降低无线办公网故障次数.docx

降低无线办公网故障次数.docx

《降低无线办公网故障次数.docx》由会员分享，可在线阅读，更多相关《降低无线办公网故障次数.docx（26页珍藏版）》请在冰豆网上搜索。

降低无线办公网故障次数

降低无线办公网故障次数

中国移动通信集团广东有限公司清远分公司

网络先锋QC小组

2010年10月

目录

一、QC小组简介3

二、选题课题3

三、设定目标5

四、目标可行性分析6

五、原因分析7

六、要因确认7

七、对策制定9

八、实施对策10

九、效果检查23

十、巩固措施25

十一、总结与下步打算25

一、QC小组简介

网络先锋QC小组成立于2010年4月，小组成员4人，由清远公司业务支持中心副总经理、经理、规划室多名技术骨干组成，本次主要任务是：

降低无线办公网故障次数。

表1-1QC小组概况制表人：

温绍勇制表日期：

2010.06.01

小组名称

网络先锋小组

课题名称

降低无线办公网故障次数

课题类型

问题型

活动时间

2010.06—2010.10

小组成员及分工

姓名

性别

文化程度

职称

组内职务与分工

王辉

男

硕士

副总经理

顾问

何俊健

男

本科

工程师

组长

周知

男

学士

助理工程师

技术开发、测试

温绍勇

男

本科

助理工程师

资料收集、测试

小组口号

降低无线办公网故障次数，让我们一起行动！

二、选题课题

1、选题理由

表2-1选题理由制表人：

温绍勇制表日期：

2010.06.01

2、名词解释

[WLAN]无线局域网络（WirelessLocalAreaNetworks；WLAN）是相当便利的数据传输系统，它利用射频（RadioFrequency；RF）的技术，取代旧式碍手碍脚的双绞铜线（Coaxial）所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到「信息随身化、便利走天下」的理想境界。

