降低无线办公网故障次数Word文件下载.docx
《降低无线办公网故障次数Word文件下载.docx》由会员分享,可在线阅读,更多相关《降低无线办公网故障次数Word文件下载.docx(26页珍藏版)》请在冰豆网上搜索。
职称
组内职务与分工
王辉
男
硕士
副总经理
顾问
何俊健
本科
工程师
组长
周知
学士
助理工程师
技术开发、测试
温绍勇
资料收集、测试
小组口号
降低无线办公网故障次数,让我们一起行动!
二、选题课题
1、选题理由
表2-1选题理由制表人:
2、名词解释
[WLAN]无线局域网络(WirelessLocalAreaNetworks;
WLAN)是相当便利的数据传输系统,它利用射频(RadioFrequency;
RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界。
[AP](AccessPoint)即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心。
无线AP是移动计算机用户进入有线网络的接入点。
[AC](AccessController)即无线控制器,用于管理AP的设备。
[RADIUS]RemoteAuthenticationDialInUserService
[SSID]是ServiceSetIdentifier的缩写,即服务集标识。
[非法AP攻击]是指:
在合法AP的有效覆盖区内使用PC搭建一个SSID
频道、WEPKEY相同的AP将会导致无线欺骗/中间人或其它类型的风险。
3、活动计划
表2-3QC活动计划表制表人:
2010.06.03
三、设定目标
我们本次活动目标设定为:
将无线办公网故障次数从每月20多次降低到1至2次。
表3-1目标设定图制表人:
2010.06.05
四、目标可行性分析
QC小组设定降低无线办公网故障次数步骤为:
1、拆除非法AP
2、使用AC+瘦AP,设定统一模版
3、WLAN用户安装客户端认证软件(自主开发)
4、采用RADUIS服务器+PORTAL服务器结合认证
5、设定自动分频,减少干扰
6、安装WIDS(自由无线入侵检测系统,自主开发)
7、制定无线网络安全管理制度
表4-1可行性分析图制表人:
2010.06.06
五、原因分析
小组应用头脑风暴法针对“无线网络出现故障的原因”进行因果分析。
找出9个末端原因,以如分析图呈现:
图5.1造成无线网络故障因素图制图人:
温绍勇时间:
2010.06.08
六、要因确认
要因确认
序号
末端
确认
判别
负责人
完成
是否
因素
方法
标准
情况
日期
要因
1
AC/AP异常
现场检查
AC与AP版本不低于V3.12(设备稳定版本需求)
AC与AP版本V3.22是中兴公司最新发布的稳定版本,设备运行正常,属于稳定状态
2010.6.3
否
2
用户接入数
现场数据检查
每个AP接入用户数<
30人(AP正常承载需求)
每个楼层的AP用户接入数少于30人,对无线网络的稳定无影响
周知
2010.6.7
3
用户带宽
现场数据分析
无线局域网用户带宽不低于11.0Mbps
AP采用802.11g协议,支持54.0Mbps,用户带宽完全可以满足
2010.6.6
4
传输链路
链路不能损坏,且传输介质要求速率高
AC与核心交换机采用光纤,连接AP采用100M网线,传输链路正常
2010.6.12
5
负载机制
要求每个楼层的AP数>
3个,信号覆盖率>
80%
现楼层已安装5个AP,信号覆盖率达到95%,对无线网络的稳定无影响
6
用户培训与安全制度
现场对用户调查
用户安全意识需达到二级,需建立无线安全管理制度
用户安全意识缺乏,没有建立完善的无线办公网安全制度
2010.6.13
是
7
非法AP
公司合法接入之外的AP
公司每个楼层都有私有AP接入,无线信号互相干扰,对无线网络的稳定造成影响
2010.06.14
8
信号干扰
公司规定AP信号值需在-20至-70
楼层部分AP的信号值已低于-70,对无线网络的稳定已造成影响
2010.6.14
9
网络攻击
现场分析
无线接入用户发起DDOS或ARP之类
来自无线接入的用户发起ARP欺骗且有大量的UDPflood信息
何俊健
2010.6.20
图6.1要因确认表制表人:
2010.06.21
七、对策制定
QC小组针对以上4个要因进行集体分析讨论,制定了如下对策表:
表7-1对策制定表
对策
目标
措施
