1、智慧城市建设, WLAN安全为先 刘健皓 WLAN发展趋势 随着移动互联网业务的快速发展,网络数据流量激增,热点区域网络的负荷已经超载。WLAN网络具有丰富的频谱资源,国际标准化组织3GPP也将网络和WLAN融合作为重要研究方向。同时,WiFi目前已经成为智能终端的标准配置。市场统计数据显示,2013年支持WiFi的设备将增长至 15亿部。各类电子设备中WiFi内置比例也正迅速上升,渗透率从2009年的12%快速升至2012年的23%。笔记本、上网本和平板电脑中WiFi的 渗透率已接近100%,支持WiFi的智能手机比例也已超过80%。因此,WiFi已成为全球运营商普遍关注的热点,65%
2、的主流运营商选择WLAN网络进行业务分流,提升网络容量和用户体验。WLAN发展趋势主要有几个如下特点: 1.移动通信流量全球暴增,WLAN的市场需求正在井喷 智能移动终端暴增已使3G 网络不堪重负。据爱立信报告,09 年全球移动数据流量几乎增长了两倍,2010 达到22.5 万TB,其中80%被视频和数据业务占据,3%的iPhone 用户消耗掉AT&T 40%多的带宽,移动互联网需求带来的数据流量暴增速度已经超乎想象,仅靠高昂的3G 网络既来不及也不可能完全解决问题。WLAN进入新一轮的高速成长期,随着终端普及和标准兼容,WLAN 在未来5 年又将进入高速成长期, WLAN的市场需求正在井
3、喷。 2中国WLAN 进入真正的新一轮的5 年高速成长期 WLAN 作为移动通信的必要补充,契合十二五战略性新兴信息产业在宽带、泛在、融合、安全上的内在要求。运营商、驻地网和家庭网络三驾马车起头并进,推动中国WLAN 进入真正的高速成长期。未来 5 年WLAN 将在中国家庭、办公楼、学校和公共区域快速普及。 3伴随喷薄的市场需求,WLAN安全将打开移动互联增值服务的蓝海未来 全球移动通信流量每年暴增,WLAN 移动数据分流作用不断提升,WiFi在移动终端的渗透率不断提升,WLAN的市场需求正在井喷,同时WLAN将打开移动互联增值服务的蓝海未来。 WLAN 不仅是互联网和移动互
4、联网重要的接入融合点,更是重要的业务融合点。移动增值服务最大的市场桎梏在于高昂的流量费和有限且受限的支付通道。WLAN 不仅从需求和供给上同时破局,还创造出LBS、广告推送、VoWiFi、无线流媒体和无线监控等创新融合方案,WLAN安全的保障将打开移动增值服务的蓝海未来。 WLAN面临的安全风险及危害 WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发Wlan系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度,我们对wlan面临的安全风险
5、进行了分类如下: n 业务滥用,流量盗用风险 在大量的wlan系统中,都存在绕过验证portal认证机制免费使用WLAN流量上网的问题。 同时部分用户的上网认证密码非常简单,也可能导致盗用上网的风险存在。在实际的网络当中,还存在重置密码过于简单的问题导致盗用上网的风险存在。 通过欺骗及非授权攻击,前一用户离开后,后一用户采用修改MAC及IP地址的方法继续访问网络。并伪造DHCP续租盗用上网。 基于session hijacking的盗取服务攻击。 n 网络服务不可用风险 WLAN系统是指应用无线通信技术为用户提供极速而稳定的无线连接,保障网络的可用性至关重要。在实际的系统当中
6、可能存在以下问题都会致使网络不可用,这里主要包括恶意的或非恶意的拒绝服务攻击。 恶意的拒绝服务攻击包括: BeaconFlood ---无线SSID干扰攻击 Authentication DoS --- DHCP地址耗尽攻击 Deauthentication/Disassociation Amok ---指定用户断线攻击。 无恶意的拒绝服务攻击主要指wlan客户端被攻击者利用或者感染病毒后,对wlan核心网发动的拒绝服务攻击等。 在AC运营过程中,可能会遭受网络环路,而产生大量的广播报文对AC形成威胁,这将直接导致AC所管理的AP全部掉线。 对于AC的攻击,由于我们的网络是无线的
7、任何人都可以很轻松的接入网络,一台AC通常管理1000—2000个AP,一旦AC被攻破,那么将直接导致所有AP全部掉线。因此对AC的攻击威胁较大。 n 用户信息被盗用风险 由于在无线环境下中间人攻击、钓鱼攻击、sniffer会变得更为容易,对于AP及用户的攻击除会造成用户无法接入网络以外,用户的数据也得不到安全保证,特别是用户登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取,包括 无线钓鱼,获取敏感信息 无线网络监听、无线网络嗅探攻击 无线破解攻击:WEP的破解、WPA的破解 n 专有设备被利用风险 AP、AC设备由于配置不严格,
