27、无线网络监控与管理：保障企业 Wi-Fi 安全-优快云博客

本文链接：https://blog.youkuaiyun.com/tech5/article/details/153104096

无线网络监控与管理：保障企业 Wi-Fi 安全

在企业 Wi-Fi 安全领域，设计和安装一个完善的无线局域网（WLAN）仅仅是个开端。后续，我们需要对 WLAN 进行持续监控，确保其符合政策和法规要求，及时检测并应对攻击。同时，还需使用安全的管理协议来管理 WLAN。下面将详细介绍 WLAN 网络监控和管理的相关内容。

一、安全管理协议

管理无线局域网中的接入点（AP）时，务必采用安全的管理方法。虽然默认情况下可以使用标准 HTTP 连接许多供应商的 AP，但这并非推荐做法，因为所有 HTTP 流量都是以明文传输的，通过 HTTP 应用的配置设置很容易被窃听。

1.1 HTTPS

当使用基于 Web 的界面管理 AP 时，应始终使用 HTTPS。若 AP 不支持 HTTPS，最好不要使用 HTTP 管理该设备。HTTPS 实际上使用 SSL 加密技术，需要向服务器提供证书，支持 HTTPS 的 AP 通常已安装证书。SSL 是一种第 7 层加密技术。

1.2 SSH

另一种第 7 层加密解决方案是 SSH。SSH 版本 1 存在已知漏洞，应避免使用，而 SSH2 目前被认为是安全的。SSH2 通常用于为被管理设备提供命令行界面（CLI）访问，具有以下优点：
- 支持公钥和私钥认证，或用户名和密码认证。
- 通过使用公钥和私钥对进行数据签名。
- 关联私钥密码短语。
- 支持多种加密算法，如 AES、3DES 和 DES。
- 支持加密密钥轮换。
- 通过哈希算法确保数据完整性。
- 可能支持数据压缩。

1.3 SNMP

简单网络管理协议（SNMP）是集中监控和管理网络设备的标准解决方案。早期的 SNMP 存在安全漏洞，这些问题在 SNMP v3 中得到了解决。版本 3 增加了认证和隐私控制，以保护网络上传输的管理信息。管理设备时，应确保使用 SNMP v3 或更高版本。

1.4 SFTP 和 SCP

如果需要进行文件复制，应使用安全的 FTP（SFTP，结合了 FTP 和 SSH）或安全复制协议（SCP，常见于 Linux 环境）。需要注意的是，SFTP 不同于 FTPS，SFTP 是 FTP 与 SSH 的结合，而 FTPS 是 FTP 与 TLS 的结合。

此外，许多注重安全的网络环境会在专用的隔离子网中管理网络设备，这虽然不能替代使用安全协议进行管理，但能显著提高安全性。

二、WLAN 监控

验证 WLAN 功能和完整性的一种方法是使用各种监控过程。监控过程可确保系统维持所需的性能水平，并根据设计和企业安全策略提供必要的安全保障。

2.1 监控的重要性

监控是一个持续的过程，它收集关键系统信息，并利用这些信息验证系统是否按预期和设计运行。精心设计的监控系统能提供有价值的指标和指示，使 IT 专业人员能够：
- 进行安全审计并查找漏洞。
- 保持法规合规性。
- 维持适当的性能水平。
- 验证网络可用性。

2.2 监控方法

无线网路监控存在手动和自动两种方法，具体选择哪种过程和工具，主要取决于以下因素：
- 基础设施的规模。
- 网络中使用的设备数量。
- 网络支持组织的人员配置结构，因为如果实施得当，自动化测试可以增强员工的能力。