地点
时间
组织培训,建立无线办公网安全管理制度
提高用户对无线办公网的技术与安全意识,管理与技术相结合
针对全公司员工进行多次无线办公网技术培训,制定无线办公网安全管理制度
业支中心
6.20-7.10
拆除非法AP
无线办公区域杜绝非法AP接入
1.安装AP探臭软件,找出非法AP
2.安排专门人员每日进行AP探臭
6.07-7.15
减少信号干扰
各AP之间的信号干扰达到最少范围
1.采用中兴AC+瘦AP统一管理
2.AP设定统一模版不广播SSID
3.设定AP自动分频
6.05—7.15
采用安全认证机制,部署网络监控软件
没有经过认证的用户,拒绝接入
1.采用RADIUS服务器与PORTAL服务器结合认证
2.自主研发WIDS监控软件,可有效监控无线网络
8.11-8.13
图7.1对策制定表制表人:
何俊健时间:
八、实施对策
【实施一】:
1、2010年6月20日到2010年7月10日,小组成员何俊健组织公司全体员工进行多次无线技术培训。
2.制定无线办公网络管理制度
“三分靠技术,七分靠管理”,将管理手段和技术手段有机结合起来,保证无线网络的安全性。
目前我们已经制定了初步的无线网络安全管理制度,详细的管理制度如下表所示:
管理制度内容
1、
采用端口访问技术(802.1x)进行控制,防止非授权的接入和访问
2、
采用128位WEP加密技术,不使用生产商自带的WEP密钥
3、
对于安全等级要求很高的网络建议采用VPN进行连接
4、
对AP和网卡设置复杂的SSID,并根据需求确定是否需要加载漫游功能与客户端MAC绑定
5、
禁止AP向外广播SSID
6、
修改缺省的AP密码。
如:
Intel的AP的默认密码是字符串“Intel”
7、
部署AP后要在公司办公区域周围进行勘察,防止AP的覆盖范围超出办公区域,同时要让保安人员在公司附近进行巡查,防止外部人员在公司外接入网络
8、
禁止员工私自安装AP,无线网络管理员必须定期使用无线扫描软件进行扫描
9、
如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改
10、
配置检测设备检查非法进入公司的2.4G电磁波发生器,防止被干扰和DOS
11、
员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Adhoc网络结构
12、
跟踪无线网络技术,特别是无线网络的发展趋势(如802.11i),对无线网络管理人员进行定期培训
效果检查一:
提高了用户对无线办公网技术的理解与安全意识,将技术手段与管理手段相结合,提高了无线办公网的安全性。
【实施二】:
1、安装AP探臭软件,找出非法AP
2010年6月8日,小组成员温绍勇利用WIFIHOPPER探臭软件,在每个楼层进行非法AP检测,并进行拆除。
图实施二AP探臭图截图人:
2010.06.8
2、安排专门人员每日进行AP探臭
在QC小组计划活动期间,成员温绍勇每日在每个楼层进行非法AP检测,并进行拆除。
效果检查二:
2010年7月1日,对每个楼层进行非法AP检测,没有发现非法AP接入,通过一段时间的非法AP拆除,用户反应掉线率低了,每个AP的信号值都稳定在-70至-20之间,达到了不允许非法AP接入的目标了。
【实施三】:
1、采用中兴AC+瘦AP统一管理
2010年6月到7月期间,清远公司部署中兴AC+瘦AP,并设定通过AC统一管理AP,AP离线或在线都可以直接通过登录AC设备查看。
图实施三AP管理图截图人:
2010.07.11
2、AP设定统一模版不广播SSID
2010年7月15日,QC成员小组何俊健在AC上设定AP统一配置模版,并设定不广播SSID。
图实施三AP模版设定截图人:
2010.07.15
3自动设定AP频道
2010年7月16/17日,QC成员小组周知根据同一个信号覆盖范围内最多容纳3个互不重叠的信(1、6、11)号原则,设定每个楼层AP频道。
图实施二AP频道图截图人:
2010.07.18
效果检查三:
根据前阶段的活动实施,无线办公网在6、7、8月份的故障次数明显减少了,实现了阶段性目标。
效果检查三图:
无线办公网故障次数制表人:
2010.08.30
【实施四】:
1、采用RADIUS服务器+PORTAL服务器结合认证
1.1自主研发客户端认证软件
1.2采用radius服务器+Portal服务器结合认证
(1)用户访问网站之前需安装客户端认证软件.