[AP]（AccessPoint）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。

无线AP是移动计算机用户进入有线网络的接入点。

[AC]（AccessController）即无线控制器，用于管理AP的设备。

[RADIUS]RemoteAuthenticationDialInUserService

[SSID]是ServiceSetIdentifier的缩写，即服务集标识。

[非法AP攻击]是指：

在合法AP的有效覆盖区内使用PC搭建一个SSID

频道、WEPKEY相同的AP将会导致无线欺骗/中间人或其它类型的风险。

3、活动计划

表2-3QC活动计划表制表人：

温绍勇制表日期：

2010.06.03

三、设定目标

我们本次活动目标设定为：

将无线办公网故障次数从每月20多次降低到1至2次。

表3-1目标设定图制表人：

温绍勇制表日期：

2010.06.05

四、目标可行性分析

QC小组设定降低无线办公网故障次数步骤为：

1、拆除非法AP

2、使用AC+瘦AP，设定统一模版

3、WLAN用户安装客户端认证软件（自主开发）

4、采用RADUIS服务器+PORTAL服务器结合认证

5、设定自动分频，减少干扰

6、安装WIDS（自由无线入侵检测系统，自主开发）

7、制定无线网络安全管理制度

表4-1可行性分析图制表人：

温绍勇制表日期：

2010.06.06

五、原因分析

小组应用头脑风暴法针对“无线网络出现故障的原因”进行因果分析。

找出9个末端原因，以如分析图呈现：

图5.1造成无线网络故障因素图制图人：

温绍勇时间：

2010.06.08

六、要因确认

要因确认

序号

末端

确认

判别

确认

负责人

完成

是否

因素

方法

标准

情况

日期

要因

1

AC/AP异常

现场检查

AC与AP版本不低于V3.12（设备稳定版本需求）

AC与AP版本V3.22是中兴公司最新发布的稳定版本，设备运行正常，属于稳定状态

温绍勇

2010.6.3

否

2

用户接入数

现场数据检查

每个AP接入用户数<30人（AP正常承载需求）

每个楼层的AP用户接入数少于30人,对无线网络的稳定无影响

周知

2010.6.7

否

3

用户带宽

现场数据分析

无线局域网用户带宽不低于11.0Mbps

AP采用802.11g协议，支持54.0Mbps，用户带宽完全可以满足

何俊健

2010.6.6

否

4

传输链路

现场检查

链路不能损坏，且传输介质要求速率高

AC与核心交换机采用光纤，连接AP采用100M网线，传输链路正常

何俊健

2010.6.12

否

5

负载机制

现场检查

要求每个楼层的AP数>3个,信号覆盖率>80%

现楼层已安装5个AP，信号覆盖率达到95%，对无线网络的稳定无影响

温绍勇

2010.6.12

否

6

用户培训与安全制度

现场对用户调查

用户安全意识需达到二级，需建立无线安全管理制度

用户安全意识缺乏，没有建立完善的无线办公网安全制度

何俊健

2010.6.13

是

7

非法AP

现场检查

公司合法接入之外的AP

公司每个楼层都有私有AP接入，无线信号互相干扰，对无线网络的稳定造成影响

温绍勇

2010.06.14

是

8

信号干扰

现场数据检查

公司规定AP信号值需在-20至-70

楼层部分AP的信号值已低于-70,对无线网络的稳定已造成影响

周知

2010.6.14

是

9

网络攻击

现场分析

无线接入用户发起DDOS或ARP之类

来自无线接入的用户发起ARP欺骗且有大量的UDPflood信息

何俊健

2010.6.20

是

图6.1要因确认表制表人：

温绍勇时间：

2010.06.21

七、对策制定

QC小组针对以上4个要因进行集体分析讨论，制定了如下对策表：

表7-1对策制定表

序号

要因

对策

目标

措施

负责人

地点

时间

1

用户培训与安全制度

组织培训，建立无线办公网安全管理制度

提高用户对无线办公网的技术与安全意识，管理与技术相结合

针对全公司员工进行多次无线办公网技术培训，制定无线办公网安全管理制度

何俊健

业支中心

6.20-7.10

2

非法AP

拆除非法AP

无线办公区域杜绝非法AP接入

1.安装AP探臭软件,找出非法AP

2.安排专门人员每日进行AP探臭

温绍勇

业支中心

6．07－7.15

3

信号干扰

减少信号干扰

各AP之间的信号干扰达到最少范围

1.采用中兴AC+瘦AP统一管理

2.AP设定统一模版不广播SSID

3.设定AP自动分频

周知

业支中心

6.05—7.15

4

网络攻击

采用安全认证机制，部署网络监控软件

没有经过认证的用户，拒绝接入

1.采用RADIUS服务器与PORTAL服务器结合认证

2.自主研发WIDS监控软件，可有效监控无线网络

何俊健

业支中心

8.11-8.13

图7.1对策制定表制表人：

何俊健时间：

2010.06.21

八、实施对策

【实施一】：

用户培训与安全制度

1、2010年6月20日到2010年7月10日，小组成员何俊健组织公司全体员工进行多次无线技术培训。

2．制定无线办公网络管理制度

“三分靠技术，七分靠管理”，将管理手段和技术手段有机结合起来，保证无线网络的安全性。

目前我们已经制定了初步的无线网络安全管理制度，详细的管理制度如下表所示：

序号

管理制度内容

1、

采用端口访问技术（802.1x）进行控制，防止非授权的接入和访问

2、

采用128位WEP加密技术，不使用生产商自带的WEP密钥

3、

对于安全等级要求很高的网络建议采用VPN进行连接

4、

对AP和网卡设置复杂的SSID，并根据需求确定是否需要加载漫游功能与客户端MAC绑定

5、

禁止AP向外广播SSID

6、

修改缺省的AP密码。

如：

Intel的AP的默认密码是字符串“Intel”

