2中國(guó)WLAN 進(jìn)入真正的新一輪的5 年高速成長(zhǎng)期
WLAN作為移動(dòng)通信的必要補(bǔ)充,契合十二五戰(zhàn)略性新興信息產(chǎn)業(yè)在寬帶���、泛在���、融合、安全上的內(nèi)在要求����。運(yùn)營(yíng)商、駐地網(wǎng)和家庭網(wǎng)絡(luò)三駕馬車起頭并進(jìn)����,推動(dòng)中國(guó)WLAN進(jìn)入真正的高速成長(zhǎng)期。未來(lái) 5 年WLAN將在中國(guó)家庭�、辦公樓、學(xué)校和公共區(qū)域快速普及�。
3伴隨噴薄的市場(chǎng)需求,WLAN安全將打開(kāi)移動(dòng)互聯(lián)增值服務(wù)的藍(lán)海未來(lái)
全球移動(dòng)通信流量每年暴增,WLAN移動(dòng)數(shù)據(jù)分流作用不斷提升�,WiFi在移動(dòng)終端的滲透率不斷提升,WLAN的市場(chǎng)需求正在井噴�����,同時(shí)WLAN將打開(kāi)移動(dòng)互聯(lián)增值服務(wù)的藍(lán)海未來(lái)。
WLAN 不僅是互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)重要的接入融合點(diǎn)����,更是重要的業(yè)務(wù)融合點(diǎn)。移動(dòng)增值服務(wù)最大的市場(chǎng)桎梏在于高昂的流量費(fèi)和有限且受限的支付通道�。WLAN 不僅從需求和供給上同時(shí)破局,還創(chuàng)造出LBS�、廣告推送、VoWiFi�����、無(wú)線流媒體和無(wú)線監(jiān)控等創(chuàng)新融合方案,WLAN安全的保障將打開(kāi)移動(dòng)增值服務(wù)的藍(lán)海未來(lái)���。
WLAN面臨的安全風(fēng)險(xiǎn)及危害
WLAN系統(tǒng)面臨的風(fēng)險(xiǎn)包括資源耗盡風(fēng)險(xiǎn)�、無(wú)AP關(guān)聯(lián)認(rèn)證風(fēng)險(xiǎn)���、無(wú)加密的空中信息傳輸泄密風(fēng)險(xiǎn)��、來(lái)自客戶端的攻擊等各類可能引發(fā)WLAN系統(tǒng)不可用 風(fēng)險(xiǎn)��、系統(tǒng)服務(wù)質(zhì)量下降��、無(wú)線頻譜干擾風(fēng)險(xiǎn)�、空中中間人攻擊風(fēng)險(xiǎn)、非法廣播信息風(fēng)險(xiǎn)����、客戶信息泄密風(fēng)險(xiǎn)等。從用戶的安全運(yùn)營(yíng)角度���,我們對(duì)WLAN面臨的安 全風(fēng)險(xiǎn)進(jìn)行了分類如下:
業(yè)務(wù)濫用,流量盜用風(fēng)險(xiǎn)
在大量的WLAN系統(tǒng)中���,都存在繞過(guò)驗(yàn)證portal認(rèn)證機(jī)制免費(fèi)使用WLAN流量上網(wǎng)的問(wèn)題��。
同時(shí)部分用戶的上網(wǎng)認(rèn)證密碼非常簡(jiǎn)單�,也可能導(dǎo)致盜用上網(wǎng)的風(fēng)險(xiǎn)存在�����。在實(shí)際的網(wǎng)絡(luò)當(dāng)中��,還存在重置密碼過(guò)于簡(jiǎn)單的問(wèn)題導(dǎo)致盜用上網(wǎng)的風(fēng)險(xiǎn)存在����。
通過(guò)欺騙及非授權(quán)攻擊��,前一用戶離開(kāi)后��,后一用戶采用修改MAC及IP地址的方法繼續(xù)訪問(wèn)網(wǎng)絡(luò)��。并偽造DHCP續(xù)租盜用上網(wǎng)��。
基于session hijacking的盜取服務(wù)攻擊���。
網(wǎng)絡(luò)服務(wù)不可用風(fēng)險(xiǎn)
WLAN系統(tǒng)是指應(yīng)用無(wú)線通信技術(shù)為用戶提供高速而穩(wěn)定的無(wú)線連接,保障網(wǎng)絡(luò)的可用性至關(guān)重要����。在實(shí)際的系統(tǒng)當(dāng)中可能存在以下問(wèn)題都會(huì)致使網(wǎng)絡(luò)不可用,這里主要包括惡意的或非惡意的拒絕服務(wù)攻擊�。
惡意的拒絕服務(wù)攻擊包括:
BeaconFlood —無(wú)線SSID干擾攻擊
Authentication DoS — DHCP地址耗盡攻擊
Deauthentication/Disassociation Amok —指定用戶斷線攻擊。
無(wú)惡意的拒絕服務(wù)攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒后���,對(duì)WLAN核心網(wǎng)發(fā)動(dòng)的拒絕服務(wù)攻擊等�����。
在AC運(yùn)營(yíng)過(guò)程中����,可能會(huì)遭受網(wǎng)絡(luò)環(huán)路,而產(chǎn)生大量的廣播報(bào)文對(duì)AC形成威脅�����,這將直接導(dǎo)致AC所管理的AP全部掉線�����。