(2)用户填入用户名、密码,提交页面,向PortalServer发起连接请求;
(3)PortalServer向AC请求Challenge;
(4)AC分配Challenge给PortalServer;
(5)PortalServer向AC发起认证请求;
(6)而后AC进行RADIUS认证,获得RADIUS认证结果;
(7)AC向PortalServer送认证结果;
(8)PortalServer将认证结果填入页面,和门户网站一起推送给客户;
(9)PortalServer回应确认收到认证结果的报文。
3、部署WIDS监控软件
自主开发研制了无线办公终端自动监控软件WIDS,并部署在无线办公网络环境中,对无线办公网络进行实时监控。
3.1检测对无线局域网进行的底层DoS攻击
研究环境搭建
在企业AP的有效覆盖区内放置WIDS。
攻击者首先会通过扫描的途径获得合法客户端与AP的BSSID,然后通过802.11注入工具发送大量伪造的解除认证帧,由于数据链路层是不提供帧的合法性鉴别的,因此AP会认为是合法客户端主动发起解除认证帧的—AP会进入解除认证‘握手’会话状态,导致合法客户端的正常通信链路中断,我们称这一过程为deauthflood(解除认证帧风暴)。
当发生deauthflood时,WIDS会通过解除认证帧行为的特点(数量,间隔,持续时间)判定这个其是否为攻击,确认时产生报警并反馈给管理员。
研究过程描述
相关攻击及发现的过程简要描述如下:
1.启动WIDS:
2.攻击机打开kismet工具,按空格后进入主视图。
3.选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息:
4.按‘q’回到“选择”的视图,再按‘c’查看到该WLAN内所有的客户端的详细信息:
5.通过扫描工具确认AP与合法无线客户端的BSSID为00:
03:
2F:
18:
4E:
0E与00:
0E:
35:
3B:
B9:
5A
6.在控制台界面使用工具发起工具:
[root@localhostaircrack]#./aireplay-0800-a00:
0E-c00:
5Aath0
17:
29:
35SendingDeAuthtostation--STMAC:
[00:
5A]
36SendingDeAuthtostation--STMAC:
7.回到WIDS机器,查看报警情况:
[root@alex5root]#cd/var/log/snort
[root@alex5snort]#catdeauthflood.log
08/09-17:
47:
50.904807Deauthfloodreported
Deauthent.0:
3:
E->
00:
bssid:
0:
EFlags:
Re
50.913816Deauthfloodreported
Deauthent.00:
5A->
E
上述的报警日志中显示了两条“双向”的deauthflood记录(客户端与AP间),“bssid”提示本WLAN中的AP的MAC。
研究结论
通过上试测试,WIDS能够发现DOS攻击行为,并对所发起的攻击行为进行报警。
3.2检测到MAC地址欺骗
搭建一个企业AP,在AP中设置只有MAC/BSSID地址为A的无线客户端才能与其通信。
在AP的覆盖区内放置一台MAC/BSSID地址为B的无线客户端,使用工具探测出该AP设置“允许连接”的MAC地址值,利用工具将自身的MAC地址修改为该MAC地址值,连通WLAN。
利用在AP覆盖区下的WIDS探测这一过程并及时反馈。
下面简要描述攻击的发起过程及入侵检测过程:
1.入侵主机运行kismet工具,按回车进入kistmet的panel模式界面:
打开kistmet,我们已经可以看到在这个覆盖区内的802.11信号源了,按空格后进入主视图。
2.选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息:
打开macmakeup工具,在”Selectanadapterfromthelistbelow”的下拉菜单选择你的无线网卡,在Newaddress文本框中输入你要修改的MAC地址,点击Change来确认修改,即完成了非法MAC地址的修改。
3用ifconfig/aLL查看修改了的MAC地址,发现修改后的MAC地址已经存在。
通过上述数据,WIDS已经发现了修改后的非法MAC地址。
通过上述测试,WIDS能够检测到MAC地址欺骗的攻击并进行报警。
九、效果检查
9.1目标实施效果检验
2010年无线办公网故障图制图人:
9.2社会效益
“降低无线办公网故障次数”课题的完成后,清远移动无线办公网故障次数与实施前相比大为减少,由每月的20多次减少到每月的1至2次,如图9-2所示。
这主要得力于信号干扰,非法AP,网络攻击,安全认证都得到了良好的控制。
图9-2活动目标达成图
9.3无形效益
通过QC活动,本小组成员在QC水平、学习能力、专业技术、团队意识、安全意识5个方面得到了提高。
十、巩固措施
制定巩固措施
图10-1巩固措施
十一、总结与下步打算
通过对“降低无线办公网故障率”课题的研究,清远QC小组成员科学的运用各种QC工具和方法,同时积极发挥集体智慧和创新能力,取得了丰硕成果,清远移动无线办公网运行稳定,但小组成员发现仍然存在着安全引患,所以下一课题是提高无线办公网安全性。
升级会员 