1000
別讓WLAN安全動了智慧城市的奶酪
本文講的是 : 別讓WLAN安全動了智慧城市的奶酪 ,【IT168技術】WLAN發展趨勢
隨著移動互聯網業務的快速發展,網絡數據流量激增,熱點區域網絡的負荷已經超載。WLAN網絡具有豐富的頻譜資源,國際標準化組織3GPP也將網絡和WLAN融合作為重要研究方向。同時,WiFi目前已經成為智能終端的標準配置。市場統計數據顯示,2013年支持WiFi的設備將增長至 15億部。各類電子設備中WiFi內置比例也正迅速上升,滲透率從2009年的12%快速升至2012年的23%。筆記本、上網本和平板電腦中WiFi的滲透率已接近100%,支持WiFi的智能手機比例也已超過80%。因此,WiFi已成為全球運營商普遍關注的熱點,65%的主流運營商選擇WLAN網絡進行業務分流,提升網絡容量和用戶體驗。WLAN發展趨勢主要有幾個如下特點:
1.移動通信流量全球暴增,WLAN的市場需求正在井噴
智能移動終端暴增已使3G 網絡不堪重負。據愛立信報告,09 年全球移動數據流量幾乎增長了兩倍,2010 達到22.5 萬TB,其中80%被視頻和數據業務占據,3%的iPhone 用戶消耗掉AT&T 40%多的帶寬,移動互聯網需求帶來的數據流量暴增速度已經超乎想象,僅靠高昂的3G 網絡既來不及也不可能完全解決問題。WLAN進入新一輪的高速成長期,隨著終端普及和標準兼容,WLAN 在未來5 年又將進入高速成長期, WLAN的市場需求正在井噴。
▲
2中國WLAN 進入真正的新一輪的5 年高速成長期
WLAN作為移動通信的必要補充,契合十二五戰略性新興信息產業在寬帶、泛在、融合、安全上的內在要求。運營商、駐地網和家庭網絡三駕馬車起頭並進,推動中國WLAN進入真正的高速成長期。未來 5 年WLAN將在中國家庭、辦公樓、學校和公共區域快速普及。
▲
3伴隨噴薄的市場需求,WLAN安全將打開移動互聯增值服務的藍海未來
全球移動通信流量每年暴增,WLAN移動數據分流作用不斷提升,WiFi在移動終端的滲透率不斷提升,WLAN的市場需求正在井噴,同時WLAN將打開移動互聯增值服務的藍海未來。
WLAN 不僅是互聯網和移動互聯網重要的接入融合點,更是重要的業務融合點。移動增值服務最大的市場桎梏在於高昂的流量費和有限且受限的支付通道。WLAN 不僅從需求和供給上同時破局,還創造出LBS、廣告推送、VoWiFi、無線流媒體和無線監控等創新融合方案,WLAN安全的保障將打開移動增值服務的藍海未來。
▲
WLAN麵臨的安全風險及危害
WLAN係統麵臨的風險包括資源耗盡風險、無AP關聯認證風險、無加密的空中信息傳輸泄密風險、來自客戶端的攻擊等各類可能引發WLAN係統不可用風險、係統服務質量下降、無線頻譜幹擾風險、空中中間人攻擊風險、非法廣播信息風險、客戶信息泄密風險等。從用戶的安全運營角度,我們對WLAN麵臨的安全風險進行了分類如下:
▲
業務濫用,流量盜用風險
在大量的WLAN係統中,都存在繞過驗證portal認證機製免費使用WLAN流量上網的問題。
同時部分用戶的上網認證密碼非常簡單,也可能導致盜用上網的風險存在。在實際的網絡當中,還存在重置密碼過於簡單的問題導致盜用上網的風險存在。
通過欺騙及非授權攻擊,前一用戶離開後,後一用戶采用修改MAC及IP地址的方法繼續訪問網絡。並偽造DHCP續租盜用上網。
基於session hijacking的盜取服務攻擊。
網絡服務不可用風險
WLAN係統是指應用無線通信技術為用戶提供高速而穩定的無線連接,保障網絡的可用性至關重要。在實際的係統當中可能存在以下問題都會致使網絡不可用,這裏主要包括惡意的或非惡意的拒絕服務攻擊。
惡意的拒絕服務攻擊包括:
BeaconFlood ---無線SSID幹擾攻擊
Authentication DoS --- DHCP地址耗盡攻擊
Deauthentication/Disassociation Amok ---指定用戶斷線攻擊。
無惡意的拒絕服務攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒後,對WLAN核心網發動的拒絕服務攻擊等。
在AC運營過程中,可能會遭受網絡環路,而產生大量的廣播報文對AC形成威脅,這將直接導致AC所管理的AP全部掉線。
對於AC的攻擊,由於我們的網絡是無線的,任何人都可以很輕鬆的接入網絡,一台AC通常管理1000~2000個AP,一旦AC被攻破,那麼將直接導致所有AP全部掉線。因此對AC的攻擊威脅較大。
n 用戶信息被盜用風險