對(duì)于AC的攻擊��,由于我們的網(wǎng)絡(luò)是無(wú)線的�����,任何人都可以很輕松的接入網(wǎng)絡(luò)�,一臺(tái)AC通常管理1000~2000個(gè)AP���,一旦AC被攻破��,那么將直接導(dǎo)致所有AP全部掉線�����。因此對(duì)AC的攻擊威脅較大��。
用戶信息被盜用風(fēng)險(xiǎn)
由于在無(wú)線環(huán)境下中間人攻擊����、釣魚(yú)攻擊、sniffer會(huì)變得更為容易����,對(duì)于AP及用戶的攻擊除會(huì)造成用戶無(wú)法接入網(wǎng)絡(luò)以外,用戶的數(shù)據(jù)也得不到安 全保證��,特別是用戶登錄無(wú)線網(wǎng)絡(luò)的認(rèn)證信息����。用戶在使用無(wú)線網(wǎng)絡(luò)的時(shí)候,存在以下安全威脅都可能導(dǎo)致用戶的重要信息被獲取,包括
無(wú)線釣魚(yú)����,獲取敏感信息
無(wú)線網(wǎng)絡(luò)監(jiān)聽(tīng)、無(wú)線網(wǎng)絡(luò)嗅探攻擊
無(wú)線破解攻擊:WEP的破解���、WPA的破解
專有設(shè)備被利用風(fēng)險(xiǎn)
AP�����、AC設(shè)備由于配置不嚴(yán)格�����,存在弱口令或者其他安全隱患都有可能導(dǎo)致設(shè)備別非法控制�����,從而出現(xiàn)斷網(wǎng)的風(fēng)險(xiǎn)���。
同時(shí)portal系統(tǒng)也可能存在sql注入漏洞�、web上傳漏洞等常見(jiàn)的web漏洞致使系統(tǒng)被攻擊的風(fēng)險(xiǎn)�����。
WLAN網(wǎng)絡(luò)目前存在大量網(wǎng)絡(luò)���、應(yīng)用漏洞,且面向互聯(lián)網(wǎng)開(kāi)放��,易被互聯(lián)網(wǎng)黑客所利用����。WLAN網(wǎng)絡(luò)的重要性與當(dāng)前安全水平極不匹配。
依據(jù)WLAN網(wǎng)絡(luò)結(jié)構(gòu),出現(xiàn)在AP側(cè)�、AC側(cè)、網(wǎng)絡(luò)設(shè)備側(cè)�����、AAA(包括Portal和Radius設(shè)備)側(cè)易出現(xiàn)的風(fēng)險(xiǎn)用表格方式總結(jié)如下:
各安全風(fēng)險(xiǎn)在網(wǎng)絡(luò)結(jié)構(gòu)中的分布如下圖:
WLAN安全防護(hù)體系框架
基于相關(guān)的安全理論模型�����,借鑒目前IT行業(yè)的系統(tǒng)分層結(jié)構(gòu)����,我們提出了WLAN安全防護(hù)體系框架,用以指導(dǎo)WLAN安全建設(shè)工作�。
對(duì)WLAN進(jìn)行安全域劃分,根據(jù)安全域劃分原則和網(wǎng)絡(luò)優(yōu)化和邊界整合策略�����,經(jīng)過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)流分析�����,WLAN認(rèn)證系統(tǒng)的安全域�,可以劃分以下安全域����,按重要性從高至低分別為:
認(rèn)證鑒權(quán)區(qū)域:認(rèn)證鑒權(quán)區(qū)域主要包含radius�、Portal服務(wù)器等?��?梢赃M(jìn)一步細(xì)分為radius應(yīng)用服務(wù)器區(qū)��、Portal服務(wù)器區(qū)�����、數(shù)據(jù)庫(kù)服務(wù)器區(qū)�����。
接入控制區(qū)域:接入控制區(qū)域主要AC�����、防火墻等設(shè)備���。
熱點(diǎn)接入?yún)^(qū)域:AP��、接入終端等。
WLAN系統(tǒng)自身滿足如下四個(gè)方面要求:帳號(hào)口令��、日志審計(jì)����、數(shù)據(jù)加密等安全功能要求;口令強(qiáng)度、應(yīng)用中安全相關(guān)用戶缺省配置等安全配置要求;避免緩沖區(qū)溢出����、注入攻擊等缺陷的軟件代碼安全要求;確保業(yè)務(wù)流程各環(huán)節(jié)(邏輯)安全的機(jī)制要求。
在安全域劃分的基礎(chǔ)上�,結(jié)合WLAN網(wǎng)絡(luò)的特定安全需求,有選擇的部署WLAN應(yīng)用防火墻���、WLANIDS��、web防護(hù)等各類基礎(chǔ)安全技術(shù)防護(hù)手 段���。為了滿足集中運(yùn)維的需要,各類基礎(chǔ)安全技術(shù)防護(hù)手段應(yīng)支持集中監(jiān)控���。同時(shí)�����,各類基礎(chǔ)安全技術(shù)防護(hù)手段應(yīng)具備完成信息安全管理功能所必須的接口��。
WLAN網(wǎng)絡(luò)管理應(yīng)根據(jù)“集中監(jiān)控��、集中維護(hù)��、集中管理”的原則�,對(duì)異地多廠商環(huán)境下的WLAN網(wǎng)元和網(wǎng)絡(luò)進(jìn)行集中統(tǒng)一的監(jiān)控管理與操作維護(hù),對(duì)設(shè)備性能參數(shù)和業(yè)務(wù)流量進(jìn)行在線統(tǒng)計(jì)和分析�,以保證WLAN承載的無(wú)線數(shù)據(jù)業(yè)務(wù)的有效開(kāi)展.
