WLAN安全之路 商機與危機并存

責任編輯:editor001

2012-12-31 09:30:32

摘自:pconline

隨著移動 互聯(lián)網(wǎng)業(yè)務的快速發(fā)展,網(wǎng)絡數(shù)據(jù)流量激增,熱點區(qū)域網(wǎng)絡的負荷已經(jīng)超載。并且采用實時預警、人工遠程監(jiān)測等功能,提前預知故障,對于提高維護效率。。。

WLAN發(fā)展趨勢

隨著移動 互聯(lián)網(wǎng)業(yè)務的快速發(fā)展,網(wǎng)絡數(shù)據(jù)流量激增,熱點區(qū)域網(wǎng)絡的負荷已經(jīng)超載。WLAN網(wǎng)絡具有豐富的頻譜資源,國際標準化組織也將網(wǎng)絡和WLAN融合作為重要研究方向。同時,WiFi目前已經(jīng)成為智能終端的標準配置。市場統(tǒng)計數(shù)據(jù)顯示,2013年支持WiFi的設備將增長至 15億部。各類電子設備中WiFi內(nèi)置比例也正迅速上升,滲透率從2009年的12%快速升至2012年的23%。筆記本、上網(wǎng)本和平板電腦中WiFi的 滲透率已接近100%,支持WiFi的智能手機比例也已超過80%。因此,WiFi已成為全球運營商普遍關注的熱點,65%的主流運營商選擇WLAN網(wǎng)絡進行業(yè)務分流,提升網(wǎng)絡容量和用戶體驗。WLAN發(fā)展趨勢主要有幾個如下特點:

1、移動通信流量全球暴增,WLAN的市場需求正在井噴

智能移動終端暴增已使3G 網(wǎng)絡不堪重負。據(jù)愛立信報告,09 年全球移動數(shù)據(jù)流量幾乎增長了兩倍,2010 達到22.5 萬TB,其中80%被視頻和數(shù)據(jù)業(yè)務占據(jù),3%的iPhone 用戶消耗掉AT&T 40%多的帶寬,移動互聯(lián)網(wǎng)需求帶來的數(shù)據(jù)流量暴增速度已經(jīng)超乎想象,僅靠高昂的3G 網(wǎng)絡既來不及也不可能完全解決問題。WLAN進入新一輪的高速成長期,隨著終端普及和標準兼容,WLAN 在未來5 年又將進入高速成長期, WLAN的市場需求正在井噴。

WLAN移動安全

圖1

2、中國WLAN 進入真正的新一輪的5 年高速成長期

WLAN 作為移動通信的必要補充,契合十二五戰(zhàn)略性新興信息產(chǎn)業(yè)在寬帶、泛在、融合、安全上的內(nèi)在要求。運營商、駐地網(wǎng)和家庭網(wǎng)絡三駕馬車起頭并進,推動中國WLAN 進入真正的高速成長期。未來 5 年WLAN 將在中國家庭、辦公樓、學校和公共區(qū)域快速普及。

WLAN移動安全

圖2

3、伴隨噴薄的市場需求,WLAN安全將打開移動互聯(lián)增值服務的藍海未來

全球移動通信流量每年暴增,WLAN 移動數(shù)據(jù)分流作用不斷提升,WiFi在移動終端的滲透率不斷提升,WLAN的市場需求正在井噴,同時WLAN將打開移動互聯(lián)增值服務的藍海未來。

WLAN 不僅是互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)重要的接入融合點,更是重要的業(yè)務融合點。移動增值服務最大的市場桎梏在于高昂的流量費和有限且受限的支付通道。WLAN 不僅從需求和供給上同時破局,還創(chuàng)造出LBS、廣告推送、VoWiFi、無線流媒體和無線監(jiān)控等創(chuàng)新融合方案,WLAN安全的保障將打開移動增值服務的藍海未來。

WLAN移動安全

圖3

WLAN面臨的安全風險及危害

WLAN系統(tǒng)面臨的風險包括資源耗盡風險、無AP關聯(lián)認證風險、無加密的空中信息傳輸泄密風險、來自客戶端的攻擊等各類可能引發(fā)WLAN系統(tǒng)不可用風險、系統(tǒng)服務質量下降、無線頻譜干擾風險、空中中間人攻擊風險、非法廣播信息風險、客戶信息泄密風險等。從用戶的安全運營角度,我們對WLAN面臨的安全風險進行了分類如下:

WLAN移動安全

圖4

1、業(yè)務濫用,流量盜用風險

在大量的WLAN系統(tǒng)中,都存在繞過驗證portal認證機制免費使用WLAN流量上網(wǎng)的問題。

同時部分用戶的上網(wǎng)認證密碼非常簡單,也可能導致盜用上網(wǎng)的風險存在。在實際的網(wǎng)絡當中,還存在重置密碼過于簡單的問題導致盜用上網(wǎng)的風險存在。

通過欺騙及非授權攻擊,前一用戶離開后,后一用戶采用修改MAC及IP地址的方法繼續(xù)訪問網(wǎng)絡。并偽造DHCP續(xù)租盜用上網(wǎng)。

基于session hijacking的盜取服務攻擊。

2、網(wǎng)絡服務不可用風險

WLAN系統(tǒng)是指應用無線通信技術為用戶提供高速而穩(wěn)定的無線連接,保障網(wǎng)絡的可用性至關重要。在實際的系統(tǒng)當中可能存在以下問題都會致使網(wǎng)絡不可用,這里主要包括惡意的或非惡意的拒絕服務攻擊。

惡意的拒絕服務攻擊包括:

BeaconFlood ---無線SSID干擾攻擊

Authentication DoS --- DHCP地址耗盡攻擊

Deauthentication/Disassociation Amok ---指定用戶斷線攻擊。

無惡意的拒絕服務攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒后,對WLAN核心網(wǎng)發(fā)動的拒絕服務攻擊等。

在AC運營過程中,可能會遭受網(wǎng)絡環(huán)路,而產(chǎn)生大量的廣播報文對AC形成威脅,這將直接導致AC所管理的AP全部掉線。

對于AC的攻擊,由于我們的網(wǎng)絡是無線的,任何人都可以很輕松的接入網(wǎng)絡,一臺AC通常管理1000~2000個AP,一旦AC被攻破,那么將直接導致所有AP全部掉線。因此對AC的攻擊威脅較大。

3、用戶信息被盜用風險

由于在無線環(huán)境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易,對于AP及用戶的攻擊除會造成用戶無法接入網(wǎng)絡以外,用戶的數(shù)據(jù)也得不到安全保證,特別是用戶登錄無線網(wǎng)絡的認證信息。用戶在使用無線網(wǎng)絡的時候,存在以下安全威脅都可能導致用戶的重要信息被獲取,包括

無線釣魚,獲取敏感信息

無線網(wǎng)絡監(jiān)聽、無線網(wǎng)絡嗅探攻擊

無線破解攻擊:WEP的破解、WPA的破解

4、專有設備被利用風險

AP、AC設備由于配置不嚴格,存在弱口令或者其他安全隱患都有可能導致設備別非法控制,從而出現(xiàn)斷網(wǎng)的風險。

同時portal系統(tǒng)也可能存在sql 注入漏洞、web上傳漏洞等常見的web漏洞致使系統(tǒng)被攻擊的風險。

WLAN網(wǎng)絡目前存在大量網(wǎng)絡、應用漏洞,且面向互聯(lián)網(wǎng)開放,易被互聯(lián)網(wǎng)黑客所利用。WLAN網(wǎng)絡的重要性與當前安全水平極不匹配。

依據(jù)WLAN網(wǎng)絡結構,出現(xiàn)在AP側、AC側、網(wǎng)絡設備側、AAA(包括Portal和Radius設備)側易出現(xiàn)的風險用表格方式總結如下:

WLAN移動安全

圖5

各安全風險在網(wǎng)絡結構中的分布如下圖:

WLAN移動安全

圖6

WLAN安全防護體系框架

基于相關的安全理論模型,借鑒目前IT行業(yè)的系統(tǒng)分層結構,我們提出了WLAN安全防護體系框架,用以指導WLAN安全建設工作。

WLAN移動安全

圖7

對WLAN進行安全域劃分,根據(jù)安全域劃分原則和網(wǎng)絡優(yōu)化和邊界整合策略,經(jīng)過對業(yè)務數(shù)據(jù)流分析,WLAN認證系統(tǒng)的安全域,可以劃分以下安全域,按重要性從高至低分別為:

