【IT168 专稿】在《从有线到无线 探秘无线网吧(上)》一文中,简单的从无线网吧常用可行的组网方式探讨了基于WiFi热点接入(802.11b)和基于WLAN接入(802.11g)方式的无线网吧。以下将对无线网吧部署中的网络安全措施、应对方案及其改进方向进行进一步的探讨。
无线网吧的安全性需求
随着网吧的增多、行业间竞争,为了在激烈的竞争中立足,网吧的成本、运行性能、安全管理维护都成为极其重要的因素。总的从盈利模式来说,无线网吧同普通网吧一样,不仅要满足顾客在宽带网络上同时传输语音、视频和数据的需要,而且还支持多种新业务,上网高速畅通,大数据流量下不掉线、不停顿,保证长时间不间断稳定工作,配置简单易管理、安装用户界面友好易懂,且有优异的性能价格比。
同时,它们也面临着许多共同的安全威胁,包括有意的和无意的,如表1所示:
表1 无线网吧/普通网吧共同的安全威胁
|
标号 |
描述 |
|
1 |
操作系统、上层协议等的设计缺陷 |
|
2 |
系统管理员的失误,内部合法用户的越权操作 |
|
3 |
网络黑客的攻击 |
|
4 |
计算机病毒和网络蠕虫的入侵 |
但无线网吧还面临更多、更严重的安全威胁,如易受窃听,攻击者只需架设一副天线即可获取数据,而黑客们常用的攻击手段有:
(1)通过扫瞄所有开放型无线接入点AP,达到免费上网、透过该网络攻击第三方的目的。
(2)在某一企图攻击的放置一个伪装的无线存取设备,黑客获取受害者输入的密码,达到盗取用户名和密码的目的。
(3)利用一些软件捕获网络中的数据包,并侦听AP的MAC地址,破解其WEP 密匙,从而获得网络权限。
因此无线网吧如果缺少必要的安全防护措施,很容易成为网络攻击的对象,一旦遭受网络攻击,营业将受到一定的影响。而且由于其相关设备间缺乏一定的保密性,很容易造成网络信息的泄露。
所以,一个可以运营的无线网吧应该首先考虑和保障以下条件:
(1)整个无线网络应具有很高的安全保密性。管理员不仅能对使用信息进行分权限管理,也可以对网络的一些有意或无意的破坏做出相应的防范措施。
(2)网络链路要有快速的交换和转发能力,有充余链路以保证网络安全可靠,以及良好的流量控制和QoS。
(3)具备良好升级能力。由于无线AP和路由器产品有不同带宽型号可选,可随着用户对带宽的实际需求,选用最合适的产品,随时扩展带宽,满足用户的需求。
(4)由于无线网吧中的应用较为复杂,要针对不同应用划分不同VLAN,从而保证网络的安全性和可管理性,保证无盘工作站与服务器网络通道高速安全流畅,还保证了网吧里不同区域VLAN间的互访和防止网吧被非法入侵。
现有的安全机制
无线网吧组网中较常用使用的有802.11 WLAN标准(包括802.11a、802.11b及802.11g等标准)、WAPI(无线局域网鉴别与保密基础结构),而蓝牙(Bluetooth)标准和HomeRF(家庭网络)标准较少,目前市场上AP和无线路由器产品也主要采用的是IEEE802.11b/g标准。以下列举这几种方式:
(1)802.11标准:该标准主要用于办公室局域网和校园网中,业务主要限于数据存取,最高速率只有2Mbps。
(2)802.11a:速率比较高,既能在室内应用,也可以应用于室外。
(3)802.11b:也称Wi-Fi,采用2.4GHz频段,传输速率11Mps,用来提供可靠的数据传送和网络带宽的有效使用。
(4)802.11g:它速率高而且兼容802.11b。采用OFDM调制技术可得到高54Mbps传输速率,工作在2.4GHz频段,因此可与802.11b的产品保持兼容。
(5)802.11i:主要着重于安全性,能支持鉴权和加密算法的多种框架协议,在加密处理中引入了密钥管理协议TKIP,从固定密钥改为动态密钥。2006年,国际标准组织ISO批准IEEE 802.11i为更安全无线协议的基础。
(6)820.11n:下一代WLAN标准,将速率增强至108Mps甚至320Mps,加入服务质量管理功能,以支持语音和视频应用,预计将在2008年初成熟。
而WAPI无线网络标准也主要针对WLAN的安全性而提出的,具体说来,目前所使用的安全机制主要有:
(1)SSID(服务配置标示符):用于识别无线设备的服务配置标示符,它就相当于无线AP的名称。它可以提供最低级别的访问控制功能,用户在连接不提供SSID广播功能的无线路由器时,必须知道无线路由器SSID,否则就无法连接。
(2)WEP(无线加密协议):无线网络上信息加密的一种标准方法。它一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。
(3)WPA(Wi-Fi Protected Access,Wi-Fi保护接入):WEP的替代方案,由IEEE 802.11i安全规范派生而来,并与其兼容。它可以保护IEEE 802.11的所有版本,而且安全性比目前广泛采用的WEP技术更好。
