降低无线办公网故障次数

降低无线办公网故障次数降低无线办公网故障次数 中国移动通信集团广东有限公司清远分公司中国移动通信集团广东有限公司清远分公司 网络先锋网络先锋 QCQC 小组小组 20102010 年年 1010 月月 中国移动广东公司清远分公司中国移动广东公司清远分公司 目目 录录 一 一 QCQC 小组简介小组简介 3 3 二 选题课题二 选题课题 3 3 三 设定目标三 设定目标 5 5 四 目标可行性分析四 目标可行性分析 6 6 五 原因分析五 原因分析 7 7 六 要因确认六 要因确认 7 7 七 对策制定七 对策制定 9 9 八 实八 实施施对策对策 1010 九 效果九 效果检检查查 2323 十 巩固措施十 巩固措施 2525 十一 总结与下步打算十一 总结与下步打算 2525 中国移动广东公司清远分公司中国移动广东公司清远分公司 一 一 QCQC 小组简介小组简介 网络先锋QC 小组成立于 2010 年 4 月 小组成员 4 人 由清远公司业务支 持中心副总经理 经理 规划室多名技术骨干组成 本次主要任务是 降低 无线办公网故障次数 表表 1 11 1 QCQC 小组概况小组概况 制表人 温绍勇制表人 温绍勇 制表日期 制表日期 2010 06 012010 06 01 小组名称小组名称网络先锋小组网络先锋小组课题名称课题名称降低无线办公网故障次数降低无线办公网故障次数 课题类型课题类型问题型问题型活动时间活动时间 2010 062010 06 2010 102010 10 小组成员及分工小组成员及分工 姓姓 名名性别性别文化程度文化程度职称职称组内职务与分工组内职务与分工 王 辉男 硕 士副总经理顾 问 何俊健男本 科工程师组 长 周 知男学 士助理工程师技术开发 测试 温绍勇男本 科助理工程师资料收集 测试 小组口号小组口号降低无线办公网故障次数 让我们一起行动降低无线办公网故障次数 让我们一起行动 二 选题课题二 选题课题 1 1 选题理由选题理由 中国移动广东公司清远分公司中国移动广东公司清远分公司 表表 2 12 1 选题理由选题理由 制表人 温绍勇制表人 温绍勇 制表日期 制表日期 2010 06 012010 06 01 2 2 名词解释名词解释 WLAN WLAN 无线局域网络 Wireless Local Area Networks WLAN 是相 当便利的数据传输系统 它利用射频 Radio Frequency RF 的技术 取 代旧式碍手碍脚的双绞铜线 Coaxial 所构成的局域网络 使得无线局域网 络能利用简单的存取架构让用户透过它 达到 信息随身化 便利走天下 的理想境界 AP AP Access Point 即无线接入点 它是用于无线网络的无线交换 机 也是无线网络的核心 无线 AP 是移动计算机用户进入有线网络的接入 点 AC AC Access Controller 即无线控制器 用于管理 AP 的设备 RADIUS RADIUS Remote Authentication Dial In User Service SSID SSID 是 Service Set Identifier 的缩写 即服务集标识 非法非法 APAP 攻击攻击 是指 在合法 AP 的有效覆盖区内使用 PC 搭建一个 SSID 频道 WEP KEY 相同的 AP 将会导致无线欺骗 中间人或其它类型的风险 中国移动广东公司清远分公司中国移动广东公司清远分公司 3 3 活动计划 活动计划 表表 2 32 3 QCQC 活动计划表活动计划表 制表人 温绍勇制表人 温绍勇 制表日期 制表日期 2010 06 032010 06 03 三 设定目标三 设定目标 我们本次活动目标设定为 将无线办公网故障次数从每月 20 多次降低到 1 至 2 次 中国移动广东公司清远分公司中国移动广东公司清远分公司 表表 3 13 1 目标设定图目标设定图 制表人 温绍勇制表人 温绍勇 制表日期 制表日期 2010 06 052010 06 05 四 目标可行性分析四 目标可行性分析 QC 小组设定降低无线办公网故障次数步骤为 1 拆除非法 AP 2 使用 AC 瘦 AP 设定统一模版 3 WLAN 用户安装客户端认证软件 自主开发 4 采用 RADUIS 服务器 PORTAL 服务器结合认证 5 设定自动分频 减少干扰 6 安装 WIDS 自由无线入侵检测系统 自主开发 7 制定无线网络安全管理制度 表表 4 14 1 可行性分析图可行性分析图 制表人 温绍勇制表人 温绍勇 制表日期 制表日期 2010 06 062010 06 06 中国移动广东公司清远分公司中国移动广东公司清远分公司 五 原因分析五 原因分析 小组应用头脑风暴法针对 