認證鑒權區(qū)域:認證鑒權區(qū)域主要包含radius、Portal服務器等。可以進一步細分為radius應用服務器區(qū)、Portal服務器區(qū)、數(shù)據(jù)庫服務器區(qū)。

接入控制區(qū)域:接入控制區(qū)域主要AC、防火墻等設備。

熱點接入?yún)^(qū)域:AP、接入終端等。

WLAN系統(tǒng)自身滿足如下四個方面要求:帳號口令、日志審計、數(shù)據(jù)加密等安全功能要求;口令強度、應用中安全相關用戶缺省配置等安全配置要求;避免緩沖區(qū)溢出、注入攻擊等缺陷的軟件代碼安全要求;確保業(yè)務流程各環(huán)節(jié)(邏輯)安全的機制要求。

在安全域劃分的基礎上,結合WLAN網(wǎng)絡的特定安全需求,有選擇的部署WLAN應用防火墻、WLAN IDS、web防護等各類基礎安全技術防護手段。為了滿足集中運維的需要,各類基礎安全技術防護手段應支持集中監(jiān)控。同時,各類基礎安全技術防護手段應具備完成信息安全管理功能所必須的接口。

WLAN網(wǎng)絡管理應根據(jù)“集中監(jiān)控、集中維護、集中管理”的原則,對異地多廠商環(huán)境下的WLAN網(wǎng)元和網(wǎng)絡進行集中統(tǒng)一的監(jiān)控管理與操作維護,對設備性能參數(shù)和業(yè)務流量進行在線統(tǒng)計和分析,以保證WLAN承載的無線數(shù)據(jù)業(yè)務的有效開展。

WLAN安全運營的關鍵點

(1)WLAN專有的安全防護措施建設

WLAN業(yè)務系統(tǒng)既有通用IT基礎設施承載相關應用,又有其特有的專用設備、專有網(wǎng)絡協(xié)議和業(yè)務流程。一般的安全防護是基于基礎IT設備評估的體系,缺乏對應用層、通信業(yè)務的全面評估和加固防護手段,無法應對日新月異的WLAN業(yè)務系統(tǒng)安全威脅。傳統(tǒng)安全管理、安全和技術措施無法滿足新的業(yè)務安全需求,存在明顯空白薄弱點。

WLAN安全應該涵蓋從AP、AC、Portal、Radius、防火墻、交換機、操作系統(tǒng)、數(shù)據(jù)庫等防護對象。尤其是特有的專用設備、專有網(wǎng)絡協(xié)議和業(yè)務流程都是傳統(tǒng)技術手段無法進行防護,所以建設WLAN專有的安全防護措施至關重要。

(2)提升WLAN網(wǎng)絡和業(yè)務穩(wěn)定性,確保用戶良好體驗

對于WLAN相應的故障,傳統(tǒng)的做法只有通過人工到現(xiàn)場采用各種軟件來檢測,比如chariot、 NetStumbler、 FTP、PING、 sniffer等各種工具綜合判斷,才能解決故障 。該方式的主要缺點包括:人員必須現(xiàn)場監(jiān)測、技術要求專業(yè)、解決效率低、 并且只有在發(fā)生故障時才能發(fā)現(xiàn)。

WLAN網(wǎng)絡運營的優(yōu)劣關鍵是用戶體驗,但是如何用技術手段了解真實的用戶使用體驗一直是運營的難點。包括:

如何快速精準的定位WLAN業(yè)務系統(tǒng)的故障原因?

如何事實的監(jiān)控WLAN熱點的質量狀態(tài)?

如何提高WLAN用戶體驗感?

如何構建高質量高業(yè)務成功率的WLAN業(yè)務系統(tǒng)?

針對業(yè)務質量的主要建設思路包括:通過模擬WLAN終端接入技術充分模擬用戶上網(wǎng)行為,把用戶的WLAN上網(wǎng)體驗進行量化并把信息集中分析。并且只有實時進行安全威脅檢測,確保網(wǎng)絡安全。同時具備集各種監(jiān)測方法為一體,自動監(jiān)測。并且采用實時預警、人工遠程監(jiān)測等功能,提前預知故障,對于提高維護效率、降低維護成本、提升服務質量有著很大的作用。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號