别让WLAN安全动了智慧城市的奶酪

随着移动互联网业务的快速发展,网络数据流量激增,热点区域网络的负荷已经超载。WLAN网络具有丰富的频谱资源,国际标准化组织3GPP也将网络和WLAN融合作为重要研究方向。同时,WiFi目前已经成为智能终端的标准配置。市场统计数据显示,2013年支持WiFi的设备将增长至 15亿部。各类电子设备中WiFi内置比例也正迅速上升,渗透率从2009年的12%快速升至2012年的23%。笔记本上网本平板电脑中WiFi的渗透率已接近100%,支持WiFi的智能手机比例也已超过80%。因此,WiFi已成为全球运营商普遍关注的热点,65%的主流运营商选择WLAN网络进行业务分流,提升网络容量和用户体验。WLAN发展趋势主要有几个如下特点:

1.移动通信流量全球暴增,WLAN的市场需求正在井喷

智能移动终端暴增已使3G 网络不堪重负。据爱立信报告,09 年全球移动数据流量几乎增长了两倍,2010 达到22.5 万TB,其中80%被视频和数据业务占据,3%的iPhone 用户消耗掉AT&T 40%多的带宽,移动互联网需求带来的数据流量暴增速度已经超乎想象,仅靠高昂的3G 网络既来不及也不可能完全解决问题。WLAN进入新一轮的高速成长期,随着终端普及和标准兼容,WLAN 在未来5 年又将进入高速成长期, WLAN的市场需求正在井喷。

2中国WLAN 进入真正的新一轮的5 年高速成长期

WLAN作为移动通信的必要补充,契合十二五战略性新兴信息产业在宽带、泛在、融合、安全上的内在要求。运营商、驻地网和家庭网络三驾马车起头并进,推动中国WLAN进入真正的高速成长期。未来 5 年WLAN将在中国家庭、办公楼、学校和公共区域快速普及。

3伴随喷薄的市场需求,WLAN安全将打开移动互联增值服务的蓝海未来

全球移动通信流量每年暴增,WLAN移动数据分流作用不断提升,WiFi在移动终端的渗透率不断提升,WLAN的市场需求正在井喷,同时WLAN将打开移动互联增值服务的蓝海未来。

WLAN 不仅是互联网和移动互联网重要的接入融合点,更是重要的业务融合点。移动增值服务最大的市场桎梏在于高昂的流量费和有限且受限的支付通道。WLAN 不仅从需求和供给上同时破局,还创造出LBS、广告推送、VoWiFi、无线流媒体和无线监控等创新融合方案,WLAN安全的保障将打开移动增值服务的蓝海未来。

WLAN面临的安全风险及危害

WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发WLAN系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度,我们对WLAN面临的安全风险进行了分类如下:

业务滥用,流量盗用风险

在大量的WLAN系统中,都存在绕过验证portal认证机制免费使用WLAN流量上网的问题。

同时部分用户的上网认证密码非常简单,也可能导致盗用上网的风险存在。在实际的网络当中,还存在重置密码过于简单的问题导致盗用上网的风险存在。

通过欺骗及非授权攻击,前一用户离开后,后一用户采用修改MAC及IP地址的方法继续访问网络。并伪造DHCP续租盗用上网。

基于session hijacking的盗取服务攻击。

网络服务不可用风险

WLAN系统是指应用无线通信技术为用户提供高速而稳定的无线连接,保障网络的可用性至关重要。在实际的系统当中可能存在以下问题都会致使网络不可用,这里主要包括恶意的或非恶意的拒绝服务攻击。

恶意的拒绝服务攻击包括:

BeaconFlood ---无线SSID干扰攻击

Authentication DoS --- DHCP地址耗尽攻击

Deauthentication/Disassociation Amok ---指定用户断线攻击。

无恶意的拒绝服务攻击主要指WLAN客户端被攻击者利用或者感染病毒后,对WLAN核心网发动的拒绝服务攻击等。

在AC运营过程中,可能会遭受网络环路,而产生大量的广播报文对AC形成威胁,这将直接导致AC所管理的AP全部掉线。

对于AC的攻击,由于我们的网络是无线的,任何人都可以很轻松的接入网络,一台AC通常管理1000~2000个AP,一旦AC被攻破,那么将直接导致所有AP全部掉线。因此对AC的攻击威胁较大。

n 用户信息被盗用风险

由于在无线环境下中间人攻击、钓鱼攻击、sniffer会变得更为容易,对于AP及用户的攻击除会造成用户无法接入网络以外,用户的数据也得不到安全保证,特别是用户登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取,包括

