大型邮件处理场地WLAN安全方案研究

李瑞

摘   要：文章结合邮政企业实际，采用目前主流的成熟技术作为解决方案，介绍了劳动密集型企业、大型邮件处理场地的WLAN安全方案设计，阐述了WLAN安全设计方案的部署和实现，对用户认证和数据加密机制进行了分析，以便更好地保证相关物流数据的安全传输，从而保障日常大批量邮件分拣封发等处理环节稳定、高效地进行。

关键词：无线局域网;WPA2;802.1x;远程用户拨号认证服务

1    中心枢纽邮件处理背景

随着网络购物迅猛发展，快递包裹量也随之增加，作为全国邮政系统二级枢纽中心局，日均处理邮件量达几十万，“双十一”期间达到最高峰，而且逐年大量增加。该中心枢纽采用大平面皮带机分拣矩阵输送分拣封发邮件，邮件信息处理采用手持条形码扫码器（Personal Digital Assistant，PDA）扫描邮件条码。作为劳动密集型邮政企业，在大型邮件处理场地，日常使用上百台PDA同时作业，通过无线局域网（Wireless Local Area Networks，WLAN）链接到邮政企业内部生产网络，并把相关物流数据上传至全国中心服务器。

目前，该枢纽使用无线接入点（Access Point，AP）摩托罗拉6521，并将其中一台AP作为虚拟接入控制器（Access Controller，AC），胖AP不适合大型无线局域网的应用;目前采用的加密方式是WPA/WPA2-PSK，这种认证加密适合小型企业和家庭WiFi用户，不适合大型企业。

目前的部署和加密方式决定了无线网络将面临许多安全问题，已经不适应大型企业的生产作业实际，更不能满足未来淮海地区国际国内邮件交换中心的定位。

2    WLAN安全部署

首先，对WLAN进行安全部署。采用核心交换机旁挂AC，AC+瘦AP是目前无线局域网部署与维护的主流技术。AC负责WLAN的接入控制、对AP的监控、漫游管理和安全控制等，瘦AP只具有加密、射频功能和将有线转换成无线的功能，AP使用POE交换机或POE电源适配器供电。AP必须和AC联动。瘦AP必须在无线控制器AC上注册成功，才能从AC上下载配置与固件升级，从而实现零配置[1]。通过IEEE802.11n标准能够与现有的有线网络进行平滑无缝的链接，支持多入多出（Multiple Input and Multiple Output，MIMO）与正交频分复用（Orthogonal Frequency Division Multiplexing，OFDM），使传输速率得到极大提升。

其次，无线局域网以电磁波为载体，在功率覆盖范围内有条件地对信息进行窃听和干扰[2]。基本做法是关闭服务集标识（Service Set Identifier，SSID）广播、MAC地址绑定、部署防地址解析协议（Address Resolution Protocol，ARP）攻击功能等。例如，为了避免非法用户通过SSID搜索到并建立非法连接，可以禁用AP广播SSID，隐藏无线SSID信息，那么其他用户搜索不到无线信息，通过无线网络的隐蔽性来提高WLAN的安全性。对无线接入终端设备PDA进行IP和MAC绑定过滤，MAC过滤属于硬件认证，而不是用户认证，设置黑白名单后，确保只有在企业注册过的终端设备才能通过这些AP进入企业内部网络。由于接入无线网络用户的多样性和不确定性，有可能出现客户端私设IP地址或者ARP病毒发起ARP攻击的情况，因此，需要部署防ARP攻击功能，解决这些问题，实施包括以下措施：在AC上，开启DHCP snooping，并且配置信任端口;配置ARP防护功能及清除ARP及proxy_arp表。

再次，把PDA作为无线终端，把核心交换机华三S5560设置成本地远程用户拨号认证服务（Remote Authentication Dial In User Service，RADIUS）认证，华三S5560在PDA和认证服务器之间充当代理角色（proxy）。在核心交换机上旁挂一台主用的RADIUS服务器和一台备用的RADIUS服务器，对用户验证的执行顺序可以通过命令行设置。设置RADIUS服务器目的是使用户认证和业务数据分离，安全性提高;对于大规模用户来说，只要管理这台RADIUS服务器即可。

最后，有线网与无线网单独划分子网，并在无线网络和有线网络之间设置防火墙，防止无线网络被入侵后范围扩大;核心交换机上设置访问控制列表，严格控制各子网间访问;部署入侵检测系统，与防火墙联动，这样可以有效阻止内外部的入侵。