2.3 常见监控工具

常见的网络监控工具包括：
|工具名称|工具描述|
| ---- | ---- |
|无线入侵检测系统（WIDS）|用于收集计算机网络信息，通过分布在物理网络周围的硬件传感器收集并向物理设备或服务器数据库报告信息。仅检测并报告与网络基线相比的异常情况，通常“始终开启”，可设置不同级别的自动报告和警报。|
|无线入侵预防系统（WIPS）|与 WIDS 有许多相同特性，但除了检测威胁外，还可能能够缓解威胁。传感器收集的信息会报告给中央服务器数据库或网络设备进行分析和处理，触发警报并通知网络人员潜在入侵及其严重程度，根据系统配置可能会进行缓解操作。|
|无线网络管理系统（WNMS）|是一种集中式解决方案，可在虚拟环境中的硬件服务器或云端运行。允许网络工程师集中管理和控制整个 WLAN，包括 AP 和控制器。许多制造商都提供适用于其自身基础设施设备的集中管理系统，随着 WLAN 系统变得更加复杂，与多种不同制造商设备兼容的第三方 WNMS 解决方案数量正在减少，但仍然存在。WNMS 还可结合 WIPS 技术，提供完整的无线网络管理、监控和安全解决方案，这些系统中的每个主要功能通常需要额外付费授权。|
|协议分析软件和硬件|用于捕获通过网络介质传输的帧，可用于有线和无线网络，有些分析仪能够在两种类型的网络上运行。是很好的故障排除工具，可用于发现潜在的安全问题。可以是独立的，也可与笔记本电脑或其他移动设备配合使用，还可以集成到无线 AP、专用远程基础设施设备或 WIPS 系统中。在某些情况下，如基于云控制的 WLAN 系统，可以对远程接入点进行远程数据包捕获，并将捕获文件保存到本地 PC 进行分析。|
|频谱分析软件和硬件|用于监控开放空间，帮助识别存在的射频类型。对于无线网络，频谱分析仪有助于识别其他监控工具（如协议分析仪）无法发现的问题和威胁。其大小、复杂性和成本因预期用途而异，一些制造商专门为基于 IEEE 802.11 标准的无线网络构建频谱分析仪，而其他一些则可用于多种其他 RF 监控目的。许多接入点本身集成了某种形式的频谱分析实用程序，但不同设备的频谱分析质量和粒度可能差异很大。|
|硬件传感器|通过持续监控开放空间来收集所需信息。这些设备可以集成到无线 AP 中，也可以是独立的专用设备。传感器以所谓的监控模式运行，是被动设备，不会干扰占用相同射频空间的其他无线设备。一些接入点可以配置为全职传感器。|

下面是一个简单的 mermaid 流程图，展示了监控工具的使用流程：

graph LR
    A[开始] --> B[选择监控工具]
    B --> C{工具类型}
    C -->|WIDS| D[收集网络信息]
    C -->|WIPS| E[检测并缓解威胁]
    C -->|WNMS| F[集中管理 WLAN]
    C -->|协议分析仪| G[捕获网络帧]
    C -->|频谱分析仪| H[识别射频类型]
    C -->|硬件传感器| I[收集开放空间信息]
    D --> J[报告异常]
    E --> K[触发警报并处理]
    F --> L[配置和控制]
    G --> M[故障排除和安全检测]
    H --> N[发现潜在问题]
    I --> O[提供数据支持]
    J --> P[结束]
    K --> P
    L --> P
    M --> P
    N --> P
    O --> P

三、流氓 AP 和客户端检测

多年来，流氓 AP 一直备受关注。自无线局域网开始实施以来，流氓设备就被视为安全隐患和潜在的射频干扰源，至今仍然对我们的网络构成威胁。

3.1 流氓 AP 的定义和威胁

流氓 AP 是指在你拥有的空间内运行，但未经你授权的任何 AP。它可能是入侵者为了访问你的有线网络而放置的，也可能是善意的用户为了在工作时更方便、更移动而设置的。流氓 AP 主要有以下两种威胁动机：
- 攻击者通过将网络扩展到空中来访问你的有线或无线网络。通常，攻击者会找到一个有活动以太网端口的隐蔽位置，用标准电缆将以太网端口连接到 AP，并使用附近的电源插座为 AP 供电。有些 AP 甚至可以使用电池供电，以便攻击者在短时间内访问。攻击者放置好 AP 后，就可以在不靠近 AP 的情况下攻击你的有线局域网或其他连接到有线局域网的 WLAN。
- 攻击者直接攻击你的无线客户端 STA。攻击者可能使用 AP 进行劫持攻击，试图获取无线局域网计算机上的数据，也可能试图在这些客户端上安装后门，以便将来访问网络。

