为“全球最受安全威胁的Wi-Fi网络”保驾护航

优科无线中国区解决方案总监聂小云

“全球最受安全威胁的Wi-Fi网络”在哪里?当然是黑客大会上的Wi-Fi网络,特别是美国一年一度的黑帽大会。作为全球的黑客界盛事之一,今年在拉斯维加斯曼德勒海湾举行的美国黑帽大会吸引了大约10,000名喜欢突破挑战的超级黑客怪才。

美国黑帽大会的Wi-Fi网络面临着极大的安全威胁,参会黑客们将实验最新的黑客手段,还可能进行相互攻击。黑帽大会的Wi-Fi供应商面临两个基本挑战:为参会的顶尖黑客们提供高速、高密度的Wi-Fi连接;以及确保Wi-Fi的安全性,防止参会黑客利用Wi-Fi危及整个网络或相互进行攻击。

Ruckus勇于接受挑战,携手一家极富经验的Wi-Fi应用网关供应商RG Nets,共同为美国黑帽大会搭建了几乎牢不可破的网络。

巧妙的防御策略

之前,黑帽大会曾使用WPA2预共享密钥(PSK)强化加密,巧妙地将Wi-Fi数据存储在天衣无缝的AES加密外壳里,保证这些数据的安全。但这对于本次参会的顶尖黑客们来说已经不够安全了。

如果黑客知道了PSK,那么只拥有加密的SSID已经远远不够。网络的终端设备依然能够彼此进行通信,可以进行ARP欺骗攻击、广播风暴、DoS网络攻击和漏洞扫描,更不用说偷窥未受保护的服务(如文件共享和远程桌面)。

无线客户端隔离能够在一定程度上缓解这个问题,但只能在一个AP接入点内实现。像VLAN这样的传统网络分割技术,无法在客户端进行充分隔离。由于Lazy分配算法以及可支持的VLAN数量有限,即使“现代化”VLAN资源池也无法充分减少可在高密度环境下通信的终端设备数量。

实现黑帽大会用户间最高Wi-Fi安全性的理想解决方案,是用唯一的VLAN ID标记每个终端设备的流量,这能够有效地将每个用户放在“独立”网络中。每台设备一个VLAN ID的策略,可防止潜在攻击者通过ARP欺骗、IP地址冲突、恶意DHCP服务器、网络扫描和其它攻击来破坏网络基础架构,并利用无关者攻击其他人。

眼花缭乱的动态VLAN

Ruckus携手RG Nets共同搭建了更安全、更可靠的高密度Wi-Fi网络,利用眼花缭乱的动态VLAN分配和路由引擎,为黑帽大会参会者提供成千上万个相互隔离的网络。

这种方式的真正目的不仅是为了尝试和提供安全、高速的Wi-Fi,还要寻找实现802.1X框架自动化的方法。该框架提供AES级加密和认证,同时为每个终端设备或一组终端设备动态分配一个独立的VLAN。

这就需要一组Ruckus WLAN控制器的紧密互通,配置包括了Ruckus SCG以及RG Nets的rXg无线应用网关系统。RG Nets将系统配置为Ruckus SCG和rXg集群之间的防火墙,Ruckus AP连接的有线网络被完全锁定,Ruckus AP的MAC地址OUI被编入rXg系统。

这种方式确保只有经过授权的Ruckus AP才能使用该有线网络,并与rXg的RADIUS服务器进行通信。通过有线网络路由至外部互联网是完全禁用的,这对于黑帽大会尤为重要。因为人们可以坐在会议区的地板上,拔掉一个AP,然后轻松地通过以太网将笔记本电脑连接到同一个有线网络中。在整个大会期间,被断开的AP都会被主动监测。任何缺失的AP MAC地址都被列入黑名单,防止有人通过欺骗AP的MAC地址访问管理网络。

步步设防的防御体系

当任何一位黑帽大会的用户与Ruckus Wi-Fi网络相连,都会从Ruckus服务器向嵌入的rXg系统发出RADIUS 802.1X请求,后者将为每个用户或一小组用户动态分配一个独特的VLAN。之后,无论该用户或该组用户漫游到哪里,VLAN都会跟随他们。除了大量复杂的分组处理事务外,rXg还能支持成千上万个动态VLAN分配,允许每个用户在需要的时候拥有自己的逻辑网络,同时跟踪每个用户及VLAN分配。

