無線局域網(wǎng)熱點智能安全監(jiān)護系統(tǒng)

左向中， 林 婷

(國家信息網(wǎng)絡(luò)產(chǎn)品質(zhì)量監(jiān)督檢驗中心，江蘇 蘇州 215104)

0 引言

WLAN可以為 3G網(wǎng)絡(luò)有效卸載數(shù)據(jù)流量，滿足用戶數(shù)據(jù)業(yè)務(wù)逐年增長的需求，但是隨之而來的維護工作量也不斷的增加，尤其對一些VIP熱點，因為技術(shù)維護人員不足等因素，服務(wù)響應(yīng)比較慢，嚴(yán)重影響了用戶的體驗和滿意度，為了改善服務(wù)質(zhì)量，亟需一種有效的維護方式，來提高維護的效率，改善WLAN的性能以及用戶的體驗和滿意度。

1 WLAN維護面臨的問題

WLAN維護面臨的問題有：①在一個較大的地理范圍內(nèi)，派遣技術(shù)人員至每個故障熱點比較不切實際；②無線局域網(wǎng)故障特點是間歇性和隨機性較強，故障可能隨時出現(xiàn)或消失；③需要實時的監(jiān)控VIP熱點區(qū)是否有非法的設(shè)備接入，以及不安全的狀態(tài)；④需要巡檢的無線局域網(wǎng)熱點每次均需要派人前往，時間和人力成本高昂；⑤無線局域網(wǎng)性能和安全問題沒有存檔和備案，出問題難以進行取證分析。

2 無線局域網(wǎng)熱點智能安全監(jiān)護系統(tǒng)

2.1 方案特點

1）軟件和硬件智能探針結(jié)合的方式，實現(xiàn)遠程客戶性能感知測試，性能和安全監(jiān)護。

2）無線層面上三家運營商的比較性測試和分析結(jié)果的展現(xiàn)。

3）從運營商WLAN全網(wǎng)管的高度，將實時測試、分析結(jié)果從全網(wǎng)到單終端的展現(xiàn)結(jié)構(gòu)。

2.2 系統(tǒng)組件與拓撲結(jié)構(gòu)

（1）后臺服務(wù)器軟件與數(shù)據(jù)庫

服務(wù)器與數(shù)據(jù)庫軟件可以安裝在數(shù)據(jù)中心機房。

（2）控制臺軟件

只要與服務(wù)器網(wǎng)絡(luò)上可達，控制臺軟件可以安裝在任何一臺管理員電腦上。

（3）探針（Sensor）

每個VIP熱點部署至少3個硬件探針，具體數(shù)量視AP數(shù)量，熱點覆蓋面積和現(xiàn)場環(huán)境而定。

在代維人員電腦上安裝部署軟件智能探針，實現(xiàn)對代維人員的有效管控和必要的遠程協(xié)助。

無線局域網(wǎng)熱點只能安全監(jiān)護系統(tǒng)的拓撲結(jié)構(gòu)如圖1所示。

圖1 無線局域網(wǎng)熱點只能安全監(jiān)護系統(tǒng)的拓撲結(jié)構(gòu)

2.3 方案優(yōu)勢

①實時的監(jiān)控整個無線環(huán)境，為管理部門提供WLAN整體運行狀況實時統(tǒng)計結(jié)果；②預(yù)先捕捉故障，對無線局域網(wǎng)當(dāng)中存在的故障問題進行主動告警，防患于未然；③在進行問題分析和故障處理時，管理員無需赴現(xiàn)場就能夠進行遠程處理和判斷；④按需針對遠程站點和工作區(qū)進行遠程故障分析；⑤非常適用于部署大量AP的運營商；⑥取證功能避免安全和性能事件遺漏；⑦自動探測和消除所有無線威脅[4]；⑧跟蹤，定位，繪制和捕獲任何WLAN或射頻事件的證據(jù)[6]；⑨對 802.11n網(wǎng)絡(luò)進行全面的安全和性能分析[5]。

2.4 主要功能

2.4.1 設(shè)備性能分析

分析支持從最大AP負載、最大流量產(chǎn)生者、最高信道占用、最多性能和安全告警燈角度對設(shè)備和事件進行排名，使得管理人員非常方便的就可以找到故障點，并允許以圖表的形式查看和分析數(shù)據(jù)。