3.2 流氓 AP 的检测方法

流氓 AP 的检测通常通过有线或无线接口进行：

3.2.1 无线接口检测

使用站点调查工具 ：使用站点调查工具绘制你所在区域的 RF 覆盖图，然后定期再次使用该工具进行实地检查，通过比较与原始调查的 RF 覆盖差异来检测新 AP 的存在。
记录 AP 数量 ：保持对给定位置可检测到的 AP 数量的最新记录，然后前往该位置及其他位置，使用如 inSSIDer 等工具查看是否有更多 AP 存在。发现新 AP 后，记录其 MAC 地址，并在该区域移动时监测来自该 MAC 地址的信标信号强度，根据信号强度的变化找到 AP 的大致位置。

3.2.2 有线接口检测

由于大多数 AP 会运行 HTTP 服务器，而大多数桌面 PC 或网络服务器不会，因此可以通过子网进行端口扫描，查找端口 80 开放的 IP 地址。当发现以前不存在的端口 80 开放的 IP 地址时，可能发现了一个流氓 AP 或其他未经授权的流氓设备。可以按照以下步骤构建自己的流氓检测系统：
1. 完成 WLAN 安装且确认此时没有流氓设备后：
- 对每个网段进行端口扫描。
- 将扫描输出保存到文本文件。
2. 每隔一两周在非高峰时段（如果有）运行相同的端口扫描，并将新扫描结果保存到不同的文件。
3. 使用文件比较工具查找差异，或者编写自己的脚本比较两个文件，仅报告新出现的端口 80（HTTP）和 23（telnet）引用。

如果网络支持，还可以编写脚本，在发现新的 TCP 端口 80 或 23 时禁用相应的以太网端口，并通过电子邮件发送报告。

3.3 预防流氓 AP 的方法

为了防止个人将未经授权的 AP 连接到你的有线网络，可以采取以下措施：
- 禁用未使用的以太网端口 ：这是一种简单的解决方案，但不能仅依赖此方法，因为人们可能会犯错而忘记关闭端口，并且在大型动态以太网环境中管理起来可能很困难。
- 在交换机上使用端口安全 ：许多交换机支持基于 MAC 地址和其他参数的端口过滤，可以指定只有指定列表中的 MAC 地址才能连接到你的交换机。由于有线 MAC 地址比 WLAN MAC 地址更难被入侵者找到，因此攻击者很难将 AP 的 MAC 地址添加到该列表中。
- 在可接受使用政策中明确规定 ：明确规定用户不能安装 AP，虽然这不能阻止所有流氓 AP 的安装，但可以阻止许多人这样做。
- 实施网络访问控制技术 ：这可以阻止攻击者的设备连接到网络。

总之，无线网络的监控和管理对于保障企业 Wi-Fi 安全至关重要。我们需要综合运用各种安全管理协议、监控工具和检测方法，及时发现并处理潜在的安全威胁，确保网络的稳定运行和数据安全。

四、WLAN 安全审计与合规性报告

4.1 安全审计的重要性

安全审计是评估 WLAN 安全性的关键环节。通过定期进行安全审计，可以发现潜在的安全漏洞和违规行为，及时采取措施进行修复和改进。这有助于确保 WLAN 符合企业的安全策略和相关法规要求，保护企业的敏感信息和网络资产。

4.2 合规性报告的内容

合规性报告应包含以下方面的内容：
|报告内容|具体说明|
| ---- | ---- |
|安全策略遵循情况|检查 WLAN 是否遵循企业制定的安全策略，如访问控制策略、加密策略等。|
|法规合规性|确认 WLAN 是否符合行业要求和政府法规，如 PCI - DSS、HIPAA 等。|
|漏洞扫描结果|记录使用安全工具进行漏洞扫描的结果，包括发现的漏洞类型、严重程度和位置。|
|配置审查|审查 WLAN 设备的配置，确保其符合安全最佳实践，如禁用不必要的服务和端口。|
|事件记录|记录 WLAN 中发生的安全事件，如入侵尝试、异常流量等。|

