降低无线办公网故障次数.docx

1、降低无线办公网故障次数降低无线办公网故障次数中国移动通信集团广东有限公司清远分公司网络先锋QC小组2010年10月 目 录一、QC小组简介 3二、选题课题 3三、设定目标 5四、目标可行性分析 6五、原因分析 7六、要因确认 7七、对策制定 9八、实施对策 10九、效果检查 23十、巩固措施 25十一、总结与下步打算 25一、QC小组简介 网络先锋QC小组成立于2010年4月，小组成员4人，由清远公司业务支持中心副总经理、经理、规划室多名技术骨干组成，本次主要任务是：降低无线办公网故障次数。表1-1 QC小组概况 制表人：温绍勇 制表日期：2010.06.01小组名称网络先锋小组课题名称降低无

2、线办公网故障次数课题类型问题型活动时间2010.062010.10小组成员及分工姓 名性别文化程度职称组内职务与分工王 辉男 硕 士副总经理顾 问何俊健男本 科工程师组 长周 知男学 士助理工程师技术开发、测试温绍勇男本 科助理工程师资料收集、测试小组口号降低无线办公网故障次数，让我们一起行动！二、选题课题1、 选题理由表2-1 选题理由 制表人：温绍勇 制表日期：2010.06.012、 名词解释 WLAN 无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚

3、的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到信息随身化、便利走天下的理想境界。AP (Access Point）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点。AC (Access Controller)即无线控制器，用于管理AP的设备。RADIUS Remote Authentication Dial In User ServiceSSID 是Service Set Identifier的缩写，即服务集标识。非法AP攻击是指：在合法AP的有效覆盖区内使用PC搭建一个SSID频

4、道、WEP KEY相同的AP将会导致无线欺骗/中间人或其它类型的风险。3、活动计划 表2-3 QC活动计划表 制表人：温绍勇 制表日期：2010.06.03三、设定目标我们本次活动目标设定为：将无线办公网故障次数从每月20多次降低到1至2次。 表3-1 目标设定图 制表人：温绍勇 制表日期：2010.06.05四、目标可行性分析QC小组设定降低无线办公网故障次数步骤为：1、拆除非法AP2、使用AC+瘦AP，设定统一模版3、WLAN用户安装客户端认证软件（自主开发）4、采用RADUIS服务器+PORTAL服务器结合认证5、设定自动分频，减少干扰6、安装WIDS（自由无线入侵检测系统，自主开发）

5、7、制定无线网络安全管理制度 表4-1 可行性分析图 制表人：温绍勇 制表日期：2010.06.06五、原因分析小组应用头脑风暴法针对“无线网络出现故障的原因”进行因果分析。找出9个末端原因，以如分析图呈现：图 5.1 造成无线网络故障因素图 制图人：温绍勇 时间：2010.06.08 六、要因确认 要因确认序号末端确认判别确认负责人完成是否因素方法标准情况日期要因1AC/AP异常现场检查AC与AP版本不低于V3.12（设备稳定版本需求）AC与AP版本V3.22是中兴公司最新发布的稳定版本，设备运行正常，属于稳定状态温绍勇2010.6.3否2用户接入数现场数据检查每个AP接入用户数3个,信号覆

6、盖率80%现楼层已安装5个AP，信号覆盖率达到95%，对无线网络的稳定无影响温绍勇2010.6.12否6用户培训与安全制度现场对用户调查用户安全意识需达到二级，需建立无线安全管理制度用户安全意识缺乏，没有建立完善的无线办公网安全制度何俊健2010.6.13是7非法AP现场检查公司合法接入之外的AP公司每个楼层都有私有AP接入，无线信号互相干扰，对无线网络的稳定造成影响温绍勇2010.06.14是8信号干扰现场数据检查公司规定AP信号值需在-20至-70楼层部分AP的信号值已低于-70,对无线网络的稳定已造成影响周知2010.6.14是9网络攻击现场分析无线接入用户发起DDOS或ARP之类来自无

7、线接入的用户发起ARP欺骗且有大量的UDP flood信息何俊健 2010.6.20是图 6.1 要因确认表 制表人：温绍勇 时间：2010.06.21七、对策制定QC小组针对以上4个要因进行集体分析讨论，制定了如下对策表：表7-1 对策制定表序号要因对策目标措施负责人地点时间1用户培训与安全制度组织培训，建立无线办公网安全管理制度提高用户对无线办公网的技术与安全意识，管理与技术相结合针对全公司员工进行多次无线办公网技术培训，制定无线办公网安全管理制度何俊健业支中心6.20-7.102非法AP拆除非法AP无线办公区域杜绝非法AP接入1. 安装AP探臭软件,找出非法AP2. 安排专门人员每日进行

