WLAN安全技術(shù)白皮書

關(guān)鍵詞：WLAN、Station、SSID、PSK、EAP、AP。

摘  要：現(xiàn)在WLAN應(yīng)用已經(jīng)非常普遍，在很多場(chǎng)所被部署，例如公司、校園、工廠、咖啡廳等等。本文介紹了H3C WLAN解決方案能夠提供的多種無(wú)線安全技術(shù)。

縮略語(yǔ)：

目  錄

1 H3C WLAN分層安全體系簡(jiǎn)介... 3

2 物理層安全... 3

3 用戶接入安全... 3

3.2 802.1x接入認(rèn)證... 4

3.3 PSK接入認(rèn)證... 4

3.4 MAC接入認(rèn)證... 5

3.5 EAP終結(jié)和本地認(rèn)證... 5

4 網(wǎng)絡(luò)安全... 5

4.1 端點(diǎn)準(zhǔn)入防御... 6

4.2 無(wú)線入侵檢測(cè)系統(tǒng)... 6

4.3 安全策略統(tǒng)一部署... 6

4.4 無(wú)線控制器和AP間下行流量限速... 7

4.5 IPSEC VPN. 7

5 設(shè)備安全... 7

6 安全管理... 8

1  H3C WLAN分層安全體系簡(jiǎn)介

H3C公司的WLAN安全解決方案在遵循IEEE 802.11i協(xié)議和國(guó)家WAPI標(biāo)準(zhǔn)的基礎(chǔ)上，創(chuàng)新性的提出了分層的安全體系架構(gòu)，將WLAN的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理多個(gè)層面上，使用戶在使用WLAN網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。

2  物理層安全

為了保證物理層的通信安全H3C公司的無(wú)線產(chǎn)品支持以下的加密機(jī)制：

(1)        WEP加密：該種加密方式在IEEE802.11協(xié)議中定義。WEP加密機(jī)制需要WLAN設(shè)備端以及所有接入到該WLAN網(wǎng)絡(luò)的客戶端配置相同的密鑰。WEP加密機(jī)制采用RC4算法（一種流加密算法），最初WLAN僅支持WEP40（WEP40算法的密鑰長(zhǎng)度僅為64bits），當(dāng)前WLAN還可以支持WEP104（WEP104算法的密鑰長(zhǎng)度僅為128bits）。

(2)        TKIP加密：該加密方式主要在WPA相關(guān)協(xié)議中定義。TKIP加密機(jī)制除了提供數(shù)據(jù)的加密處理，還提供了MIC和Countermeasure功能實(shí)現(xiàn)對(duì)WLAN服務(wù)的安全保護(hù)。TKIP和WEP雖然使用了相同的RC4加密算法，但是在整個(gè)機(jī)制上TKIP能夠提供比WEP更高的安全性。

(3)        CCMP加密：該機(jī)密方式在IEEE802.11i中定義。CCMP機(jī)密機(jī)制采用了更安全的對(duì)稱加密算法AES，是目前IEEE802.11定義的最安全的數(shù)據(jù)報(bào)文保護(hù)機(jī)制。

(4)        WAPI加密：WAPI 采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法，分別用于WLAN 設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。

3  用戶接入安全

對(duì)于用戶接入安全實(shí)際上包含三方面的手段：

1. 用戶接入認(rèn)證

用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。H3C無(wú)線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及有線網(wǎng)絡(luò)常用的portal認(rèn)證和PPPOE認(rèn)證，通過軟件升級(jí)H3C的無(wú)線產(chǎn)品還可以支持國(guó)家WAPI標(biāo)準(zhǔn)規(guī)定的終端接入認(rèn)證協(xié)議。在下文中只是詳細(xì)描述802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證等認(rèn)證方式，對(duì)于有線用戶常用的Portal認(rèn)證和PPPOE認(rèn)證不再贅述。