4.3 生成合规性报告的步骤

数据收集 ：使用各种监控工具和技术收集 WLAN 的相关数据，包括设备配置、网络流量、安全事件等。
数据分析 ：对收集到的数据进行分析，识别潜在的安全问题和合规性差距。
报告撰写 ：根据数据分析结果，撰写合规性报告，清晰地呈现发现的问题、影响和建议的解决方案。
报告审核和批准 ：将报告提交给相关部门进行审核和批准，确保报告内容准确、完整。
报告发布和跟进 ：将批准后的报告发布给相关人员，并跟进问题的解决情况，确保采取有效的措施进行改进。

下面是一个 mermaid 流程图，展示了生成合规性报告的流程：

graph LR
    A[开始] --> B[数据收集]
    B --> C[数据分析]
    C --> D[报告撰写]
    D --> E[报告审核和批准]
    E --> F[报告发布和跟进]
    F --> G[结束]

五、WLAN 性能优化与故障排除

5.1 性能优化的方法

为了确保 WLAN 提供良好的性能和用户体验，可以采取以下性能优化方法：
- 合理规划 AP 布局 ：根据建筑物的结构和使用需求，合理规划 AP 的位置和数量，确保 RF 覆盖均匀，避免出现信号死角和干扰。
- 优化信道分配 ：使用频谱分析工具，选择干扰较小的信道进行 AP 配置，避免信道重叠和干扰。
- 调整发射功率 ：根据实际情况调整 AP 的发射功率，确保信号强度适中，既能满足覆盖需求，又能减少干扰。
- 升级设备固件 ：及时升级 AP 和其他 WLAN 设备的固件，以获取最新的功能和性能优化。
- 实施 QoS 策略 ：根据不同的应用需求，实施 QoS 策略，确保关键业务和应用获得优先带宽和服务质量。

5.2 故障排除的步骤

当 WLAN 出现故障时，可以按照以下步骤进行故障排除：
1. 收集故障信息 ：与用户沟通，了解故障发生的时间、现象和影响范围，收集相关的日志和数据。
2. 检查设备状态 ：检查 AP、交换机、路由器等设备的状态，确保设备正常运行，电源、网络连接等正常。
3. 分析网络流量 ：使用协议分析工具，分析网络流量，查找异常流量和数据包，确定故障的可能原因。
4. 进行测试和验证 ：使用测试工具，如 ping、traceroute 等，测试网络连通性和性能，验证故障的原因。
5. 解决故障 ：根据故障原因，采取相应的解决措施，如调整配置、更换设备、修复漏洞等。
6. 验证修复效果 ：在解决故障后，进行测试和验证，确保 WLAN 恢复正常运行。

以下是一个故障排除步骤的列表总结：
1. 收集故障信息
2. 检查设备状态
3. 分析网络流量
4. 进行测试和验证
5. 解决故障
6. 验证修复效果

六、总结与展望

6.1 总结

无线网络的监控和管理是保障企业 Wi-Fi 安全和性能的重要手段。通过使用安全管理协议、监控工具、检测方法和审计报告等，可以及时发现并处理潜在的安全威胁，确保 WLAN 符合企业的安全策略和法规要求。同时，通过性能优化和故障排除，可以提高 WLAN 的性能和用户体验，保障企业的正常运营。

6.2 展望

随着无线网络技术的不断发展和应用场景的不断拓展，无线网络的安全和管理面临着新的挑战和机遇。未来，我们可以期待以下方面的发展：
- 智能化监控和管理 ：利用人工智能和机器学习技术，实现对 WLAN 的智能化监控和管理，自动识别和处理安全威胁，提高管理效率和准确性。
- 融合安全技术 ：将多种安全技术进行融合，如零信任架构、软件定义网络安全等，构建更加安全可靠的 WLAN 环境。
- 标准化和互操作性 ：推动 WLAN 标准的进一步完善和统一，提高不同厂商设备之间的互操作性，降低管理成本和复杂度。

总之，我们需要不断关注无线网络技术的发展趋势，积极采用新的技术和方法，加强无线网络的监控和管理，为企业的数字化转型提供有力的支持。