2.4.2 Wi-Fi設(shè)備查看

①查看所有802.11a/b/g/n 設(shè)備；②對虛擬AP進行自動識別和分組；③在非標(biāo)準(zhǔn)信道中檢測設(shè)備；④檢測4.9 GHz 頻段的設(shè)備；⑤在5 GHz頻段可掃描超過200個信道。

2.4.3 抓包解碼[2]

為了分析更深層次的Wi-Fi問題，或者排除設(shè)備故障，有時會需要對空口數(shù)據(jù)進行抓包解碼分析，智能探針支持遠程抓包解碼分析。

2.4.4 無線IDS/IPS功能

智能探針，除了滿足用戶遠程性能監(jiān)護和排障需求以外，還具備強大的WLAN安全監(jiān)護功能，對針對熱點的無線攻擊、黑客入侵、非法設(shè)備接入等行為具備完善的監(jiān)控功能，一旦發(fā)現(xiàn)此類行為，即可實時告警，以多種方式通知相關(guān)人員，并可實現(xiàn)自動防護。

3 WASM部署建議

3.1 基本概念

智能探針的監(jiān)測范圍(FOV)

FOV是指WLAN網(wǎng)絡(luò)的智能探針?biāo)鼙O(jiān)測到的物理范圍。智能探針FOV與AP的覆蓋范圍類似。

（1）可信設(shè)備

可信設(shè)備（trusted device）是指為了提供WLAN服務(wù)，授權(quán)的網(wǎng)絡(luò)部署組織在網(wǎng)絡(luò)中所置放的AP。

（2）未授權(quán)的WLAN設(shè)備

它們可能是WLAN網(wǎng)絡(luò)中在2.4 GHz或 5 GHz頻段發(fā)射或接收802.11信號的設(shè)備(AP 或STA) ，在可信的物理區(qū)域內(nèi)都能夠觀察到它們。有幾類未授權(quán)設(shè)備，例如：“友好的”非法AP，該AP是其他單位網(wǎng)絡(luò)的一個組成部分，但是恰好輻射進可信區(qū)域內(nèi)。

（3）無線接收機靈敏度/鏈路預(yù)算

WASM智能探針可以接收多種制式（802.11b,11g和11a）的無線幀，智能探針有一個接收機靈敏度配置文件，它明確規(guī)定了各種802.11模式下不同數(shù)據(jù)速率所對應(yīng)的接收接靈敏度。與智能探針的天線特性結(jié)合，該配置文件定義了各種802.11模式下的無線鏈路預(yù)算門限值。

（4）802.11 射頻媒體類型

WASM智能探針捕獲了工作在2.4 GHz或 5 GHz頻段的802.11b 或11g模式的數(shù)據(jù)包。由于與2.4 GHz相比，5 GHz頻段具有不同的射頻傳輸特性和無線性能參數(shù)，因此智能探針的 FOV 會不同于11a 設(shè)備。需要注意的是，設(shè)計智能探針網(wǎng)絡(luò)時，雖然大多數(shù)現(xiàn)有的WLAN 設(shè)備使用2.4 GHz的802.11b/g 制式，但是智能探針網(wǎng)絡(luò)也需要精確地檢測出未授權(quán)的11a 設(shè)備。

（5）WLAN 設(shè)備檢測理論[2]

智能探針只需捕獲一個信標(biāo)幀，就能確定AP是否存在于網(wǎng)絡(luò)中。 這個信標(biāo)幀幾乎包含了關(guān)于AP自身的所有重要信息和WLAN周圍的環(huán)境狀況，因此它如同WLAN DNA的一部分。信標(biāo)幀通常以BSS支持的最低基本速率（802.11b中為1 Mb/s）在網(wǎng)絡(luò)中廣播發(fā)送。默認(rèn)的幀 間間隔(BI) 通常是100 ms，所以一個AP在每秒內(nèi)通常發(fā)送10個信標(biāo)幀。

（6）WLAN 設(shè)備檢測理論[3]