2. 動(dòng)態(tài)控制用戶權(quán)限

接入認(rèn)證只解決了用戶的身份驗(yàn)證問題，而無(wú)法對(duì)不同身份的用戶提供不同等級(jí)的服務(wù)和訪問權(quán)限，通過和AAA服務(wù)器配合，H3C的無(wú)線設(shè)備支持對(duì)認(rèn)證用戶動(dòng)態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級(jí)等參數(shù)，對(duì)于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級(jí)來(lái)標(biāo)識(shí)用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔離。

3. Hotspot用戶隔離

隨著無(wú)線終端的普及，運(yùn)營(yíng)商目前都在大力開展無(wú)線熱點(diǎn)業(yè)務(wù)，而其中一個(gè)重要需求是希望所有用戶的數(shù)據(jù)流量在AP本地不做交換，而都必需經(jīng)由BRAS設(shè)備交換和控制。Hotspot用戶隔離通過限制相同SSID下的接入用戶的互訪，可以保證未認(rèn)證用戶無(wú)法在AP上做互訪。

3.2  802.1x接入認(rèn)證

以設(shè)備端PAE對(duì)EAP報(bào)文進(jìn)行中繼轉(zhuǎn)發(fā)為例。在WLAN應(yīng)用網(wǎng)絡(luò)中，WLAN客戶端Station為客戶端PAE，提供WLAN服務(wù)的設(shè)備為設(shè)備端PAE。設(shè)備端通過產(chǎn)生一個(gè)隨機(jī)Challenge發(fā)送給客戶端；客戶端會(huì)使用配置的密鑰對(duì)該Challenge進(jìn)行加密處理并將處理后的信息返回設(shè)備端；設(shè)備端根據(jù)客戶端返回的加密后的Challenge以及原始的Challenge進(jìn)行比較判斷，設(shè)備端完成對(duì)客戶端的單項(xiàng)認(rèn)證。

為了提高WLAN服務(wù)的數(shù)據(jù)安全性，IEEE 802.1x和IEEE802.11i中使用了EAPOL-Key的協(xié)商過程，設(shè)備端和客戶端實(shí)現(xiàn)動(dòng)態(tài)密鑰協(xié)商和管理；同時(shí)通過802.1x協(xié)商，客戶端PAE和設(shè)備端PAE協(xié)商相同的一個(gè)種子密鑰PMK（參見IEEE802.11i），進(jìn)一步提高了密鑰協(xié)商的安全性。802.1x支持多種EAP認(rèn)證方式，如EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-MD5、EAP-SIM等，其中EAP-TLS為基于用戶安全證書的身份驗(yàn)證。EAP-TLS 是一種相互的身份驗(yàn)證方法，也就是說，客戶端和服務(wù)器端進(jìn)行相互身份驗(yàn)證。在EAP-TLS 交換過程中，遠(yuǎn)程訪問客戶端發(fā)送其用戶證書，而遠(yuǎn)程訪問服務(wù)器發(fā)送其計(jì)算機(jī)證書。如果其中一個(gè)證書未發(fā)送或無(wú)效，則連接將終斷。

在無(wú)線局域網(wǎng)應(yīng)用中，當(dāng)EAP TLS認(rèn)證成功時(shí)，客戶端PAE和Radius服務(wù)器會(huì)對(duì)應(yīng)產(chǎn)生公用的對(duì)稱的Radius Key，Radius服務(wù)器會(huì)在認(rèn)證成功消息中將Radius Key通知設(shè)備端PAE。客戶端PAE和設(shè)備端PAE會(huì)根據(jù)該Radius Key，客戶端MAC地址以及設(shè)備端MAC地址，產(chǎn)生種子密鑰PMK以及對(duì)應(yīng)的索引PMKID。根據(jù)IEEE802.11i協(xié)議定義的算法，設(shè)備端PAE和客戶端PAE可以獲得相同的PMK，該種子密鑰將在密鑰協(xié)商過程（EAPOL-Key密鑰協(xié)商）中使用。