Ruckus WLAN控制器配置了802.1X MAC认证,当客户端试图使用预共享密钥访问该Wi-Fi网络时,rXg系统将从WLAN集群收到RADIUS访问请求。该访问请求包含客户端的MAC地址,还有rXg用来分配VLAN标签的其它信息。然后rXg用RADIUS“访问-接受”响应来回应Ruckus控制器,该响应包含每个客户端或每组客户端的VLAN ID。

Ruckus WLAN控制器利用来自rXg的信息,接受来自客户端的连接,然后每个AP用所分配的VLAN ID来标记客户端流量。所有流量都中继到Ruckus WLAN集群和rXg系统,该架构被证明非常安全和成功,大大减少了在黑帽大会上的被攻击“面积”。即使遭到破坏,黑客将只能看到某个特定VLAN内的用户和服务,而无法看到整个网络。这样每个用户或用户组都拥有自己的虚拟网络,这些虚拟网络将与AES加密一起在空中链路跟随他们。

为了确保持续的体验、高速的连接及带宽的合理使用,rXg还为每终端设备配置了10Mbps以上及20Mbps以下的带宽队列。此外,rXg集群还用于从公共IP池向黑帽大会提供DHCP,同时控制路由到互联网的流量,并防止黑客们攻击Ruckus的控制器或接入点。

该系统利用经过rXg集群的双SSH隧道(VPN),通过Wi-Fi网络安全地访问RG Nets和Ruckus管理控制台。SSH也在整个网络上被阻拦,而不是在特定的笔记本电脑。为了安全起见,rXg上还启用了SSH和HTTPS异常检测。

结果:成功狙击黑客怪才网络攻击

最终,rXg检测到成百上千次恶意网络扫描和恶意软件的攻击企图,拦截了可能会转变为严重影响网络稳定性的各种恶意事件。这些事件通常意味着多种类型的攻击,特别是DoS网络攻击、ARP欺骗攻击、流量风暴等。

启发式的基于行为分析的IPS被用来阻止各种恶意活动,rXg的DPI引擎配置了新兴的威胁标签,可检测入侵企图、恶意软件等。在大会结束之前,该网络上产生了近1,000个威胁标签实例,数量远超过其它会议环境。

大会的AP网络包含大约80个Ruckus 802.11ac 智能Wi-Fi接入点,这些接入点由一组Ruckus SCG控制器进行管理。由于实施了VLAN客户端隔离,该AP网络从未遭受破坏,并且Wi-Fi最终用户之间也没有报告显著的攻击或漏洞。

本次美国黑帽大会使用的数据量高于典型会议的平均水平。在大会期间,Ruckus Wi-Fi网络经受了超过3TB的流量。其中,SSL流量占数据总使用量的一半以上,原因是许多参会的黑客们都勇于通过Wi-Fi连接外部VPN。

此外,在大会期间,网络运营团队观察到并发Wi-Fi客户端连接峰值超过了2,300个,某些 AP能够同时承载300个并发用户,而不影响最终的性能。

毫无疑问,经受住了本次美国黑帽大会考验的Ruckus,已经被盛情邀请再次参加。

我们明年见!

欲了解更多信息,请关注优科无线的LinkedIn新浪微博,了解优科无线最新动态。或扫描下方二维码关注优科无线官方微信。

媒体联系
王炯
美国优科无线公司 中国区市场经理

关于优科无线公司(RUCKUS WIRELESS)

优科无线公司为全球超过61,000家企业、服务提供商、政府和中小企业客户简化最智能的无线,提供更好的无线服务。公司专注于技术创新,合作伙伴生态系统和客户服务,为最具挑战性的室内和室外环境提供最好的无线体验。Ruckus智能Wi-Fi平台提供可扩展的、高性能Wi-Fi,其进行本地和基于云的Wi-Fi部署时仅需简化的控制和管理。此外,Ruckus还提供一系列新服务,包括安全登录、策略管理以及有助于新业务机会的位置服务和分析。