8、存在弱口令或者其他安全隐患都有可能导致设备别非法控制,从而出现断网的风险。 同时portal系统也可能存在sql 注入漏洞、web上传漏洞等常见的web漏洞致使系统被攻击的风险。 WLAN网络目前存在大量网络、应用漏洞,且面向互联网开放,易被互联网黑客所利用。WLAN网络的重要性与当前安全水平极不匹配。 依据WLAN网络结构,出现在AP侧、AC侧、网络设备侧、AAA(包括Portal和Radius设备)侧易出现的风险用表格方式总结如下: 风险类型 威胁内容 针对漏洞的攻击方式 重要性 网络不可用 恶意拒绝服务攻击 网络标识(SSID)干扰、地址池耗尽、指定用户下线 严
9、重 无意识攻击 对核心网攻击、散播病毒 一般 AC下AP被强制下线 AC被攻破,实施恶意操作 严重 业务被滥用、盗用上网 免认证绕行登录漏洞 用户免费上网 严重 盗用验证用户IP上网 窃取用户信息 一般 重置用户密码漏洞 窃取用户信息 重要 侵害用户利益 无线钓鱼 敏感信息窃听 一般 无线网络监听 无线网络监听、嗅探 一般 无线破解攻击 破解用户登录密码、网络密码 一般 系统及设备被攻击风险 对AC弱点攻击 窃取AC口令,实施恶意操作 严重 对登录页面服务器攻击 利用页面漏洞注入或上传木马,窃取信息,修改页面内容 严重 各
10、安全风险在网络结构中的分布如下图: WLAN安全防护体系框架 基于相关的安全理论模型,借鉴目前IT行业的系统分层结构,我们提出了WLAN安全防护体系框架,用以指导WLAN安全建设工作。 l 对WLAN进行安全域划分,根据安全域划分原则和网络优化和边界整合策略,经过对业务数据流分析,WLAN认证系统的安全域,可以划分以下安全域,按重要性从高至低分别为: Ø 认证鉴权区域:认证鉴权区域主要包含radius、Portal服务器等。可以进一步细分为radius应用服务器区、Portal服务器区、数据库服务器区。 Ø 接入控制区域:接入控制区域主要AC、防火墙等设备。 Ø
11、 热点接入区域:AP、接入终端等。 l WLAN系统自身满足如下四个方面要求:帐号口令、日志审计、数据加密等安全功能要求;口令强度、应用中安全相关用户缺省配置等安全配置要求;避免缓冲区溢出、注入攻击等缺陷的软件代码安全要求;确保业务流程各环节(逻辑)安全的机制要求。 l 在安全域划分的基础上,结合WLAN网络的特定安全需求,有选择的部署WLAN应用防火墙、WLAN IDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要,各类基础安全技术防护手段应支持集中监控。同时,各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口。 l WLAN网络管理应根据“集中监控、集中维
12、护、集中管理”的原则,对异地多厂商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护,对设备性能参数和业务流量进行在线统计和分析,以保证WLAN承载的无线数据业务的有效开展. WLAN安全运营的关键点 (1)WLAN专有的安全防护措施建设 WLAN业务系统既有通用IT基础设施承载相关应用,又有其特有的专用设备、专有网络协议和业务流程。一般的安全防护是基于基础IT设备评估的体系,缺乏对应用层、通信业务的全面评估和加固防护手段,无法应对日新月异的WLAN业务系统安全威胁。传统安全管理、安全和技术措施无法满足新的业务安全需求,存在明显空白薄弱点。 WLAN安全应该涵盖从AP、AC、P
13、ortal、Radius、防火墙、交换机、操作系统、数据库等防护对象。尤其是特有的专用设备、专有网络协议和业务流程都是传统技术手段无法进行防护,所以建设WLAN专有的安全防护措施至关重要。 (2)提升WLAN网络和业务稳定性,确保用户良好体验 对于WLAN相应的故障,传统的做法只有通过人工到现场采用各种软件来检测,比如chariot、 NetStumbler、 FTP、PING、 sniffer等各种工具综合判断,才能解决故障 。该方式的主要缺点包括:人员必须现场监测、技术要求专业、解决效率低、 并且只有在发生故障时才能发现。 WLAN网络运营的优劣关键是用户体验,但是如何用技术手段了解真实的用户使用体验一直是运营的难点。包括: 如何快速精准的定位WLAN业务系统的故障原因? 如何事实的监控WLAN热点的质量状态? 如何提高WLAN用户体验感? 如何构建高质量高业务成功率的WLAN业务系统? 针对业务质量的主要建设思路包括:通过模拟WLAN终端接入技术充分模拟用户上网行为,把用户的WLAN上网体验进行量化并把信息集中分析。并且只有实时进行安全威胁检测,确保网络安全。同时具备集各种监测方法为一体,自动监测。并且采用实时预警、人工远程监测等功能,提前预知故障,对于提高维护效率、降低维护成本、提升服务质量有着很大的作用。