由於在無線環境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易,對於AP及用戶的攻擊除會造成用戶無法接入網絡以外,用戶的數據也得不到安全保證,特別是用戶登錄無線網絡的認證信息。用戶在使用無線網絡的時候,存在以下安全威脅都可能導致用戶的重要信息被獲取,包括
無線釣魚,獲取敏感信息
無線網絡監聽、無線網絡嗅探攻擊
無線破解攻擊:WEP的破解、WPA的破解
專有設備被利用風險
AP、AC設備由於配置不嚴格,存在弱口令或者其他安全隱患都有可能導致設備別非法控製,從而出現斷網的風險。
同時portal係統也可能存在sql注入漏洞、web上傳漏洞等常見的web漏洞致使係統被攻擊的風險。
WLAN網絡目前存在大量網絡、應用漏洞,且麵向互聯網開放,易被互聯網黑客所利用。WLAN網絡的重要性與當前安全水平極不匹配。
依據WLAN網絡結構,出現在AP側、AC側、網絡設備側、AAA(包括Portal和Radius設備)側易出現的風險用表格方式總結如下:
▲
各安全風險在網絡結構中的分布如下圖:
▲
WLAN安全防護體係框架
基於相關的安全理論模型,借鑒目前IT行業的係統分層結構,我們提出了WLAN安全防護體係框架,用以指導WLAN安全建設工作。
▲
l 對WLAN進行安全域劃分,根據安全域劃分原則和網絡優化和邊界整合策略,經過對業務數據流分析,WLAN認證係統的安全域,可以劃分以下安全域,按重要性從高至低分別為:
- 認證鑒權區域:認證鑒權區域主要包含radius、Portal服務器等。可以進一步細分為radius應用服務器區、Portal服務器區、數據庫服務器區。
- 接入控製區域:接入控製區域主要AC、防火牆等設備。
- 熱點接入區域:AP、接入終端等。
l WLAN係統自身滿足如下四個方麵要求:帳號口令、日誌審計、數據加密等安全功能要求;口令強度、應用中安全相關用戶缺省配置等安全配置要求;避免緩衝區溢出、注入攻擊等缺陷的軟件代碼安全要求;確保業務流程各環節(邏輯)安全的機製要求。
l 在安全域劃分的基礎上,結合WLAN網絡的特定安全需求,有選擇的部署WLAN應用防火牆、WLANIDS、web防護等各類基礎安全技術防護手段。為了滿足集中運維的需要,各類基礎安全技術防護手段應支持集中監控。同時,各類基礎安全技術防護手段應具備完成信息安全管理功能所必須的接口。
l WLAN網絡管理應根據“集中監控、集中維護、集中管理”的原則,對異地多廠商環境下的WLAN網元和網絡進行集中統一的監控管理與操作維護,對設備性能參數和業務流量進行在線統計和分析,以保證WLAN承載的無線數據業務的有效開展.
WLAN安全運營的關鍵點
(1)WLAN專有的安全防護措施建設
WLAN業務係統既有通用IT基礎設施承載相關應用,又有其特有的專用設備、專有網絡協議和業務流程。一般的安全防護是基於基礎IT設備評估的體係,缺乏對應用層、通信業務的全麵評估和加固防護手段,無法應對日新月異的WLAN業務係統安全威脅。傳統安全管理、安全和技術措施無法滿足新的業務安全需求,存在明顯空白薄弱點。
WLAN安全應該涵蓋從AP、AC、Portal、Radius、防火牆、交換機、操作係統、數據庫等防護對象。尤其是特有的專用設備、專有網絡協議和業務流程都是傳統技術手段無法進行防護,所以建設WLAN專有的安全防護措施至關重要。
(2)提升WLAN網絡和業務穩定性,確保用戶良好體驗
對於WLAN相應的故障,傳統的做法隻有通過人工到現場采用各種軟件來檢測,比如chariot、NetStumbler、 FTP、PING、 sniffer等各種工具綜合判斷,才能解決故障。該方式的主要缺點包括:人員必須現場監測、技術要求專業、解決效率低、並且隻有在發生故障時才能發現。
WLAN網絡運營的優劣關鍵是用戶體驗,但是如何用技術手段了解真實的用戶使用體驗一直是運營的難點。包括:
如何快速精準的定位WLAN業務係統的故障原因?
如何事實的監控WLAN熱點的質量狀態?
如何提高WLAN用戶體驗感?
如何構建高質量高業務成功率的WLAN業務係統?
針對業務質量的主要建設思路包括:通過模擬WLAN終端接入技術充分模擬用戶上網行為,把用戶的WLAN上網體驗進行量化並把信息集中分析。並且隻有實時進行安全威脅檢測,確保網絡安全。同時具備集各種監測方法為一體,自動監測。並且采用實時預警、人工遠程監測等功能,提前預知故障,對於提高維護效率、降低維護成本、提升服務質量有著很大的作用。
最後更新:2017-09-30 14:33:06