李瑞
摘 要:文章结合邮政企业实际,采用目前主流的成熟技术作为解决方案,介绍了劳动密集型企业、大型邮件处理场地的WLAN安全方案设计,阐述了WLAN安全设计方案的部署和实现,对用户认证和数据加密机制进行了分析,以便更好地保证相关物流数据的安全传输,从而保障日常大批量邮件分拣封发等处理环节稳定、高效地进行。
关键词:无线局域网;WPA2;802.1x;远程用户拨号认证服务
1 中心枢纽邮件处理背景
随着网络购物迅猛发展,快递包裹量也随之增加,作为全国邮政系统二级枢纽中心局,日均处理邮件量达几十万,“双十一”期间达到最高峰,而且逐年大量增加。该中心枢纽采用大平面皮带机分拣矩阵输送分拣封发邮件,邮件信息处理采用手持条形码扫码器(Personal Digital Assistant,PDA)扫描邮件条码。作为劳动密集型邮政企业,在大型邮件处理场地,日常使用上百台PDA同时作业,通过无线局域网(Wireless Local Area Networks,WLAN)链接到邮政企业内部生产网络,并把相关物流数据上传至全国中心服务器。
目前,该枢纽使用无线接入点(Access Point,AP)摩托罗拉6521,并将其中一台AP作为虚拟接入控制器(Access Controller,AC),胖AP不适合大型无线局域网的应用;目前采用的加密方式是WPA/WPA2-PSK,这种认证加密适合小型企业和家庭WiFi用户,不适合大型企业。
目前的部署和加密方式决定了无线网络将面临许多安全问题,已经不适应大型企业的生产作业实际,更不能满足未来淮海地区国际国内邮件交换中心的定位。
2 WLAN安全部署
首先,对WLAN进行安全部署。采用核心交换机旁挂AC,AC+瘦AP是目前无线局域网部署与维护的主流技术。AC负责WLAN的接入控制、对AP的监控、漫游管理和安全控制等,瘦AP只具有加密、射频功能和将有线转换成无线的功能,AP使用POE交换机或POE电源适配器供电。AP必须和AC联动。瘦AP必须在无线控制器AC上注册成功,才能从AC上下载配置与固件升级,从而实现零配置[1]。通过IEEE802.11n标准能够与现有的有线网络进行平滑无缝的链接,支持多入多出(Multiple Input and Multiple Output,MIMO)与正交频分复用(Orthogonal Frequency Division Multiplexing,OFDM),使传输速率得到极大提升。
其次,无线局域网以电磁波为载体,在功率覆盖范围内有条件地对信息进行窃听和干扰[2]。基本做法是关闭服务集标识(Service Set Identifier,SSID)广播、MAC地址绑定、部署防地址解析协议(Address Resolution Protocol,ARP)攻击功能等。例如,为了避免非法用户通过SSID搜索到并建立非法连接,可以禁用AP广播SSID,隐藏无线SSID信息,那么其他用户搜索不到无线信息,通过无线网络的隐蔽性来提高WLAN的安全性。对无线接入终端设备PDA进行IP和MAC绑定过滤,MAC过滤属于硬件认证,而不是用户认证,设置黑白名单后,确保只有在企业注册过的终端设备才能通过这些AP进入企业内部网络。由于接入无线网络用户的多样性和不确定性,有可能出现客户端私设IP地址或者ARP病毒发起ARP攻击的情况,因此,需要部署防ARP攻击功能,解决这些问题,实施包括以下措施:在AC上,开启DHCP snooping,并且配置信任端口;配置ARP防护功能及清除ARP及proxy_arp表。
再次,把PDA作为无线终端,把核心交换机华三S5560设置成本地远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)认证,华三S5560在PDA和认证服务器之间充当代理角色(proxy)。在核心交换机上旁挂一台主用的RADIUS服务器和一台备用的RADIUS服务器,对用户验证的执行顺序可以通过命令行设置。设置RADIUS服务器目的是使用户认证和业务数据分离,安全性提高;对于大规模用户来说,只要管理这台RADIUS服务器即可。
最后,有线网与无线网单独划分子网,并在无线网络和有线网络之间设置防火墙,防止无线网络被入侵后范围扩大;核心交换机上设置访问控制列表,严格控制各子网间访问;部署入侵检测系统,与防火墙联动,这样可以有效阻止内外部的入侵。
3 用户接入认证