8、AP探臭温绍勇业支中心6077.153信号干扰减少信号干扰各AP之间的信号干扰达到最少范围1. 采用中兴AC+瘦AP统一管理2 . AP设定统一模版不广播SSID3. 设定AP自动分频周知业支中心6.057.154网络攻击采用安全认证机制，部署网络监控软件没有经过认证的用户，拒绝接入1. 采用RADIUS服务器与PORTAL服务器结合认证2. 自主研发WIDS监控软件，可有效监控无线网络何俊健业支中心8.11-8.13图 7.1 对策制定表 制表人：何俊健 时间：2010.06.21八、实施对策【实施一】：用户培训与安全制度 1、2010年6月20日到2010年7月10日，小组成员何俊健组织公

9、司全体员工进行多次无线技术培训。 2制定无线办公网络管理制度 “三分靠技术，七分靠管理”，将管理手段和技术手段有机结合起来，保证无线网络的安全性。目前我们已经制定了初步的无线网络安全管理制度，详细的管理制度如下表所示：序号管理制度内容1、采用端口访问技术（802.1x）进行控制，防止非授权的接入和访问2、采用128位WEP加密技术，不使用生产商自带的WEP密钥3、对于安全等级要求很高的网络建议采用VPN进行连接4、对AP和网卡设置复杂的SSID，并根据需求确定是否需要加载漫游功能与客户端MAC绑定5、禁止AP向外广播SSID6、修改缺省的AP密码。如：Intel的AP的默认密码是字符串“Int

10、el”7、部署AP后要在公司办公区域周围进行勘察，防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司外接入网络8、禁止员工私自安装AP，无线网络管理员必须定期使用无线扫描软件进行扫描9、如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改10、配置检测设备检查非法进入公司的2.4G电磁波发生器，防止被干扰和DOS11、员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Ad hoc网络结构12、跟踪无线网络技术，特别是无线网络的发展趋势（如802.11i），对无线网络管理人员进行定期培训效果检查一： 提高了用户对无线办公网技术的理解与安全意

11、识，将技术手段与管理手段相结合，提高了无线办公网的安全性。【实施二】：拆除非法AP1、 安装AP探臭软件,找出非法AP2010年6月8日，小组成员温绍勇利用WIFI HOPPER探臭软件，在每个楼层进行非法AP检测，并进行拆除。 图 实施二 AP 探臭图 截图人：温绍勇 时间：2010.06.82、 安排专门人员每日进行AP探臭在QC小组计划活动期间，成员温绍勇每日在每个楼层进行非法AP检测，并进行拆除。效果检查二：2010年7月1日，对每个楼层进行非法AP检测，没有发现非法AP接入，通过一段时间的非法AP拆除，用户反应掉线率低了，每个AP的信号值都稳定在-70至-20之间，达到了不允许非法A

12、P接入的目标了。【实施三】：减少信号干扰 1、采用中兴AC+瘦AP统一管理 2010年6月到7月期间，清远公司部署中兴AC+瘦AP，并设定通过AC统一管理AP，AP离线或在线都可以直接通过登录AC设备查看。图 实施三 AP管理图 截图人：温绍勇 时间：2010.07.112、AP设定统一模版不广播SSID 2010年7月15日，QC成员小组何俊健在AC上设定AP统一配置模版，并设定不广播SSID。 图 实施三 AP模版设定 截图人：何俊健 时间：2010.07.153 自动设定AP频道2010年7月16/17日，QC成员小组周知根据同一个信号覆盖范围内最多容纳3个互不重叠的信（1、6、11）号

13、原则，设定每个楼层AP频道。图 实施二 AP频道图 截图人：何俊健 时间：2010.07.18效果检查三：根据前阶段的活动实施，无线办公网在6、7、8月份的故障次数明显减少了，实现了阶段性目标。效果检查三图： 无线办公网故障次数 制表人：温绍勇 制表日期：2010.08.30【实施四】：采用安全认证机制，部署网络监控软件 1、采用RADIUS服务器+PORTAL服务器结合认证1.1自主研发客户端认证软件1.2 采用radius服务器+Portal服务器结合认证(1) 用户访问网站之前需安装客户端认证软件.(2) 用户填入用户名、密码，提交页面，向Portal Server发起连接请求；(3)

14、Portal Server向AC请求Challenge；(4) AC分配Challenge给Portal Server；(5) Portal Server向AC发起认证请求；(6) 而后AC进行RADIUS认证，获得RADIUS认证结果；(7) AC向Portal Server送认证结果；(8) Portal Server将认证结果填入页面，和门户网站一起推送给客户；(9) Portal Server回应确认收到认证结果的报文。3、 部署WIDS监控软件 自主开发研制了无线办公终端自动监控软件WIDS，并部署在无线办公网络环境中，对无线办公网络进行实时监控。3.1 检测对无线局域网进行的底层D