无线网络出现故障的原因 进行因果分析 找 出 9 个末端原因 以如分析图呈现 图图 5 15 1 造成无线网络故障因素图造成无线网络故障因素图 制图人 温绍勇制图人 温绍勇 时间 时间 2010 06 082010 06 08 影影 响响 无无 线线 网网 络络 稳稳 定定 的的 因因 素素 人 安全意识缺乏 缺乏无线操作技能 没有相关安全制度 未按计划进行培训 机 用户接入数 每个AP用户接入数过多 用户带宽低 料 AC AP异常AC AC版本过低 法 没有清除非法AP 非法用户恶意攻击 各AP之间信号频道干扰 传输链路 传输链路介质差 非法AP 网络攻击 信号干扰 用户带宽 六 要因确认六 要因确认 要因确认要因确认 末端末端确认确认判别判别确认确认完成完成是是 否否 序序 号号 因素因素方法方法标准标准情况情况 负责人负责人 日期日期要要 因因 1AC AP 异 常 现场检 查 AC 与 AP 版本 不低于 V3 12 设备 稳定版本需 求 AC 与 AP 版本 V3 22 是中兴公司最新发布 的稳定版本 设备运 行正常 属于稳定状 态 温绍勇 2010 6 3 否否 中国移动广东公司清远分公司中国移动广东公司清远分公司 2用户接 入数 现场数 据检查 每个 AP 接入 用户数3 个 信号覆盖 率 80 现楼层已安装 5 个 AP 信号覆盖率达到 95 对无线网络的 稳定无影响 温绍勇 2010 6 12 否否 6 用户培 训与安 全制度 现场对 用户调 查 用户安全意 识需达到二 级 需建立 无线安全管 理制度 用户安全意识缺乏 没有建立完善的无线 办公网安全制度 何俊健 2010 6 13 是是 7非法 AP现场检 查 公司合法接 入之外的 AP 公司每个楼层都有私 有 AP 接入 无线信 号互相干扰 对无线 网络的稳定造成影响 温绍勇 2010 06 14 是是 8信号干 扰 现场数 据检查 公司规定 AP 信号值需在 20 至 70 楼层部分 AP 的信号 值已低于 70 对无线 网络的稳定已造成影 响 周知 2010 6 14 是是 9网络攻 击 现场分 析 无线接入用 户发起 DDOS 或 ARP 之类 来自无线接入的用户 发起 ARP 欺骗且有 大量的 UDP flood 信 息 何俊健 2010 6 20 是是 中国移动广东公司清远分公司中国移动广东公司清远分公司 小小组组经经过过逐逐一一确确认认 得得出出主主要要因因素素有有4个个 1 用用户户培培训训与与安安全全制制度度 2 非非法法A AP P 3 3 信信号号干干扰扰 4 4 网网络络攻攻击击 图图 6 16 1 要因确认表要因确认表 制表人 温绍勇制表人 温绍勇 时间 时间 2010 06 212010 06 21 七 对策制定七 对策制定 QC 小组针对以上 4 个要因进行集体分析讨论 制定了如下对策表 表表 7 1 对策制定表对策制定表 序号序号要因要因对策对策目标目标措施措施负责人负责人地点地点时间时间 1 用户 培训 与安 全制 度 组织培训 建立无线 办公网安 全管理制 度 提高用户对 无线办公网 的技术与安 全意识 管 理与技术相 结合 针对全公司员工进行多次无 线办公网技术培训 制定无 线办公网安全管理制度 何俊健 业支 中心 6 20 7 10 2 非法 AP 拆除非法 AP 无线办公区 域杜绝非法 AP 接入 1 安装 AP 探臭软件 找出 非法 AP 2 安排专门人员每日进行 AP 探臭 温绍勇 业支 中心 6 07 7 15 3 信号 干扰 减少信号 干扰 各 AP 之间的 信号干扰达 到最少范围 1 采用中兴 AC 瘦 AP 统一 管理 2 AP 设定统一模版不广播 SSID 3 设定 AP 自动分频 周知 业支 中心 6 05 7 15 4 网络 攻击 采用安全 认证机制 部署网络 监控软件 没有经过认 证的用户 拒绝接入 1 采用 RADIUS 服务器与 PORTAL 服务器结合认证 2 自主研发 WIDS 监控软件 可有效监控无线网络 何俊健 业支 中心 8 11 8 13 中国移动广东公司清远分公司中国移动广东公司清远分公司 图 7 1 对策制定表 制表人 何俊健 时间 2010 06 21 八 实施对策八 实施对策 实施一实施一 用户培训与安全制度 用户培训与安全制度 1 2010 年 6 月 20 日到 2010 年 7 月 10 日 小组成员何俊健组织公司全 体员工进行多次无线技术培训 2 2 制定无线办公网络管理制度 制定无线办公网络管理制度 三分靠技术 七分靠管理 将管理手段和技术手段有机结合起来 保 证无线网络的安全性 目前我们已经制定了初步的无线网络安全管理制度 详 细的管理制度如下表所示 序号序号管理制度内容管理制度内容 1 采用端口访问技术 