为了增强已部署的无线网络安全性,对无线用户的接入加强控制,以限定特定的用户(授权的用户)可以使用网络资源,采用802.1x身份认证+RADIUS认证服务器[3-4]。802.1x系统为Client/Server结构,是一种对用户进行认证的方法和策略,是基于端口的认证策略(可以是物理端口也可以是VLAN一样的逻辑端口,相对于无线局域网“端口”就是一条信道)。它包括3个实体,即请求者系统(Client)、认证系统(如LAN Switch或AP等)和RADIUS。第1步:在客户端PDA上设置802.1x-EAP安全方式,在LAN Switch或AP设备上启动AAA功能、定义验证方法列表、应用验证方法列表等,这时LAN Switch或AP作为RADIUS服务器的客户端,将PDA的认证信息转发给RADIUS服务器。第2步:配置RADIUS相关参数,包含指定RADIUS服务器的IP地址、LAN Switch或AP设备与RADIUS服务器之间的密码等参数,把LAN Switch或AP设备和RADIUS服务器设置成联动模式。第3步:配置授权、记账等相关参数。
802.1x协议是基于用户的访问控制和认证协议的,它可以限制未经授权的用户和设备通过接入端口访问网络。在认证通过之前,802.1x只允许基于局域网的扩展认证协议(Extensible Authentication Protocol over LAN,EAPoL)数据通过设备端口,将用户名和口令传送到后台的RADIUS认证服务器上,如果用户名及口令通过了验证,则相应端口打开,分配无线用户设备IP地址,正常的数据才可以順利地通过端口,用户上线完毕;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL通过。由此构成实现验证(用户是谁?)、授权(用户可以做什么?)、统计(用户做过什么?)功能的AAA系统。RADIUS可以对用户身份进行集中管理,安全性好,策略也更灵活,同时还可以记录用户的网络使用情况用于网管分析。
除了可以为WLAN提供认证安全措施外,802.1x与RADIUS服务器相结合,还可以提供密钥管理功能,使用802.1x周期性地把这些密钥传送给各相关用户,快速重置密钥,架设的RADIUS服务器为Windows 2008 server,以用户名、口令的方式验证无线接入用户。通过接入控制,防止未经授权的用户访问网络,保证了网络的安全性。
4 数据加密传输
在WLAN用户通过认证并赋予访问权限后,网络必须保护用户所传输的数据不被窥视,那就需要对数据报文进行加密,保证只有特定设备可以对接收到的报文成功解密。所以使用WPA2-RADIUS加密技术对数据进行加密,防止被非法截获。
WPA2是经由WiFi联盟验证过的IEEE802.11i標准的认证形式。IEEE802.11i协议标准由上下两个层次组成:上层是802.1x协议和EAP认证协议,提供双向认证和动态密钥管理功能[5];下层是两种改进的加密协议,即TKIP,CCMP,实现数据的加密和安全传输。CCMP采用AES加密算法,彻底解决了WLAN安全性问题,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。对于AES块加密,目前无法破解,非常安全。
和WAP/WPA2-PSK相同的是,WPA2-RADIUS的密钥也随着数据包的不同而变化。但WPA2-RADIUS加密需要一个RADIUS服务器,对用户接入认证就是使用的RADIUS。所以只要配置好它就可以,而且WPA2-RADIUS加密的安全性非常高,很适合大型的企业对无线网络进行安全设置。
5 结语
本文论述了大型邮件处理场地加强WLAN安全性的防护方案,但邮件处理讲究时效性,如果设置部署WLAN策略过多,势必影响到网络的速度,因此,需要平衡安全与效率的问题。同时加强对从业人员使用网络的教育与培训,建立使用网络的安全管理制度,并严格执行,从而为日常大批量邮件分拣封发等处理环节稳定、高效地进行提供网络支撑,有力保证各类KPI的实现。
[参考文献]
[1]杰夫.TCP/IP路由技术[M].葛建立,吴剑章,译.北京:人民邮电出版社,2007.
[2]张路桥.无线网络技术—原理、安全及实践[M].北京:机械工业出版社,2019.
[3]杨哲.无线网络安全攻防实战进阶[M].北京:电子工业出版社,2011.
[4]杨哲.无线网络安全攻防实战[M].北京:电子工业出版社,2008.
[5]加斯特.802.11无线网络权威指南[M].OReilly Taiwan公司,编译.南京:东南大学出版社,2007.