3.3  PSK接入認(rèn)證

PSK接入認(rèn)證為IEEE802.11i定義的一種新的接入認(rèn)證方式，該認(rèn)證方式僅支持WLAN接入客戶端。

PSK認(rèn)證需要實(shí)現(xiàn)在客戶端和設(shè)備端配置相同的預(yù)共享密鑰，而具體的認(rèn)證過程實(shí)際上在密鑰協(xié)商過程（EAPOL-Key密鑰協(xié)商過程）中完成。在密鑰協(xié)商過程中，預(yù)共享密鑰將作為輸入生成密鑰協(xié)商使用的PMK。

可以通過是否能夠?qū)f(xié)商的消息成功解密，來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，完成設(shè)備端和客戶端的互相認(rèn)證。

如果密鑰協(xié)商成功，則表明PSK接入認(rèn)證成功；如果密鑰協(xié)商失敗，則可以認(rèn)為PSK接入認(rèn)證失敗。

在WLAN應(yīng)用中，PSK接入認(rèn)證可以和MAC接入認(rèn)證配合使用；但是對(duì)于一個(gè)客戶端不能同時(shí)進(jìn)行PSK接入認(rèn)證和802.1x接入認(rèn)證。在WLAN客戶端和WLAN建立鏈路協(xié)商過程中，WLAN會(huì)為接入用戶選擇所使用的認(rèn)證方式。這個(gè)在802.11用戶接入過程的描述中，會(huì)給出相應(yīng)的描述。

3.4  MAC接入認(rèn)證

MAC接入認(rèn)證是另外一種接入認(rèn)證方式。MAC接入認(rèn)證主要為當(dāng)設(shè)備端發(fā)現(xiàn)客戶端的MAC地址為未知的MAC地址時(shí)，設(shè)備端會(huì)發(fā)起對(duì)客戶端的MAC地址的認(rèn)證。

MAC接入認(rèn)證也使用Radius服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證。當(dāng)MAC接入認(rèn)證發(fā)現(xiàn)當(dāng)前接入的客戶端為未知客戶端，會(huì)主動(dòng)向Radius服務(wù)器發(fā)起認(rèn)證請(qǐng)求。Radius服務(wù)器完成對(duì)該客戶端的認(rèn)證，并通知設(shè)備端認(rèn)證結(jié)果以及相應(yīng)的授權(quán)信息。MAC接入認(rèn)證過程不需要客戶端參與，MAC接入認(rèn)證可以支持有線用戶和WLAN用戶。

無(wú)線局域網(wǎng)雖然沒有明確采用MAC認(rèn)證，當(dāng)時(shí)在實(shí)際的無(wú)線局域網(wǎng)應(yīng)用中，無(wú)線局域網(wǎng)會(huì)將MAC認(rèn)證和其它的認(rèn)證方式一起配合使用。例如，可以同時(shí)使用MAC接入認(rèn)證和PSK認(rèn)證。PSK認(rèn)證完成密鑰協(xié)商以及預(yù)共享密鑰確認(rèn)；而MAC接入認(rèn)證除了實(shí)現(xiàn)MAC地址認(rèn)證外，還可以實(shí)現(xiàn)對(duì)該用戶的計(jì)費(fèi)、授權(quán)。

3.5  EAP終結(jié)和本地認(rèn)證

雖然802.1x是目前802.11i定義推薦的無(wú)線認(rèn)證方式，但目前的市場(chǎng)現(xiàn)狀是一些企業(yè)和單位正在使用的AAA服務(wù)器不支持802.1x接入認(rèn)證方式，無(wú)法處理EAPOL報(bào)文，為了能夠兼容這些企業(yè)已經(jīng)部署的AAA服務(wù)器，同時(shí)又能夠提供安全的802.1x無(wú)線接入認(rèn)證服務(wù)，H3C的無(wú)線產(chǎn)品支持對(duì)用戶EAP報(bào)文的終結(jié)，H3C的無(wú)線產(chǎn)品和AAA服務(wù)器之間采用標(biāo)準(zhǔn)的AAA協(xié)議，而不是EAP over AAA協(xié)議。通過該功能可以有效的保護(hù)用戶已有的投資，不對(duì)用戶已有的認(rèn)證服務(wù)器做改動(dòng)。此外針對(duì)一些中小企業(yè)客戶不具備AAA服務(wù)器的現(xiàn)狀，H3C的無(wú)線產(chǎn)品內(nèi)置了本地認(rèn)證server功能，用戶在開展無(wú)線安全接入服務(wù)時(shí)不再需要單獨(dú)部署一臺(tái)AAA服務(wù)器，這可以有效的節(jié)省用戶的投資，同時(shí)減少用戶的維護(hù)工作量。

