層層布控 保護無線網(wǎng)絡(luò)安全

■河南 許紅軍

保護Layer1 層面的安全

Layer1 層面的安全策略可以限制客戶的登錄認(rèn)證次數(shù)。如果用戶使用暴力破解來頻繁嘗試登錄，就會被攔截并被放置到排除列表中，只有超過預(yù)設(shè)時間后才允許再次進行連接。

在某款思科WLC 設(shè)備命令行環(huán)境下執(zhí)行“show wlan x”命令，在返回信息中的“Exclusionlist Timeout”欄中顯示目標(biāo)WLAN 的超時時間。執(zhí)行“config wlan exclusionlist x y”命令，設(shè)置超時時間，其中的“x”為具體的WLAN 編號，“y”表示超時時間，單位為秒，“0”表示永久禁用。也可以在WLC 管理界面中打開目標(biāo)WLAN 的屬性窗口，在“Advanced”面板中的“Client Exclusion”欄中設(shè)置該超時時間。

在WLC 管理界面工具欄上選擇“SECURITY”項，在左側(cè)選擇“Wireless Protection Policies”→“Client Exclusion Policies”項，在右側(cè)選擇“Exclussive 802.11 Association Failures”項，表示對于802.11 來說，如果關(guān)聯(lián)六次的話，如果前五次連續(xù)失敗，則將其放置到排除列表中。選擇“Exclussive 802.11 Authenticationn Failures”項，表示對于802.11 來說，如果認(rèn)證六次的話，如果前五次連續(xù)失敗，則將其放置到排除列表中。

選擇“Exclussive802.1X Authenticationn Failures”項，表示對于802.1X 來說，如果認(rèn)證四次的話，如果前三次連續(xù)失敗，則將其放置到排除列表中。選擇“IP Theft or IP Resume”項，表示該客戶端的IP 已經(jīng)被占用，當(dāng)其連接時會被放置到排除列表中。選擇“Exclussive Web Authenticationn Failures”項，表示對于Web 認(rèn)證來說，如果認(rèn)證四次的話，如果前三次連續(xù)失敗，則將其放置到排除列表中。為了防止客戶隨意無線網(wǎng)絡(luò)，可以關(guān)閉SSID 廣播功能，客戶只能通過手動方式來設(shè)置網(wǎng)絡(luò)連接參數(shù)。

保護Layer2 和Layer3 層面安全

Layer2 層利用了工業(yè)化的安全解決方案，例如擴展認(rèn)證協(xié)議（EAP，即DOTT1X）、Wi-Fi 保護控制（WPA/WPA2）等措施，來提供更高級的安全和加密操作?？蛻舳说紸P 的數(shù)據(jù)會通過WAP/WAP2/WEP/802.11i 等協(xié)議，利用AES/TKIP 進行加密。對于AP 到WLC 控制器CAP 隧道來說，默認(rèn)數(shù)據(jù)層面是不加密的，為了提高安全性，也可以開啟加密功能。這樣不管是無線還是有線部分，都實現(xiàn)了嚴(yán)密的安全保護。

Layer3 層安全支持本地和RADIUS 的MAC 地址過濾功能，讓符合條件的客戶端才可以連接進來。中小型無線網(wǎng)絡(luò)還可以使用本地或RADIUS 認(rèn)證方式來對用戶登錄進行管理，其實這就是Web 認(rèn)證服務(wù)，所有的用戶名和密碼可以存放在WLC 本地，也可以存放在RADIUS 服務(wù)器上。對于后者來說，Web認(rèn)證的流量會發(fā)送到RADIUS服務(wù)器上，如果通過認(rèn)證則可以順利連接。

思科UWN 是基于802.1X的3A（即認(rèn)證、授權(quán)和審計）機制運作的，對于在WLC 本地?zé)o法實現(xiàn)的安全功能，可以借助于ACS/ISE 設(shè)備來完成。對于WLC 和AP 來說，在其所有接口上都支持802.1X認(rèn)證和授權(quán)的協(xié)議。對于基于每WLAN 的安全解決方案來說，每個AP 最多廣播16個WLAN，減少了更多AP 的需求，但是增加了干擾并減少了系統(tǒng)吞吐量。通過RRM（射頻資源管理）來連續(xù)的監(jiān)控干擾和安全事件，及時通知管理員查看檢測到的時間。

使用密碼策略，實現(xiàn)安全連接

對于安全認(rèn)證來說，密碼的作用是極為重要的，普通的密碼難以應(yīng)對黑客攻擊。為此可以在WLC上開啟增強的密碼檢查功能，來強化密碼的安全性。

密碼策略會影響到本地管理和AP 用戶。登錄到WLC 管理界面，在工具欄上選擇“SECURITY”項，在左側(cè)選擇“AAA”→“Password Policies”項，在右側(cè)的“Local Management User and AP”欄中針對本地管理員和AP 用戶設(shè)置密碼策略。

