安徽医科大学附属阜阳医院信息中心 李 刚
随着医院临床信息化发展,无线网络建设在医院中愈发重要,无线监护、患者实时位置管理、移动查房、移动护理、无线呼叫等一系列应用大大提高了医院的工作效率。但在医院无线网络建设中,应该格外重视安全方面。本文通过介绍安徽医科大学附属阜阳医院无线网络建设,介绍目前存在的无线攻击方式,并提出一种综合性解决方法。
项目背景:安徽医科大学附属阜阳医院是一家大型三级综合医院,需要无线网络覆盖医院病区,承载移动办公、移动护理、移动药师等应用系统。
本项目整体网络架构分为三层:(1)核心层:部署两台高性能核心交换机,采用交换机虚拟化技术,旁挂无线控制器AC,实现无线系统集中管理。(2)汇聚层:部署3台汇聚交换机,链路聚合后和核心相连接,保证链路带宽的同时提高了链路的冗余性。(3)接入层:在各楼层弱电间内部署POE交换机、无线转发设备,其中接入无线AP点位共952个。
(1)接入点覆盖规划
本项目采用FIT AP+AC架构。由于医院室内布局较为复杂,需要根据不同场景来选择不同种类的AP,在人流量大的门诊大厅、等候区等区域,采用高密AP;在病房、诊室内等密集房间场所,采用面板类AP。所选无线AP应支持802.11ac wave2 MIMO多入多出等技术,支后期持物联网扩展。IEEE 802.11规定无线局域网设备的发射功率不能高于20dBm(100mW),但经过病房的混凝土墙后,无线信号衰减15-30dB,为保障信号良好,在每间住院病房、手术间均放置一个面板类AP,在走廊、候诊区等密集房间通过适当调整位置,来确保信号强度。通过inSSIDer软件测试信号强度及信号的连贯性。如图1所示。
图1 测试结果截图(信号强度在-90dbm~0之间表示正常)
(2)无线网优化的几种技术
重点考虑无线网络的覆盖率、容量大小、信道规划等因素,确保无线网络的承载能力、信噪比、速率等达标。本项目建设重点主要采用以下优化技术。
信道规划:为避免无线AP信道的相互干扰,需要尽可能的减小同频干扰,对无线AP信道进行统一科学的规划。本项目利用1、6、11非重叠信道,兼顾三维空间实现水平垂直蜂窝式覆盖,避免同层及上下层的同频信号干扰。
无缝漫游:当接入终端在移动过程中,从当前AP切换到另一个AP时,终端不掉包且不需进行重新身份认证,使用者对信号漫游切换无感知。本项目通过对各AP的SSID、客户端配置、认证方式保持一致,在二层漫游采用本地直接转发,三层漫游使用集成转发实现此目标。
负载均衡:将负载数据进行平衡、分摊到多个AP上运行,达到减小系统调度开销,分散网络负荷,提高设备利用率等目的。
根据Risk Based Security数据,2020年全球网络安全事件仍然居高不下,且自新冠疫情以来,医疗机构的网络安全事件激增45%。由于无线局域网使用无线电波,针对无线网的恶意攻击更多,因此需要更加重视无线网的安全建设。本文对无线网安全建设浅析如下。
无线加密方式主要有WEP和WPA/WPA2。由于WEP加密使用了RC4加密算法,通过Aircrack-ng、WEPCrac、AirSnort等软件收集足够的无线报文后,即可破解WEP密钥,因此该协议已被淘汰。目前主流无线加密方式为WPA/WPA2,WPA2是WPA的升级版。WPA技术包括临时密钥完整性协议(TKIP)、消息完整性校验(MIC),而WPA2主要使用高级加密标准(AES)、计数器模式及密码区块链信息认证码协议(CCMP)等技术。
扫描攻击:又称为War-Driving,通过驾驶车辆在目标范围内进行wifi热点探测,使用INSSIDER、Vistumbler等扫描工具软件扫描网络存在的安全漏洞。
DDOS攻击:采用较多的方式是取消验证洪水攻击(DeauthenticationFlood Attack),旨在通过欺骗从AP到客户端单播地址的取消身份验证帧,将客户端转为未关联/未认证的状态。常用的软件有Aircrack-ng、Aireplay-ng等。
无线欺骗攻击:多采用无线中间人(Wireless MITM)攻击方式,攻击者向AP和STA分别进行发送欺骗报文,造成正常访问被重新定向,造成无线客户端访问欺骗网页,这样连接到伪造AP客户端的所有数据流量以明文的方式被记录,大量数据外泄。常用软件为airbase-ng、Airpwn。
通过上述几种攻击方式组合使用,攻击者获取无线网接入权限,通过Nessus之类的软件扫描服务器操作系统漏洞植入木马病毒,非法获取信息数据。
针对无线网络目前普遍存在的安全性问题,建议在网络架构、接入点覆盖、安全防御三方面部署。
建议采用“核心+汇聚+接入”三层网络架构模式。核心、汇聚交换机采用链路聚合模式,保障网络负载均衡及系统容错,无线网络控制器采用主备冗余配置,增强网络健壮性和安全性。
信道规划:建议采用2.4GHz和5GHz双频覆盖设计,避免同频干扰,降低临频干扰。2.4GHz频段(2.4~2.4835GHz)信号穿透力强,但干扰源较多,频带宽度83MHz,13个信道,每个信道带宽22Mhz,可选择1、6、11;2、7、12;3、8,13这三组互相不干扰的信道来进行无线覆盖。
AP配置:建议采用FIT AP模式,AP数据零配置,AP管理地址采用静态地址,STA通过AC自动获取地址。配置负载均衡策略,避免突发量数据大导致AP死机。
建议在以下几个方面加强网络安全部署:
(1)无线控制器统一控制和发布,统一下发MAC地址过滤、用户身份认证、安全加密、病毒库等网络安全策略。
(2)使用较强的加密算法,比如WPA2加密方式,加强预共享密钥的复杂性,建议至少20个随机字符。
(3)隐藏SSID信号,不进行广播,降低伪造应答接入及被窃听可能性。
(4)在AP连接交换机接口部署端口隔离,防止威胁终端接入对AP其他用户造成影响。
(5)部署WLAN网管系统实时监测网内所有AC和AP,能够及时发现AP掉线、SSID异常等情况。
(6)安全准入控制,包括身份认证和认证用户安全策略检查。终端只有获得CA安全证书及MAC地址一致,才允许访问无线网数据。
(7)部署防火墙、WIDS/WIPS等网络安全设备,通过拦截病毒和恶意软件,检测和筛选进入网络的信息;对流氓设备检测识别及防范反制,使用白名单对AP进行SN或MAC地址绑定,使用黑名单禁止非法AP或非法终端接入。
结束语:目前无线网在医疗行业使用较为普遍,随着近几年网络安全趋势愈发严峻,一旦无线网络遭受攻击,就会导致无法为患者提供及时的信息服务甚至个人隐私被泄露。医疗无线网络的安全技术还有很多值得深入研究的领域,需要网络维护人员认真学习和思考。