15、oS攻击研究环境搭建在企业AP的有效覆盖区内放置WIDS。攻击者首先会通过扫描的途径获得合法客户端与AP的BSSID，然后通过802.11注入工具发送大量伪造的解除认证帧，由于数据链路层是不提供帧的合法性鉴别的，因此AP会认为是合法客户端主动发起解除认证帧的AP会进入解除认证握手会话状态，导致合法客户端的正常通信链路中断，我们称这一过程为deauthflood（解除认证帧风暴）。当发生deauthflood时，WIDS会通过解除认证帧行为的特点（数量，间隔，持续时间）判定这个其是否为攻击，确认时产生报警并反馈给管理员。研究过程描述相关攻击及发现的过程简要描述如下：1 启动WIDS：2 攻击机打

16、开kismet 工具，按空格后进入主视图。3 选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息：4 按q回到“选择”的视图，再按c查看到该WLAN内所有的客户端的详细信息：5 通过扫描工具确认AP与合法无线客户端的BSSID为00:03:2F:18:4E:0E与00:0E:35:3B:B9:5A6 在控制台界面使用工具发起工具：rootlocalhost aircrack# ./aireplay -0 800 -a 00:03:2F:18:4E:0E -c 00:0E:35:3B:B9:5A ath017:29:35 Sending DeAuth to station - STM

17、AC: 00:0E:35:3B:B9:5A17:29:36 Sending DeAuth to station - STMAC: 00:0E:35:3B:B9:5A17:29:36 Sending DeAuth to station - STMAC: 00:0E:35:3B:B9:5A7 回到WIDS机器，查看报警情况：rootalex5 root# cd /var/log/snortrootalex5 snort# cat deauthflood.log08/09-17:47:50.904807 Deauth flood reportedDeauthent. 0:3:2F:18:4E:E -

18、 00:0E:35:3B:B9:5Abssid: 0:3:2F:18:4E:E Flags: Re08/09-17:47:50.913816 Deauth flood reportedDeauthent. 00:0E:35:3B:B9:5A - 0:3:2F:18:4E:Ebssid: 0:3:2F:18:4E:E Flags: Re上述的报警日志中显示了两条“双向”的deauthflood记录（客户端与AP间），“bssid”提示本WLAN中的AP的MAC。研究结论通过上试测试，WIDS能够发现DOS攻击行为，并对所发起的攻击行为进行报警。32检测到MAC地址欺骗研究环境搭建搭建一个企业AP

19、，在AP中设置只有MAC/BSSID地址为A的无线客户端才能与其通信。在AP的覆盖区内放置一台MAC/BSSID地址为B的无线客户端，使用工具探测出该AP设置“允许连接”的MAC地址值，利用工具将自身的MAC地址修改为该MAC地址值，连通WLAN。利用在AP覆盖区下的WIDS探测这一过程并及时反馈。研究过程描述下面简要描述攻击的发起过程及入侵检测过程：1 入侵主机运行kismet工具，按回车进入kistmet的panel模式界面：打开kistmet，我们已经可以看到在这个覆盖区内的802.11信号源了，按空格后进入主视图。2 选中你要查看的条目按回车后就可以获取到该条目所对应的STA信息：打开

20、macmakeup工具，在”Select an adapter from the list below”的下拉菜单选择你的无线网卡，在New address 文本框中输入你要修改的MAC 地址，点击Change来确认修改，即完成了非法MAC地址的修改。3 用ifconfig /aLL查看修改了的MAC地址，发现修改后的MAC地址已经存在。通过上述数据，WIDS已经发现了修改后的非法MAC地址。研究结论通过上述测试，WIDS能够检测到MAC地址欺骗的攻击并进行报警。九、效果检查9.1 目标实施效果检验2010年无线办公网故障图 制图人：何俊健 时间：2010年10月9.2 社会效益“降低无线办公

21、网故障次数”课题的完成后，清远移动无线办公网故障次数与实施前相比大为减少，由每月的20多次减少到每月的1至2次，如图9-2所示。这主要得力于信号干扰，非法AP，网络攻击，安全认证都得到了良好的控制。图9-2 活动目标达成图9.3 无形效益通过QC活动，本小组成员在QC水平、学习能力、专业技术、团队意识、安全意识5个方面得到了提高。十、巩固措施 制定巩固措施 图10-1 巩固措施十一、总结与下步打算 通过对“降低无线办公网故障率”课题的研究，清远QC小组成员科学的运用各种QC工具和方法，同时积极发挥集体智慧和创新能力，取得了丰硕成果，清远移动无线办公网运行稳定，但小组成员发现仍然存在着安全引患，所以下一课题是提高无线办公网安全性。