依次包括激活密碼復(fù)雜度要求（至少包含三個不同的內(nèi)容），在密碼中不能包含連續(xù)三個以上重讀的字符，密碼不能使用諸如“cisco”和“admin”之類的名稱等。

在“Management User”和“SNMPv3 User”欄中分別針對管理用戶和SNMP V3 用戶設(shè)置控制策略，依次包括激活管理員/SNMP v3 鎖定功能、嘗試登錄次數(shù)、鎖定時間、密碼有效期等。在左側(cè)選擇“AAA”→“General”項，在右側(cè)的“Maximum Local Databse entries”欄中可以設(shè)置本地最大數(shù)據(jù)庫的條目，包括本地管理員用戶、本地網(wǎng)絡(luò)用戶、MAC Filter 條目、排除清單條目、AP 授權(quán)列表條目等。

使用MAC 過濾，攔截非法客戶

MAC Filter 可以針對客戶和管理員實現(xiàn)認(rèn)證功能，首先需要在WLAN 級別進行激活，當(dāng)開啟了MAC 地址過濾功能后，需將所需MAC 地址加入白名單。注意，MAC 認(rèn)證優(yōu)先級高于本地MAC 過濾。

在WLC 管理界面工具欄上點擊“WLANs”，選擇某個WLAN 項目，在屬性窗口中的“Security”面板打開“Layer2”標(biāo)簽，選擇“MAC Filtering”激活MAC 過濾功能。在工具欄上選擇“SECURITY”項，在左側(cè)選擇“AAA”、“MAC Filtering”項，在右側(cè)輸入MAC 地址、名稱、描述信息、對應(yīng)IP 地址，在“Interface Name”列表中關(guān)聯(lián)的接口名稱。點擊“Apply”按鈕，將其添加到白名單中。

在默認(rèn)情況下，WLC 會自動激活I(lǐng)P 和MAC 地址綁定功能，即WLC 會自動記錄關(guān)聯(lián)上來的客戶端設(shè)備的MAC和IP 地址。當(dāng)客戶的數(shù)據(jù)包發(fā)給WLC 時，WLC 會檢測其中的MAC 和IP 地址是否匹配，如果不匹配則拒絕轉(zhuǎn)發(fā)。如果需要禁用該功能，可以在WLC 的命令行接口中執(zhí)行“config network ip-macbinding disable”命令即可。

管理DHCP 中繼代理

在默認(rèn)情況下，WLC 會充當(dāng)DHCP 中繼代理的角色，客戶端必須通過WLC 才可以和DHCP 服務(wù)器進行聯(lián)系。WLC在執(zhí)行DHCP 中繼任務(wù)時，會通過DHCP 82 號選項，在回應(yīng)信息中插入一些信息。

例如，對于多個VLAN 的環(huán)境中，WLC 會將每個VALN的SVI 地址插入進來，讓DHCP 服務(wù)器來關(guān)聯(lián)對應(yīng)的地址池，之后將所需地址送給特定VLAN 中的主機。利用這一特性可以插入更多信息，實現(xiàn)高級管理功能。

例如，插入AP 的MAC 地址和SSID 信息，之后在DHCP上配置復(fù)雜的策略，實現(xiàn)靈活的地址推送功能。在工具欄上選擇“CONTROLLER”項，在左側(cè)選擇“Interfaces”，選擇某個動態(tài)接口，該接口和特定VLAN 綁定。在右側(cè)的“DHCP Information”欄選擇“Enable DHCP Option 82”，激活該插入功能。在左側(cè)選擇“Advanced →DHCP”項，在右側(cè)的“DHCP Option 82 RemoteIdfieldformat”列表中顯示所有可以插入的格式。

例如，選擇“AP-ETHMACSSID”項，來插入AP 的MAC地址和SSID 信息。在充當(dāng)DHCP 服務(wù)器的某交換機上執(zhí)行“ip dhcp poolap”，“class APESSID”，“addressrange172.1.1.210172.1.1.220”，“calssdefault”，“address range 172.1.1.1 172.1.1.199”之類的命令，來創(chuàng)建所需的地址池。執(zhí)行：

其中“xxx”為AP 的MAC加上SSID 的內(nèi)容。如果檢測到該MAC 和SSID 的組合，就為其分配指定范圍內(nèi)地址。如果不符合該格式，就使用默認(rèn)的地址范圍。

激活CAPWAP 加密功能

為保護AP和WLC之間數(shù)據(jù)傳輸安全性，可以啟用CAPWAP 數(shù)據(jù)層面加密功能。在工具欄上選擇“WIRELESS”項，選擇某個AP，在屬性窗口中的“Advanced”面板選擇“Data Encryption”，重啟AP激活該功能。將WLC 和IDS聯(lián)合運作可有效提高無線網(wǎng)卡安全性。當(dāng)IDS 檢測到惡意連接請求后，就會提交給WLC，WLC 通知目標(biāo)AP 在邊界位置將該惡意用戶阻斷。

