为“全球最受安全威胁的Wi-Fi网络”保驾护航                      

                                                              转自http://www.ruckuswireless.net.cn

   优科无线中国区解决方案总监聂小云

  “全球最受安全威胁的Wi-Fi网络”在哪里？当然是黑客大会上的Wi-Fi网络，特别是美国一年一度的黑帽大会。作为全球的黑客界盛事之一，今年在拉斯维加斯曼德勒海湾举行的美国黑帽大会吸引了大约10,000名喜欢突破挑战的超级黑客怪才。

美国黑帽大会的Wi-Fi网络面临着极大的安全威胁，参会黑客们将实验最新的黑客手段，还可能进行相互攻击。黑帽大会的Wi-Fi供应商面临两个基本挑战：为参会的顶尖黑客们提供高速、高密度的Wi-Fi连接；以及确保Wi-Fi的安全性，防止参会黑客利用Wi-Fi危及整个网络或相互进行攻击。

Ruckus勇于接受挑战，携手一家极富经验的Wi-Fi应用网关供应商RG Nets，共同为美国黑帽大会搭建了几乎牢不可破的网络。

  巧妙的防御策略

  之前，黑帽大会曾使用WPA2预共享密钥(PSK)强化加密，巧妙地将Wi-Fi数据存储在天衣无缝的AES加密外壳里，保证这些数据的安全。但这对于本次参会的顶尖黑客们来说已经不够安全了。

如果黑客知道了PSK，那么只拥有加密的SSID已经远远不够。网络的终端设备依然能够彼此进行通信，可以进行ARP欺骗攻击、广播风暴、DoS网络攻击和漏洞扫描，更不用说偷窥未受保护的服务（如文件共享和远程桌面）。

  无线客户端隔离能够在一定程度上缓解这个问题，但只能在一个AP接入点内实现。像VLAN这样的传统网络分割技术，无法在客户端进行充分隔离。由于Lazy分配算法以及可支持的VLAN数量有限，即使“现代化”VLAN资源池也无法充分减少可在高密度环境下通信的终端设备数量。

实现黑帽大会用户间最高Wi-Fi安全性的理想解决方案，是用唯一的VLAN ID标记每个终端设备的流量，这能够有效地将每个用户放在“独立”网络中。每台设备一个VLAN ID的策略，可防止潜在攻击者通过ARP欺骗、IP地址冲突、恶意DHCP服务器、网络扫描和其它攻击来破坏网络基础架构，并利用无关者攻击其他人。

  眼花缭乱的动态VLAN

   Ruckus携手RG Nets共同搭建了更安全、更可靠的高密度Wi-Fi网络，利用眼花缭乱的动态VLAN分配和路由引擎，为黑帽大会参会者提供成千上万个相互隔离的网络。

这种方式的真正目的不仅是为了尝试和提供安全、高速的Wi-Fi，还要寻找实现802.1X框架自动化的方法。该框架提供AES级加密和认证，同时为每个终端设备或一组终端设备动态分配一个独立的VLAN。

这就需要一组Ruckus WLAN控制器的紧密互通，配置包括了Ruckus SCG以及RG Nets的rXg无线应用网关系统。RG Nets将系统配置为Ruckus SCG和rXg集群之间的防火墙，Ruckus AP连接的有线网络被完全锁定，Ruckus AP的MAC地址OUI被编入rXg系统。

  这种方式确保只有经过授权的Ruckus AP才能使用该有线网络，并与rXg的RADIUS服务器进行通信。通过有线网络路由至外部互联网是完全禁用的，这对于黑帽大会尤为重要。因为人们可以坐在会议区的地板上，拔掉一个AP，然后轻松地通过以太网将笔记本电脑连接到同一个有线网络中。在整个大会期间，被断开的AP都会被主动监测。任何缺失的AP MAC地址都被列入黑名单，防止有人通过欺骗AP的MAC地址访问管理网络。

  步步设防的防御体系

  当任何一位黑帽大会的用户与Ruckus Wi-Fi网络相连，都会从Ruckus服务器向嵌入的rXg系统发出RADIUS 802.1X请求，后者将为每个用户或一小组用户动态分配一个独特的VLAN。之后，无论该用户或该组用户漫游到哪里，VLAN都会跟随他们。除了大量复杂的分组处理事务外，rXg还能支持成千上万个动态VLAN分配，允许每个用户在需要的时候拥有自己的逻辑网络，同时跟踪每个用户及VLAN分配。

Ruckus WLAN控制器配置了802.1X MAC认证，当客户端试图使用预共享密钥访问该Wi-Fi网络时，rXg系统将从WLAN集群收到RADIUS访问请求。该访问请求包含客户端的MAC地址，还有rXg用来分配VLAN标签的其它信息。然后rXg用RADIUS“访问-接受”响应来回应Ruckus控制器，该响应包含每个客户端或每组客户端的VLAN ID。

  Ruckus WLAN控制器利用来自rXg的信息，接受来自客户端的连接，然后每个AP用所分配的VLAN ID来标记客户端流量。所有流量都中继到Ruckus WLAN集群和rXg系统，该架构被证明非常安全和成功，大大减少了在黑帽大会上的被攻击“面积”。即使遭到破坏，黑客将只能看到某个特定VLAN内的用户和服务，而无法看到整个网络。这样每个用户或用户组都拥有自己的虚拟网络，这些虚拟网络将与AES加密一起在空中链路跟随他们。

  为了确保持续的体验、高速的连接及带宽的合理使用，rXg还为每终端设备配置了10Mbps以上及20Mbps以下的带宽队列。此外，rXg集群还用于从公共IP池向黑帽大会提供DHCP，同时控制路由到互联网的流量，并防止黑客们攻击Ruckus的控制器或接入点。

该系统利用经过rXg集群的双SSH隧道(VPN)，通过Wi-Fi网络安全地访问RG Nets和Ruckus管理控制台。SSH也在整个网络上被阻拦，而不是在特定的笔记本电脑。为了安全起见，rXg上还启用了SSH和HTTPS异常检测。

  结果：成功狙击黑客怪才网络攻击

  最终，rXg检测到成百上千次恶意网络扫描和恶意软件的攻击企图，拦截了可能会转变为严重影响网络稳定性的各种恶意事件。这些事件通常意味着多种类型的攻击，特别是DoS网络攻击、ARP欺骗攻击、流量风暴等。

  启发式的基于行为分析的IPS被用来阻止各种恶意活动，rXg的DPI引擎配置了新兴的威胁标签，可检测入侵企图、恶意软件等。在大会结束之前，该网络上产生了近1,000个威胁标签实例，数量远超过其它会议环境。

  大会的AP网络包含大约80个Ruckus 802.11ac 智能Wi-Fi接入点，这些接入点由一组Ruckus SCG控制器进行管理。由于实施了VLAN客户端隔离，该AP网络从未遭受破坏，并且Wi-Fi最终用户之间也没有报告显著的攻击或漏洞。

  本次美国黑帽大会使用的数据量高于典型会议的平均水平。在大会期间，Ruckus Wi-Fi网络经受了超过3TB的流量。其中，SSL流量占数据总使用量的一半以上，原因是许多参会的黑客们都勇于通过Wi-Fi连接外部VPN。

  此外，在大会期间，网络运营团队观察到并发Wi-Fi客户端连接峰值超过了2,300个，某些 AP能够同时承载300个并发用户，而不影响最终的性能。