式直观变化,展现当前区域的无线安全变化情况,并在区域存在风险情况下以分类的形式向管理员描述系统当前存在哪些风险。同时利用饼状图、柱状图以及趋势图等也为管理员展现不同设备在当前区域内的状态。
综上,校园大规模公共WiFi系统建设的环境不再局限于一个地方,涉及面积不断扩大,办公区域逐渐增多,跨地区也不再少见,对管理来说,无线安全的分级管理势在必行。在无线安全防御类系统中设计支持基于人员与角色的多中控、多区域的管理架构,能够极大简化区域管理,通过这种管理架构,可将原本各自孤立的无线安全孤岛连接起来,既能使总部的安全策略顺利上传下达,各分部区域内又可以灵活管理,使整个无线网络安全管理效果不因地域而受限,不因人员而不同,同时能有效避免管理“越界”,定义角色的无线安全管理机制,建立起有效防范和化解风险,更全面地防护无线安全,解决无线网络边界的安全防护,有效增强公共WiFi平台的整体安全。
参考文献:
[1]翟克利,唐占怀.分析我国智慧城市建设的现状及思考[J].城市建设理论研究(电子版),2013(13).
[2]360助力东莞打造全国首个无线安全城市[N].齐鲁晚报,2016-3-14.
[3]360科技公司云事業部总监张晓兵:互联网+时代的安全思想与攻防实践[J].通信管理与技术,2015(4).
[4]杨晓雪.对无线网络安全风险评估方法的应用研究[J].信息通信,2015(4).
[5]胡福强,许晓东.基于RSS的无线局域网MAC层DOS攻击的检测与定位[J].无线通信技术,2015(2).
(编辑:王天鹏)