802 1x 进行控制 防止非授权的接入和访问 2 采用 128 位 WEP 加密技术 不使用生产商自带的 WEP 密钥 3 对于安全等级要求很高的网络建议采用 VPN 进行连接 中国移动广东公司清远分公司中国移动广东公司清远分公司 4 对 AP 和网卡设置复杂的 SSID 并根据需求确定是否需要加载漫游功能与 客户端 MAC 绑定 5 禁止 AP 向外广播 SSID 6 修改缺省的 AP 密码 如 Intel 的 AP 的默认密码是字符串 Intel 7 部署 AP 后要在公司办公区域周围进行勘察 防止 AP 的覆盖范围超出办公 区域 同时要让保安人员在公司附近进行巡查 防止外部人员在公司外接入网 络 8 禁止员工私自安装 AP 无线网络管理员必须定期使用无线扫描软件进行扫 描 9 如果网卡支持修改属性需要密码功能 要开启该功能 防止网卡属性被修 改 10 配置检测设备检查非法进入公司的 2 4G 电磁波发生器 防止被干扰和 DOS 11 员工不得把网络设置信息告诉公司外部人员 禁止设置 P2P 的 Ad hoc 网络 结构 12 跟踪无线网络技术 特别是无线网络的发展趋势 如 802 11i 对无线网 络管理人员进行定期培训 效果检查一 效果检查一 提高了用户对无线办公网技术的理解与安全意识 将技术手段与管理手段 相结合 提高了无线办公网的安全性 实施二实施二 拆除非法 拆除非法 APAP 1 1 安装安装 APAP 探臭软件探臭软件 找出非法找出非法 APAP 2010 年 6 月 8 日 小组成员温绍勇利用 WIFI HOPPER 探臭软件 在每个楼 层进行非法 AP 检测 并进行拆除 中国移动广东公司清远分公司中国移动广东公司清远分公司 图图 实施二实施二 APAP 探臭图探臭图 截图人 温绍勇截图人 温绍勇 时间 时间 2010 06 82010 06 8 2 2 安排专门人员每日进行安排专门人员每日进行 APAP 探臭探臭 在 QC 小组计划活动期间 成员温绍勇每日在每个楼层进行非法 AP 检测 并进行拆除 效果检查二 效果检查二 2010 年 7 月 1 日 对每个楼层进行非法 AP 检测 没有发现非法 AP 接入 通过一段时间的非法 AP 拆除 用户反应掉线率低了 每个 AP 的信号值都稳定 在 70 至 20 之间 达到了不允许非法 AP 接入的目标了 实施三实施三 减少信号干扰 减少信号干扰 1 1 采用中兴 采用中兴 AC AC 瘦瘦 APAP 统一管理统一管理 2010 年 6 月到 7 月期间 清远公司部署中兴 AC 瘦 AP 并设定通过 AC 统 一管理 AP AP 离线或在线都可以直接通过登录 AC 设备查看 中国移动广东公司清远分公司中国移动广东公司清远分公司 图 实施三 AP 管理图 截图人 温绍勇 时间 2010 07 11 2 2 APAP 设定统一模版不广播设定统一模版不广播 SSIDSSID 2010 年 7 月 15 日 QC 成员小组何俊健在 AC 上设定 AP 统一配置模版 并 设定不广播 SSID 图 实施三 AP 模版设定 截图人 何俊健 时间 2010 07 15 3 3自动设定自动设定 APAP 频道频道 2010 年 7 月 16 17 日 QC 成员小组周知根据同一个信号覆盖范围 内最多容纳 3 个互不重叠的信 1 6 11 号原则 设定每个楼层 AP 频道 中国移动广东公司清远分公司中国移动广东公司清远分公司 图 实施二 AP 频道图 截图人 何俊健 时间 2010 07 18 效果检查三 效果检查三 根据前阶段的活动实施 无线办公网在 6 7 8 月份的故障次数明显减少了 实现了 阶段性目标 效果检查三图 无线办公网故障次数 制表人 温绍勇 制表日期 2010 08 30 中国移动广东公司清远分公司中国移动广东公司清远分公司 实施四实施四 采用安全认证机制 部署网络监控软件 采用安全认证机制 部署网络监控软件 1 1 采用 采用 RADIUSRADIUS 服务器服务器 PORTAL PORTAL 服务器结合认证服务器结合认证 1 1 自主研发客户端认证软件 1 2 采用 radius 服务器 Portal 服务器结合认证 1 用户访问网站之前需安装客户端认证软件 中国移动广东公司清远分公司中国移动广东公司清远分公司 2 用户填入用户名 密码 提交页面 向 Portal Server 发起连接请求 3 Portal Server 向 AC 请求 Challenge 4 AC 分配 Challenge 给 Portal Server 5 Portal Server 向 AC 发起认证请求 6 而后 AC 进行 RADIUS 认证 获得 RADIUS 认证结果 7 AC 向 Portal Server 