此處引入了WLAN 監(jiān)測的一個重要概念“可靠檢測”。對于智能探針的給定配置，每一個智能探針?biāo)鶆?chuàng)建FOV的完整信息會包含其中。在這些所有的FOV邊界之內(nèi)，這個系統(tǒng)應(yīng)該發(fā)現(xiàn)參考未授權(quán)設(shè)備的存在，該設(shè)備持續(xù)加電 Ton秒且統(tǒng)計置信度為P%。當(dāng)條件滿足一個給定元組(Ton, P)值時，監(jiān)控系統(tǒng)就會提供“可靠檢測”。由于一個隨機未授權(quán)設(shè)備的數(shù)據(jù)包傳輸速率是未知的，所以選擇具有100 ms BI且沒有關(guān)聯(lián)站點的AP作為參考未授權(quán)設(shè)備。建議值是(60, 99.999)，但是最佳值隨著環(huán)境的變化而變化，并將其作為整體智能探針網(wǎng)絡(luò)操作規(guī)范過程的一部分。

3.2 智能探針的FOV類型

智能探針可以指定為三種不同的FOV類型,需要評估整體WLAN監(jiān)控目標(biāo)，然后選擇合適的FOV類型。

（1）A類型: 監(jiān)控所有可信設(shè)備的流量

A類型的智能探針FOV是指智能探針采用一個最低信號電平或鏈路速率來監(jiān)控所有可信設(shè)備(AP或站點)的流量，該鏈路速率至少不低于設(shè)計中所指定的最低速率。例如，指定一個11b WLAN設(shè)備為所有站點提供不低于5.5 Mb/s的鏈路速率服務(wù)，那么在A類型的監(jiān)控邊界， 智能探針就需要捕獲所有站點與AP通信速率不低于 5.5 Mb/s的業(yè)務(wù)流量。系統(tǒng)是以該設(shè)備支持的最大速率來捕獲邊界內(nèi)的大部分可信流量。在大多數(shù)情況下，C類型邊界包含的區(qū)域面積最大，B類型邊界包含的區(qū)域面積偏小，而 A類型邊界包含的區(qū)域面積最小。

（2）B類型:監(jiān)控可信AP的流量

B類型的智能探針FOV是指智能探針以一個信號電平監(jiān)控可信AP，該信號電平至少不低于設(shè)計中所定義的最小電平值。

（3）C類型:檢測未授權(quán)設(shè)備

C類型的智能探針FOV邊界是指智能探針檢測室內(nèi)區(qū)域的非法AP設(shè)備，以及智能探針檢測室外開闊區(qū)域AP設(shè)備。

3.3 實際測量示例

表1總結(jié)了一些WASM智能探針設(shè)計的實際測量示例。

表1 WASM智能探針設(shè)計的實際測量示例

4 結(jié)語

WASM遠程性能監(jiān)護和排障功能可以節(jié)約人力和時間成本，使其能夠以最小的人員和資本投入，迅速及時的解決以往需要花費大量人力物力才能解決的熱點維護遇見的問題，系統(tǒng)可以從這里方面實現(xiàn)這一目標(biāo)：①減少因宕機導(dǎo)致的損失：持續(xù)監(jiān)視熱點的工作狀態(tài)，在設(shè)備發(fā)生故障之前即可啟動報警；問題一旦發(fā)生，WASM可以提供維護人員完備的排障工具，使其能夠迅速定位和解決問題；②改善用戶的體驗，提高用戶的滿意度和忠誠度：主動實時的健康檢查，得出用戶網(wǎng)絡(luò)性能趨勢報告；定位問題出現(xiàn)的時間段和問題原因，給用戶合理解釋；③提高維護人員的工作效率，節(jié)省問題解決時間和人力投入：專家系統(tǒng)自動發(fā)現(xiàn)問題，并且給出問題的解決方案；④減少現(xiàn)場支持次數(shù)：WASM遠程分析和排障工具，使得足不出戶即可定位并解決大部分問題。

[1]全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會.GBT21671-2008[S].北京:中國標(biāo)準(zhǔn)出版社,2008.

[2]譚荊.無線局域網(wǎng)通信安全問題探討[J].通信技術(shù),2010,43(11):84-85.

[3]張磊,王輝.無線局域網(wǎng)安全協(xié)議研究[J].通信技術(shù),2011,44(09):117-119.

[4]翁亮,孟桂娥,楊宇航.現(xiàn)代通信網(wǎng)絡(luò)的安全問題分析[J].通信技術(shù),2010,43(11):11-14.

[5]厲劍.無線局域網(wǎng)安全標(biāo)準(zhǔn)及技術(shù)淺析[J].信息安全與通信保密,2008(10):71-74.

[6]何秋萍,寧建創(chuàng).局域網(wǎng)和無線局域網(wǎng)的差異及安全研究[J].信息安全與通信保密,2011(10):89-92.