在工具欄上點擊“SECURITY”項，在左側(cè)選擇“Advanced”→“CIDS”→“Sensors”項，在右側(cè)輸入IDS/IPS 設(shè)備的IP、IDS 的用戶名和密碼，在“Status”欄中選擇“Enabled”項，將其激活接口。這樣，WLC 會在預(yù)設(shè)的周期（默認(rèn)為60秒）向IDS 設(shè)備進行詢問，來獲取需要阻斷的用戶信息。其實，在WLC 已經(jīng)內(nèi)建了簡單的IDS 功能模塊，提供了17 種特征碼，來匹配和抵御符合條件的無線攻擊行為。在上述窗口左側(cè)選擇“Wireless Protection Policies”→“Standard Signatures”項，在右側(cè)顯示標(biāo)準(zhǔn)的特征碼信息。

利用ACL 列表，管控客戶訪問

ACL 列表可有效管控WLC特定端口的訪問行為，可以將ACL 放置到管理接口、動態(tài)接口以及WLAN 等位置。在上述窗口左側(cè)選擇“Access Control List → Access Contrl List”項，在右側(cè)可以創(chuàng)建針對數(shù)據(jù)層面的ACL項目，即主要對客戶端和WLC之間的傳輸?shù)臄?shù)據(jù)流量進行管理。點擊“New”按鈕輸入該ACL 名稱（例如“Acl1”），在“ACL Type”欄中選擇其類型，包括IPv4 和IPv6。

在其屬性窗口中點擊“Add New Rule”，設(shè)置所需的源和目的地址、協(xié)議及方向等。例如，在“Protocol”列表中選擇“ICMP”協(xié)議，在“Destination”中輸入目的地址段，如20.1.1.0/255.255.255.0。在“Action”列表中選擇“Deny”項。同理創(chuàng)建新的規(guī)則，放行所有的流量。這樣，針對特定地址的ICMP 流量就會被攔截。

在工具欄上選擇“CONTROLLER”項，然后選擇“Interfaces”，選擇某個動態(tài)接口，在右側(cè)“ACL Name”列表中選擇上述“Acl1”項，將其綁定到該接口上。

這樣就可以阻止來自該接口的特定的ICMP 流量。當(dāng)然，也可以選擇某個WLAN，在屬性窗口中的“Advanced”面板的“Override Interface ACL”列表中選擇所需ACL 項目，使兩者綁定。CPU 的ACL可以針對抵達WLC 的管理和控制層面的流量進行管理的ACL，例如先按照上述方法創(chuàng)建一個普通ACL 項目（如“Cpuacl”），添加兩個規(guī)則，分別實現(xiàn)攔截HTTP 的流量和放行所有流量。

選擇“Access Control List →CPU Access Contro List”項，在右側(cè)選擇“Enable CPU ACL”項，激活A(yù)CL 控制列表。在“ACL Name”列表中選擇上述“Cpuacl”。這樣，即使已經(jīng)開啟了HTTP 網(wǎng)管功能，也被該ACL 禁止。Layer2 控制列表基于以太網(wǎng)類型進行判斷，選擇“Access Control List →Layer2 ACLs”項，點擊“New”輸入該ACL 名稱（如“Acl2”），在屬性窗口添加一個規(guī)則，在“EtherType”列表選擇以太網(wǎng)類型，例如選擇“PPPoE Discovery Stage”，在“Action”列表中選擇“Deny”。

同理，創(chuàng)建新的規(guī)則，針對“PPPoESession Stage”類型進行攔截。之后再創(chuàng)建一個規(guī)則，選擇“Custom”類型，在“Ether Type(Custom)”和“EtherMask(Custom)”欄中輸入“0”，表示放行所有流量。選擇WAN 項目的屬性窗口“Advanced”→“Layer 2 Acl”列表，選擇該ACL 項目。這樣在該WLAN 中就可禁止傳輸PPPoE 的流量。FlexConnect ACL 適用于FlexConnect 轉(zhuǎn)發(fā)模式，需要將ACL 列表推送給AP。

選擇“Access Control List”→“FlexConnect ACLs”項，創(chuàng)建新的ACL（例如“Flexacl”），創(chuàng)建兩條規(guī)則，實現(xiàn)攔截去往諸如172.1.1.0/255.255.255.0之類地址段的ICMP 流量和放行所有的流量。注意，目標(biāo)AP 必須處于FlexConnect模式。在目標(biāo)WLAN 的屬性窗口中的“Advanced”面板中選擇“FlexConnect Local Switching”項，將其切換到FlexConnect 狀態(tài)下。