3    用户接入认证

为了增强已部署的无线网络安全性，对无线用户的接入加强控制，以限定特定的用户（授权的用户）可以使用网络资源，采用802.1x身份认证+RADIUS认证服务器[3-4]。802.1x系统为Client/Server结构，是一种对用户进行认证的方法和策略，是基于端口的认证策略（可以是物理端口也可以是VLAN一样的逻辑端口，相对于无线局域网“端口”就是一条信道）。它包括3个实体，即请求者系统（Client）、认证系统（如LAN Switch或AP等）和RADIUS。第1步：在客户端PDA上设置802.1x-EAP安全方式，在LAN Switch或AP设备上启动AAA功能、定义验证方法列表、应用验证方法列表等，这时LAN Switch或AP作为RADIUS服务器的客户端，将PDA的认证信息转发给RADIUS服务器。第2步：配置RADIUS相关参数，包含指定RADIUS服务器的IP地址、LAN Switch或AP设备与RADIUS服务器之间的密码等参数，把LAN Switch或AP设备和RADIUS服务器设置成联动模式。第3步：配置授权、记账等相关参数。

802.1x协议是基于用户的访问控制和认证协议的，它可以限制未经授权的用户和设备通过接入端口访问网络。在认证通过之前，802.1x只允许基于局域网的扩展认证协议（Extensible Authentication Protocol over LAN，EAPoL）数据通过设备端口，将用户名和口令传送到后台的RADIUS认证服务器上，如果用户名及口令通过了验证，则相应端口打开，分配无线用户设备IP地址，正常的数据才可以順利地通过端口，用户上线完毕;如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文EAPOL通过。由此构成实现验证（用户是谁？）、授权（用户可以做什么？）、统计（用户做过什么？）功能的AAA系统。RADIUS可以对用户身份进行集中管理，安全性好，策略也更灵活，同时还可以记录用户的网络使用情况用于网管分析。

除了可以为WLAN提供认证安全措施外，802.1x与RADIUS服务器相结合，还可以提供密钥管理功能，使用802.1x周期性地把这些密钥传送给各相关用户，快速重置密钥，架设的RADIUS服务器为Windows 2008 server，以用户名、口令的方式验证无线接入用户。通过接入控制，防止未经授权的用户访问网络，保证了网络的安全性。

4    数据加密传输

在WLAN用户通过认证并赋予访问权限后，网络必须保护用户所传输的数据不被窥视，那就需要对数据报文进行加密，保证只有特定设备可以对接收到的报文成功解密。所以使用WPA2-RADIUS加密技术对数据进行加密，防止被非法截获。

WPA2是经由WiFi联盟验证过的IEEE802.11i標准的认证形式。IEEE802.11i协议标准由上下两个层次组成：上层是802.1x协议和EAP认证协议，提供双向认证和动态密钥管理功能[5];下层是两种改进的加密协议，即TKIP，CCMP，实现数据的加密和安全传输。CCMP采用AES加密算法，彻底解决了WLAN安全性问题，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。对于AES块加密，目前无法破解，非常安全。

和WAP/WPA2-PSK相同的是，WPA2-RADIUS的密钥也随着数据包的不同而变化。但WPA2-RADIUS加密需要一个RADIUS服务器，对用户接入认证就是使用的RADIUS。所以只要配置好它就可以，而且WPA2-RADIUS加密的安全性非常高，很适合大型的企业对无线网络进行安全设置。

5    结语

本文论述了大型邮件处理场地加强WLAN安全性的防护方案，但邮件处理讲究时效性，如果设置部署WLAN策略过多，势必影响到网络的速度，因此，需要平衡安全与效率的问题。同时加强对从业人员使用网络的教育与培训，建立使用网络的安全管理制度，并严格执行，从而为日常大批量邮件分拣封发等处理环节稳定、高效地进行提供网络支撑，有力保证各类KPI的实现。

[参考文献]

[1]杰夫.TCP/IP路由技术[M].葛建立，吴剑章，译.北京：人民邮电出版社，2007.

[2]张路桥.无线网络技术—原理、安全及实践[M].北京：机械工业出版社，2019.

[3]杨哲.无线网络安全攻防实战进阶[M].北京：电子工业出版社，2011.

[4]杨哲.无线网络安全攻防实战[M].北京：电子工业出版社，2008.

[5]加斯特.802.11无线网络权威指南[M].OReilly Taiwan公司，编译.南京：东南大学出版社，2007.