4  網(wǎng)絡(luò)安全

為了保證無(wú)線用戶之間以及其連接的整個(gè)網(wǎng)絡(luò)的安全，僅僅保證接入點(diǎn)的安全性是遠(yuǎn)遠(yuǎn)不夠的。H3C從整個(gè)網(wǎng)絡(luò)的安全角度出發(fā)在以下幾方面著手部署網(wǎng)絡(luò)安全措施：

4.1  端點(diǎn)準(zhǔn)入防御

為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，H3C公司推出了EAD解決方案，該方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò)安全。

H3C的無(wú)線產(chǎn)品支持EAD接入控制方式，配合iNode無(wú)線/有線統(tǒng)一客戶端可以實(shí)現(xiàn)有線，無(wú)線用戶使用統(tǒng)一的客戶端進(jìn)行認(rèn)證，結(jié)合H3C公司的CAMS服務(wù)器，H3C公司給用戶提供了有線無(wú)線一體化的整體安全解決方案。

4.2  無(wú)線入侵檢測(cè)系統(tǒng)

H3C的無(wú)線產(chǎn)品支持完善的無(wú)線入侵檢測(cè)系統(tǒng)，能有效地提供無(wú)線攻擊檢測(cè)和防范：

1. 非法AP檢測(cè)

采用H3C的無(wú)線產(chǎn)品組成的WLAN網(wǎng)絡(luò)，可以自動(dòng)監(jiān)測(cè)非法設(shè)備（例如Rouge AP，或者Ad Hoc 無(wú)線終端），并適時(shí)上報(bào)網(wǎng)管中心，同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)。

2. 白名單功能

H3C的無(wú)線產(chǎn)品支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無(wú)線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在AP上被丟棄，從而減少非法報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

3. 黑名單功能

H3C的無(wú)線產(chǎn)品支持靜態(tài)配置黑名單和動(dòng)態(tài)黑名單功能，用戶可以通過預(yù)先配置的方式或者設(shè)備實(shí)時(shí)檢測(cè)偵聽的方式來(lái)確定設(shè)備是否被加入黑名單，加入到黑名單中的設(shè)備發(fā)送的報(bào)文全部在AP上被丟棄，從而減少攻擊報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

4. 無(wú)線協(xié)議攻擊防御

H3C的無(wú)線產(chǎn)品支持多種攻擊的檢測(cè)，例如DOS攻擊，Flood攻擊，去認(rèn)證、去連接報(bào)文的仿冒檢測(cè)，以及無(wú)線用戶Weak IV檢測(cè)。當(dāng)控制器檢測(cè)到上述的攻擊后，會(huì)產(chǎn)生告警或者日志，提醒管理員進(jìn)行相應(yīng)的處理。特別是無(wú)線協(xié)議攻擊防御可以和動(dòng)態(tài)黑名單配合使用，當(dāng)控制器檢測(cè)到攻擊時(shí)，可以將發(fā)起攻擊的無(wú)線客戶端添加到動(dòng)態(tài)黑名單中，從而保證WLAN網(wǎng)絡(luò)不再被該設(shè)備攻擊。

4.3  安全策略統(tǒng)一部署

當(dāng)H3C的無(wú)線控制器采用集中轉(zhuǎn)發(fā)模式時(shí)，所有的用戶數(shù)據(jù)流都會(huì)經(jīng)由無(wú)線控制器做集中轉(zhuǎn)發(fā)的策略處理，因此可以很容易的在無(wú)線控制器上進(jìn)行安全策略的集中部署。這種集中部署安全策略的方式一方面可以充分發(fā)揮無(wú)線控制器處理性能高，能力強(qiáng)的優(yōu)勢(shì)，能夠部署一些復(fù)雜的安全策略，另外可以避免在大量分散的AP設(shè)備上分別部署安全策略，減少了維護(hù)和管理的工作量。