送认证结果 8 Portal Server 将认证结果填入页面 和门户网站一起推送给客户 9 Portal Server 回应确认收到认证结果的报文 3 3 部署部署 WIDSWIDS 监控软件监控软件 自主开发研制了无线办公终端自动监控软件 WIDS 并部署在无线办公网 络环境中 对无线办公网络进行实时监控 3 13 1 检测对无线局域网进行的底层检测对无线局域网进行的底层 DoSDoS 攻击攻击 研究环境搭建研究环境搭建 在企业 AP 的有效覆盖区内放置 WIDS 攻击者首先会通过扫描的途径获得合法客户 端与 AP 的 BSSID 然后通过 802 11 注入工具发送大量伪造的解除认证帧 由于数据链路 中国移动广东公司清远分公司中国移动广东公司清远分公司 层是不提供帧的合法性鉴别的 因此 AP 会认为是合法客户端主动发起解除认证帧的 AP 会进入解除认证 握手 会话状态 导致合法客户端的正常通信链路中断 我们称这一过 程为 deauthflood 解除认证帧风暴 当发生 deauthflood 时 WIDS 会通过解除认证帧行 为的特点 数量 间隔 持续时间 判定这个其是否为攻击 确认时产生报警并反馈给管 理员 研究过程描述研究过程描述 相关攻击及发现的过程简要描述如下 1 启动 WIDS 2 攻击机打开 kismet 工具 按空格后进入主视图 中国移动广东公司清远分公司中国移动广东公司清远分公司 3 选中你要查看的条目按回车后就可以获取到该条目所对应的 STA 信息 4 按 q 回到 选择 的视图 再按 c 查看到该 WLAN 内所有的客户端 的详细信息 5 通过扫描工具确认 AP 与合法无线客户端的 BSSID 为 00 03 2F 18 4E 0E 与 中国移动广东公司清远分公司中国移动广东公司清远分公司 00 0E 35 3B B9 5A 6 在控制台界面使用工具发起工具 root localhost aircrack aireplay 0 800 a 00 03 2F 18 4E 0E c 00 0E 35 3B B9 5A ath0 17 29 35 Sending DeAuth to station STMAC 00 0E 35 3B B9 5A 17 29 36 Sending DeAuth to station STMAC 00 0E 35 3B B9 5A 17 29 36 Sending DeAuth to station STMAC 00 0E 35 3B B9 5A 7 回到 WIDS 机器 查看报警情况 root alex5 root cd var log snort root alex5 snort cat deauthflood log 08 09 17 47 50 904807 Deauth flood reported Deauthent 0 3 2F 18 4E E 00 0E 35 3B B9 5A bssid 0 3 2F 18 4E E Flags Re 08 09 17 47 50 913816 Deauth flood reported Deauthent 00 0E 35 3B B9 5A 0 3 2F 18 4E E bssid 0 3 2F 18 4E E Flags Re 上述的报警日志中显示了两条 双向 的 deauthflood 记录 客户端与 AP 间 bssid 提示本 WLAN 中的 AP 的 MAC 研究结论研究结论 通过上试测试 通过上试测试 WIDSWIDS 能够发现能够发现 DOSDOS 攻击行为 并对所发起的攻击行为进行攻击行为 并对所发起的攻击行为进行 报警 报警 中国移动广东公司清远分公司中国移动广东公司清远分公司 3 2 检测到检测到 MAC 地址欺骗地址欺骗 研究环境搭建研究环境搭建 搭建一个企业 AP 在 AP 中设置只有 MAC BSSID 地址为 A 的无线客户端才能与其 通信 在 AP 的覆盖区内放置一台 MAC BSSID 地址为 B 的无线客户端 使用工具探测出 该 AP 设置 允许连接 的 MAC 地址值 利用工具将自身的 MAC 地址修改为该 MAC 地 址值 连通 WLAN 利用在 AP 覆盖区下的 WIDS 探测这一过程并及时反馈 研究过程描述研究过程描述 下面简要描述攻击的发起过程及入侵检测过程 1 入侵主机运行 kismet 工具 按回车进入 kistmet 的 panel 模式界面 打开 kistmet 我们已经可以看到在这个覆盖区内的 802 11 信号源 了 按空格后进入主视图 中国移动广东公司清远分公司中国移动广东公司清远分公司 2 选中你要查看的条目按回车后就可以获取到该条目所对应的 STA 信息 打开 macmakeup 工具 在