WLAN安全運(yùn)營(yíng)的關(guān)鍵點(diǎn)
(1)WLAN專有的安全防護(hù)措施建設(shè)
WLAN業(yè)務(wù)系統(tǒng)既有通用IT基礎(chǔ)設(shè)施承載相關(guān)應(yīng)用,又有其特有的專用設(shè)備�、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程。一般的安全防護(hù)是基于基礎(chǔ)IT設(shè)備評(píng)估的體 系��,缺乏對(duì)應(yīng)用層��、通信業(yè)務(wù)的全面評(píng)估和加固防護(hù)手段����,無(wú)法應(yīng)對(duì)日新月異的WLAN業(yè)務(wù)系統(tǒng)安全威脅。傳統(tǒng)安全管理��、安全和技術(shù)措施無(wú)法滿足新的業(yè)務(wù)安全 需求�,存在明顯空白薄弱點(diǎn)。
WLAN安全應(yīng)該涵蓋從AP�����、AC�����、Portal�、Radius、防火墻�����、交換機(jī)���、操作系統(tǒng)���、數(shù)據(jù)庫(kù)等防護(hù)對(duì)象。尤其是特有的專用設(shè)備����、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程都是傳統(tǒng)技術(shù)手段無(wú)法進(jìn)行防護(hù),所以建設(shè)WLAN專有的安全防護(hù)措施至關(guān)重要�。
(2)提升WLAN網(wǎng)絡(luò)和業(yè)務(wù)穩(wěn)定性,確保用戶良好體驗(yàn)
對(duì)于WLAN相應(yīng)的故障����,傳統(tǒng)的做法只有通過(guò)人工到現(xiàn)場(chǎng)采用各種軟件來(lái)檢測(cè)�,比如chariot���、NetStumbler��、 FTP��、PING�、 sniffer等各種工具綜合判斷����,才能解決故障。該方式的主要缺點(diǎn)包括:人員必須現(xiàn)場(chǎng)監(jiān)測(cè)��、技術(shù)要求專業(yè)�、解決效率低、并且只有在發(fā)生故障時(shí)才能發(fā)現(xiàn)��。
WLAN網(wǎng)絡(luò)運(yùn)營(yíng)的優(yōu)劣關(guān)鍵是用戶體驗(yàn)��,但是如何用技術(shù)手段了解真實(shí)的用戶使用體驗(yàn)一直是運(yùn)營(yíng)的難點(diǎn)����。包括:
如何快速精準(zhǔn)的定位WLAN業(yè)務(wù)系統(tǒng)的故障原因?
如何事實(shí)的監(jiān)控WLAN熱點(diǎn)的質(zhì)量狀態(tài)?
如何提高WLAN用戶體驗(yàn)感?
如何構(gòu)建高質(zhì)量高業(yè)務(wù)成功率的WLAN業(yè)務(wù)系統(tǒng)?
針對(duì)業(yè)務(wù)質(zhì)量的主要建設(shè)思路包括:通過(guò)模擬WLAN終端接入技術(shù)充分模擬用戶上網(wǎng)行為�,把用戶的WLAN上網(wǎng)體驗(yàn)進(jìn)行量化并把信息集中分析��。并且只 有實(shí)時(shí)進(jìn)行安全威脅檢測(cè)�,確保網(wǎng)絡(luò)安全����。同時(shí)具備集各種監(jiān)測(cè)方法為一體,自動(dòng)監(jiān)測(cè)�。并且采用實(shí)時(shí)預(yù)警、人工遠(yuǎn)程監(jiān)測(cè)等功能����,提前預(yù)知故障,對(duì)于提高維護(hù)效 率�����、降低維護(hù)成本�、提升服務(wù)質(zhì)量有著很大的作用。