安全措施及应对方案
由于流氓软件和黑客程序充斥着Internet,于是就保障无线网吧的网络安全问题,可以采取如下措施:
(1)修改无线设备的默认用户名和密码
无线网吧一般通过无线路由器或中继器来访问外部网络。通常设备制造商为了方便用户设置无线网络,都提供了相应的管理软件,该软件可以用来设置设备的网络地址以及帐号等信息。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,就会使得黑客们有机可乘获取路由器的控制权。
所以,最基本的是要更改默认的管理员密码,而且如果设备支持的话,最好把管理员的用户名也一同更改,使其他用户无法获得整个网络的管理权限。同时,口令应处于严格的控制之下并经常予以变更,有助于确认网吧是否正被合法的用户使用。
(2)开启无线设备的加密
一般而言,现有的无线路由器/中继器的产品都支持WEP加密,对无线网络上的流量进行加密。如果开启无线设备加密,这样即使无线网吧传输的数据被黑客截取了也变得安全了。
(3)修改默认SSID和屏蔽SSID广播
通常无线网吧每台机器都有一个SSID,客户需要加入该网络的时候需要有相同的SSID,否则将被拒之门外,但通常路由器/中继器设备制造商都在产品中设了默认的SSID。因此,修改默认的SSID和屏蔽SSID 广播,可以防范黑客的扫描。
(4)设置MAC地址过滤
无线网吧每台机器都有一个少有的标识,称之为物理地址或MAC地址。通过建立MAC允许地址列表实现物理地址过滤,防止非法设备接入网络。MAC地址过滤可以通过预先在AP 写入合法的MAC地址列表。
(5)加强网络访问控制,防范网络入侵
无线网络发送有特定参数的信标帧,给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。为了防范网络入侵,可以将AP安置在像防火墙这样的网络安全设备的外面,使用基于IEEE802.1x的新的无线网络产品,通过VPN技术连接到核心网。
(6)通过网络检测,限制服务和性能
无线带宽是被AP所有用户共享的,可以被几种方式吞噬:来自有线网络的大带宽流量,如从快速以太网发送大量的Ping流量;发送广播流量,同时阻塞多个AP;传输较大的数据文件或者复杂的Client/Server系统都会产生很大的网络流量。
因此,通过SNMP报告统计信息,或者用无线网络测试仪,实时检测网络的质量和健康情况。而测试仪还可以有效识别网络速率、帧的类型,帮助进行故障定位。
(7)进行流量分析与流量侦听,并采用可靠的协议对数据进行加密
802.11无法防止攻击者采用被动方式监听网络流量,而无线网络分析仪可以不受任何阻碍地截获未进行加密的网络流量。作为防护功能的扩展,最新的无线路由器产品的扩展防护功能,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
VPN+WLAN+VLAN的安全方案
如前所述,为了加强网络访问控制、防范网络入侵,应将网络布置在核心网络防护外壳的外面如防火墙的外面,接入访问核心网络可以采用VPN方式,这种VPN+WLAN+VLAN组网的方式可以简化如图1所示。方案中采用的设备支持802.1Q标准VLAN和IGMP组播协议,能提供视频、网络游戏、在线会议等丰富应用,而通过划分VLAN MAC地址绑定来划分不同类型用户,很好地满足无线网吧的各项业务应用需求。
同时根据顾客的不同消费需求,可以把网吧分为了网络游戏区、聊天区、贵宾区等,细分为VLAN区域,然后根据不同区域的特点,细化为不同的解决方案,实现WLAN终端在不同的AP间漫游。而在需要信息保密的地方,可以设置不同的VLAN进行虚拟网络分区。VLAN子网可以隔离广播风暴,对于一些重要机器(如管理机,贵宾区)实施安全保护。而防火墙和VPN是安全保障的核心点,通过部署防火墙,可以在控制点处定制严格的访问控制策略,实施严格的数据流监控。
图1 VPN+WLAN+VLAN方式的无线网吧
WLAN+VLAN方式由于安装方便、维护简单、使用灵活,在无线网吧应用中有更多的优势,许多商务人士以及出差人士可以自由畅游无线网络,实现实时的移动办公,随时随地享受信息查询、网上证券、视频点播、网络游戏等一系列宽带信息增值服务。
但基于WLAN+VLAN内网仍可能被攻击,而传输数据建立VPN连接后是非常安全的,且较好地限制了Internet被非法使用。所以网吧可以通过购置带VPN功能的防火墙,在无线路由器和AP之间建立VPN隧道,使整个网吧的安全性得到进一步的提高,能够有效地保护数据的完整性、可信性和不可抵赖性,保证无线客户端的安全。
最后要提的一点是,就是再强大的产品或者完备的方式,也需要良好的管理才能保证网络的真正安全。用无线网吧的方式拓展用户,不仅要稳定,而且要方便管理,以用户的需求为最终目标。