7、

部署AP后要在公司办公区域周围进行勘察，防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司外接入网络

8、

禁止员工私自安装AP，无线网络管理员必须定期使用无线扫描软件进行扫描

9、

如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改

10、

配置检测设备检查非法进入公司的2.4G电磁波发生器，防止被干扰和DOS

11、

员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Adhoc网络结构

12、

跟踪无线网络技术，特别是无线网络的发展趋势（如802.11i），对无线网络管理人员进行定期培训

效果检查一：

提高了用户对无线办公网技术的理解与安全意识，将技术手段与管理手段相结合，提高了无线办公网的安全性。

【实施二】：

拆除非法AP

1、安装AP探臭软件,找出非法AP

2010年6月8日，小组成员温绍勇利用WIFIHOPPER探臭软件，在每个楼层进行非法AP检测，并进行拆除。

图实施二AP探臭图截图人：

温绍勇时间：

2010.06.8

2、安排专门人员每日进行AP探臭

在QC小组计划活动期间，成员温绍勇每日在每个楼层进行非法AP检测，并进行拆除。

效果检查二：

2010年7月1日，对每个楼层进行非法AP检测，没有发现非法AP接入，通过一段时间的非法AP拆除，用户反应掉线率低了，每个AP的信号值都稳定在-70至-20之间，达到了不允许非法AP接入的目标了。

【实施三】：

减少信号干扰

1、采用中兴AC+瘦AP统一管理

2010年6月到7月期间，清远公司部署中兴AC+瘦AP，并设定通过AC统一管理AP，AP离线或在线都可以直接通过登录AC设备查看。

图实施三AP管理图截图人：

温绍勇时间：

2010.07.11

2、AP设定统一模版不广播SSID

2010年7月15日，QC成员小组何俊健在AC上设定AP统一配置模版，并设定不广播SSID。

图实施三AP模版设定截图人：

何俊健时间：

2010.07.15

3自动设定AP频道

2010年7月16/17日，QC成员小组周知根据同一个信号覆盖范围内最多容纳3个互不重叠的信（1、6、11）号原则，设定每个楼层AP频道。

图实施二AP频道图截图人：

何俊健时间：

2010.07.18

效果检查三：

根据前阶段的活动实施，无线办公网在6、7、8月份的故障次数明显减少了，实现了阶段性目标。

效果检查三图：

无线办公网故障次数制表人：

温绍勇制表日期：

2010.08.30

【实施四】：

采用安全认证机制，部署网络监控软件

1、采用RADIUS服务器+PORTAL服务器结合认证

1.1自主研发客户端认证软件

1.2采用radius服务器+Portal服务器结合认证

（1）用户访问网站之前需安装客户端认证软件.

（2）用户填入用户名、密码，提交页面，向PortalServer发起连接请求；

（3）PortalServer向AC请求Challenge；

（4）AC分配Challenge给PortalServer；

（5）PortalServer向AC发起认证请求；

（6）而后AC进行RADIUS认证，获得RADIUS认证结果；

（7）AC向PortalServer送认证结果；

（8）PortalServer将认证结果填入页面，和门户网站一起推送给客户；

（9）PortalServer回应确认收到认证结果的报文。

3、部署WIDS监控软件

自主开发研制了无线办公终端自动监控软件WIDS，并部署在无线办公网络环境中，对无线办公网络进行实时监控。

3.1检测对无线局域网进行的底层DoS攻击

研究环境搭建

在企业AP的有效覆盖区内放置WIDS。

攻击者首先会通过扫描的途径获得合法客户端与AP的BSSID，然后通过802.11注入工具发送大量伪造的解除认证帧，由于数据链路层是不提供帧的合法性鉴别的，因此AP会认为是合法客户端主动发起解除认证帧的—AP会进入解除认证‘握手’会话状态，导致合法客户端的正常通信链路中断，我们称这一过程为deauthflood（解除认证帧风暴）。

当发生deauthflood时，WIDS会通过解除认证帧行为的特点（数量，间隔，持续时间）判定这个其是否为攻击，确认时产生报警并反馈给管理员。

研究过程描述

相关攻击及发现的过程简要描述如下：

1．启动WIDS：

2．攻击机打开kismet工具，按空格后进入主视图。

3．选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息：

4．按‘q’回到“选择”的视图，再按‘c’查看到该WLAN内所有的客户端的详细信息：

5．通过扫描工具确认AP与合法无线客户端的BSSID为00:

03:

2F:

18:

4E:

0E与00:

0E:

35:

3B:

B9:

5A

6．在控制台界面使用工具发起工具：

[root@localhostaircrack]#./aireplay-0800-a00:

03:

2F:

18:

4E:

0E-c00:

0E:

35:

3B:

B9:

5Aath0

17:

29:

35SendingDeAuthtostation--STMAC:

[00:

0E:

35:

3B:

B9:

5A]

17:

29:

36SendingDeAuthtostation--STMAC:

[00:

0E:

35:

3B:

B9:

5A]

17:

29:

36SendingDeAuthtostation--STMAC:

[00:

0E:

35:

3B:

B9:

5A]

7．回到WIDS机器，查看报警情况：

[root@alex5root]#cd/var/log/snort

[root@alex5snort]#catdeauthflood.log

08/09-17:

47:

50.904807Deauthfloodreported

Deauthent.0:

3:

2F:

18:

4E:

E->00:

0E:

35:

3B:

B9:

5A

bssid:

0:

3:

2F:

18:

4E:

EFlags:

Re

08/09-17:

47:

50.913816Deauthfloodreported

Deauthent.00:

0E:

35:

3B:

B9:

5A->0:

3:

2F:

18:

4E:

E

bssid:

0:

3:

2F:

18:

4E:

EFlags:

Re

上述的报警日志中显示了两条“双向”的deauthflood记录（客户端与AP间），“bssid”提示本WLAN中的AP的MAC。

研究结论

通过上试测试，WIDS能够发现DOS攻击行为，并对所发起的攻击行为进行报警。

3．2检测到MAC地址欺骗

研究环境搭建

搭建一个企业AP，在AP中设置只有MAC/BSSID地址为A的无线客户端才能与其通信。

在AP的覆盖区内放置一台MAC/BSSID地址为B的无线客户端，使用工具探测出该AP设置“允许连接”的MAC地址值，利用工具将自身的MAC地址修改为该MAC地址值，连通WLAN。

利用在AP覆盖区下的WIDS探测这一过程并及时反馈。

研究过程描述

下面简要描述攻击的发起过程及入侵检测过程：

1．入侵主机运行kismet工具，按回车进入kistmet的panel模式界面：

打开kistmet，我们已经可以看到在这个覆盖区内的802.11信号源了，按空格后进入主视图。

2．选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息：

打开macmakeup工具，在”Selectanadapterfromthelistbelow”的下拉菜单选择你的无线网卡，在Newaddress文本框中输入你要修改的MAC地址，点击Change来确认修改，即完成了非法MAC地址的修改。

3用ifconfig/aLL查看修改了的MAC地址，发现修改后的MAC地址已经存在。

　通过上述数据，WIDS已经发现了修改后的非法MAC地址。

研究结论

通过上述测试，WIDS能够检测到MAC地址欺骗的攻击并进行报警。

九、效果检查

9.1目标实施效果检验

2010年无线办公网故障图制图人：

何俊健时间：

2010年10月

9.2社会效益

“降低无线办公网故障次数”课题的完成后，清远移动无线办公网故障次数与实施前相比大为减少，由每月的20多次减少到每月的1至2次，如图9-2所示。

这主要得力于信号干扰，非法AP，网络攻击，安全认证都得到了良好的控制。

图9-2活动目标达成图

9.3无形效益

通过QC活动，本小组成员在QC水平、学习能力、专业技术、团队意识、安全意识5个方面得到了提高。

十、巩固措施

制定巩固措施

图10-1巩固措施

十一、总结与下步打算

通过对“降低无线办公网故障率”课题的研究，清远QC小组成员科学的运用各种QC工具和方法，同时积极发挥集体智慧和创新能力，取得了丰硕成果，清远移动无线办公网运行稳定，但小组成员发现仍然存在着安全引患，所以下一课题是提高无线办公网安全性。