在目標(biāo)AP 屬性窗口中的“FlexConnect”面板中選擇“VLAN Support”項，在“Native VLAN”欄中輸入對應(yīng)的VLAN 號（例如“20”），點擊“Apply”和“VALN Mapping”，在打開窗口中點擊“Go”按鈕，在上述VLAN“Ingress ACL”和“Egress ACL”列表中分別選擇上述“Flexacl”項目，點擊“Apply”按鈕推送到該AP。這樣，在該VLAN 中就可以攔截特定的ICMP 流量了。

保護管理幀

在802.11 中，管理幀始終沒有得到認(rèn)證和加密保護，而使用WPA/WPA2 等協(xié)議是可以加密數(shù)據(jù)流的，這就會引發(fā)一些安全問題。

例如，攻擊者可以使用偽裝AP 的管理幀攻擊與其關(guān)聯(lián)的客戶端，讓客戶頓無法正常連接。使用這種攻擊方法可以在WLAN 上執(zhí)行DoS攻擊，當(dāng)重新連接時，可以在客戶端上進行中間人攻擊。

對于這種攻擊來說，只有使用管理幀保護才可以進行有效防御。在AP 之間是可以發(fā)送一些管理幀的，這些管理幀需要被保護。對于客戶端和AP 之間發(fā)送的管理幀，也需要進行保護。對于基礎(chǔ)架構(gòu)的MPF 來說，所有管理幀被秘密進行散列化處理，來創(chuàng)建消息完整性檢查，并被添加到幀的末端。

當(dāng)一個或多個WLAN 上啟用MPF 時，WLC 將唯一的密鑰發(fā)送到每個已經(jīng)注冊的AP上，AP通過啟用MPF的WLAN 發(fā)送管理幀，任何試圖修改幀的操作都會使消息變得無效?？蛻舳薓FP 屏蔽了來自偽裝幀的已認(rèn)證的客戶端，阻止了對無線網(wǎng)絡(luò)的很多常見的攻擊。即客戶端MPF 加密在接入點和CCXv5客戶端之間發(fā)送的管理幀，以便接入點和客戶端均能采取預(yù)防措施并丟棄偽裝的第三類管理幀?？蛻舳薓PF 可以有效利用IEEE802.11i 定義的安全機制來保護這些類型為第三類的管理幀，從而防御來自常見拒絕服務(wù)攻擊的客戶端接入點會話。

當(dāng)然，在客戶端必須使用支持CCXv5 MPF 的網(wǎng)卡才行。在WLC 界面工具欄選擇“SECURITY”，選擇“Wireless Protection Policies →AP Authentication”項，在右側(cè)的“Protection Type”列表中選擇“Management Frame Protection”項，激活基礎(chǔ)設(shè)施的管理幀保護功能。在工具欄上選擇“WLANs”項，選擇某個WLAN，在屬性窗口中的“Advanced”面板中的“MPF Client Protection”列表中選擇“Required”項，激活基于客戶端的MPF 功能。

利用本地認(rèn)證，配置管控策略

WLC 本地策略可基于HTTP/DHCP 等協(xié)議來識別客戶端設(shè)備。利用這一特性，可以基于設(shè)備類型（例如安卓手機等），來推送對應(yīng)策略，管控客戶端行為。注意，最多可配置64 個本地策略。其匹配條件靈活，當(dāng)匹配合適的條件后，可以執(zhí)行各種授權(quán)操作。

在選定的WLAN 屬性窗口中的“Advanced”面板中的“Local Client Profiling”欄選擇“DHCP Profiling”和“HTTP Profiling”項，激活本地設(shè)備識別功能。即在本地收集DHCP 和HTTP協(xié)議的信息，對設(shè)備進行識別操作。在工具欄上選擇“MONITOR”項，在左側(cè)選擇“Local Profiles”項，在右側(cè)顯示識別出來的設(shè)備信息（例如是Windows 7 的主機等）。在工具欄上選擇“SECURITY”項，在左側(cè)選擇“Local Policies”項，在右側(cè)點擊“New”按鈕，輸入該策略名稱。

在其屬性編輯窗口中的“Device Type”列表中選擇設(shè)備類型，例如“Windows7-Workstation”項。點擊“Add”按鈕，在“Action”欄中可以設(shè)置匹配的動作，例如設(shè)置ACL、VLAN 等。在“Active Hours”欄中設(shè)置具體的日期和時間，來確定策略的有效期。當(dāng)創(chuàng)建了策略后，需要在工具欄上選擇“WLANs”項，在選定的WLAN的“Policy →Mapping”面板中的“Local Policy”列表中選擇該策略，點擊“Add”按鈕，來調(diào)用該策略才可以讓其生效。