4.4  無(wú)線控制器和AP間下行流量限速

AP由于受自身硬件條件的限制和無(wú)線控制器相比處理能有限，如果在無(wú)線控制器不加控制，外界對(duì)無(wú)線用戶的數(shù)據(jù)流量攻擊很容易造成AP的CPU占用率過高，從而影響無(wú)線控制器和AP之間的連通性。H3C的無(wú)線控制器支持針對(duì)AP的下行流量限速，即使發(fā)往AP的流量再大，都會(huì)被無(wú)線控制器限制在AP的處理能力范圍之內(nèi)，保證AP能夠正常工作。

4.5  IPSEC VPN

通過在H3C的無(wú)線控制器上安裝安全插卡，可以支持IPSEC VPN server，用戶不用再額外安裝VPN server就可以輕松享有端到端的數(shù)據(jù)安全。

5  設(shè)備安全

H3C公司的無(wú)線產(chǎn)品通過以下手段來(lái)保證設(shè)備的安全可靠性：

1. AP零配置

傳統(tǒng)的FAT AP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時(shí)需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。H3C的FIT AP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無(wú)線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。

2. AP身份認(rèn)證

用戶在采用H3C公司的無(wú)線控制器＋FIT AP組網(wǎng)時(shí)，都需要預(yù)先在無(wú)線控制器上設(shè)置部署的AP序列號(hào)。當(dāng)這些AP啟動(dòng)和無(wú)線控制器建立關(guān)聯(lián)時(shí)，無(wú)線控制器會(huì)檢查AP上報(bào)的序列號(hào)信息，只有這些預(yù)先授權(quán)的AP才能接入無(wú)線控制器使用，防止非法FIT AP接入網(wǎng)絡(luò)。

3. AP支持多無(wú)線控制器的冗余備份

當(dāng)用戶的網(wǎng)絡(luò)中存在多臺(tái)無(wú)線控制器時(shí)，用戶可以在H3C的無(wú)線控制器上配置AP的接入優(yōu)先級(jí)，當(dāng)AP啟動(dòng)以后發(fā)現(xiàn)一個(gè)新的無(wú)線控制器的時(shí)候（通過廣播、DNS或者Option43方式），無(wú)線控制器獲取針對(duì)這個(gè)AP的接入優(yōu)先級(jí)以及無(wú)線控制器已經(jīng)接入AP的負(fù)載情況，AP根據(jù)這個(gè)信息優(yōu)選出最適合接入的無(wú)線控制器，和其建立連接，而將其他無(wú)線控制器作為備份控制器。當(dāng)無(wú)線控制器因異常原因down機(jī)時(shí)（例如停電），AP會(huì)和其他可用的備份無(wú)線控制器建立連接，有效的防止了單點(diǎn)故障的發(fā)生。

6  安全管理

配合H3C的iMC網(wǎng)管系統(tǒng)，H3C的無(wú)線設(shè)備可以支持完善的安全管理配置和告警。

1. 無(wú)線安全策略配置

通過在無(wú)線控制器上集中配置無(wú)線安全策略，管理者可以對(duì)現(xiàn)有無(wú)線網(wǎng)絡(luò)的安全策略進(jìn)行集中管理，靈活的定制網(wǎng)絡(luò)的無(wú)線業(yè)務(wù)參數(shù)、認(rèn)證方式、加密方式、安全策略等內(nèi)容。

2. 非法設(shè)備監(jiān)控和告警

管理者可以在iMC網(wǎng)管上配置合法的SSID、合法的設(shè)備，并獲取當(dāng)前無(wú)線網(wǎng)絡(luò)中存在的非法設(shè)備、非法SSID信息。

3. 設(shè)備信道調(diào)整告警

管理者可以在iMC網(wǎng)管上查看設(shè)備受到干擾后的信道調(diào)整情況