无线钓鱼,获取敏感信息

无线网络监听、无线网络嗅探攻击

无线破解攻击:WEP的破解、WPA的破解

专有设备被利用风险

AP、AC设备由于配置不严格,存在弱口令或者其他安全隐患都有可能导致设备别非法控制,从而出现断网的风险。

同时portal系统也可能存在sql注入漏洞、web上传漏洞等常见的web漏洞致使系统被攻击的风险。

WLAN网络目前存在大量网络、应用漏洞,且面向互联网开放,易被互联网黑客所利用。WLAN网络的重要性与当前安全水平极不匹配。

依据WLAN网络结构,出现在AP侧、AC侧、网络设备侧、AAA(包括Portal和Radius设备)侧易出现的风险用表格方式总结如下:

各安全风险在网络结构中的分布如下图:

WLAN安全防护体系框架

基于相关的安全理论模型,借鉴目前IT行业的系统分层结构,我们提出了WLAN安全防护体系框架,用以指导WLAN安全建设工作。

l 对WLAN进行安全域划分,根据安全域划分原则和网络优化和边界整合策略,经过对业务数据流分析,WLAN认证系统的安全域,可以划分以下安全域,按重要性从高至低分别为:

认证鉴权区域:认证鉴权区域主要包含radius、Portal服务器等。可以进一步细分为radius应用服务器区、Portal服务器区、数据库服务器区。

接入控制区域:接入控制区域主要AC、防火墙等设备。

热点接入区域:AP、接入终端等。

l WLAN系统自身满足如下四个方面要求:帐号口令、日志审计、数据加密等安全功能要求;口令强度、应用中安全相关用户缺省配置等安全配置要求;避免缓冲区溢出、注入攻击等缺陷的软件代码安全要求;确保业务流程各环节(逻辑)安全的机制要求。

l 在安全域划分的基础上,结合WLAN网络的特定安全需求,有选择的部署WLAN应用防火墙、WLANIDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要,各类基础安全技术防护手段应支持集中监控。同时,各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口。

l WLAN网络管理应根据“集中监控、集中维护、集中管理”的原则,对异地多厂商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护,对设备性能参数和业务流量进行在线统计和分析,以保证WLAN承载的无线数据业务的有效开展.

WLAN安全运营的关键点

(1)WLAN专有的安全防护措施建设

WLAN业务系统既有通用IT基础设施承载相关应用,又有其特有的专用设备、专有网络协议和业务流程。一般的安全防护是基于基础IT设备评估的体系,缺乏对应用层、通信业务的全面评估和加固防护手段,无法应对日新月异的WLAN业务系统安全威胁。传统安全管理、安全和技术措施无法满足新的业务安全需求,存在明显空白薄弱点。

WLAN安全应该涵盖从AP、AC、Portal、Radius、防火墙交换机操作系统、数据库等防护对象。尤其是特有的专用设备、专有网络协议和业务流程都是传统技术手段无法进行防护,所以建设WLAN专有的安全防护措施至关重要。

(2)提升WLAN网络和业务稳定性,确保用户良好体验

对于WLAN相应的故障,传统的做法只有通过人工到现场采用各种软件来检测,比如chariot、NetStumbler、 FTP、PING、 sniffer等各种工具综合判断,才能解决故障。该方式的主要缺点包括:人员必须现场监测、技术要求专业、解决效率低、并且只有在发生故障时才能发现。

WLAN网络运营的优劣关键是用户体验,但是如何用技术手段了解真实的用户使用体验一直是运营的难点。包括:

如何快速精准的定位WLAN业务系统的故障原因?

如何事实的监控WLAN热点的质量状态?

如何提高WLAN用户体验感?

如何构建高质量高业务成功率的WLAN业务系统?

针对业务质量的主要建设思路包括:通过模拟WLAN终端接入技术充分模拟用户上网行为,把用户的WLAN上网体验进行量化并把信息集中分析。并且只有实时进行安全威胁检测,确保网络安全。同时具备集各种监测方法为一体,自动监测。并且采用实时预警、人工远程监测等功能,提前预知故障,对于提高维护效率、降低维护成本、提升服务质量有着很大的作用。

原文链接

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,056评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,842评论 2 378
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,938评论 0 335
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,296评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,292评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,413评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,824评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,493评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,686评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,502评论 2 318
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,553评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,281评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,820评论 3 305
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,873评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,109评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,699评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,257评论 2 341

推荐阅读更多精彩内容

  • Guide to BluetoothSecurity原文 本出版物可免费从以下网址获得:https://doi.o...
    公子小水阅读 7,870评论 0 6
  • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连...
    不吃土豆的洋芋阅读 3,243评论 0 42
  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,335评论 25 707
  • 早上醒来,冷的打了一哆嗦,这一哆嗦,让我忘记了刚才梦的过程,只记得梦见了谁。 梦中谁人哭泣,梦中谁人盈盈? 我闭上...
    不知道该叫啥啊阅读 564评论 0 2
  • 1.扉页 1.1 本话扉页是应读者要求,乌索普用蛇当套圈向布鲁克投掷,比分牌说明是比赛,应该是乌索普和乔巴在比赛,...
    顽皮仕阅读 425评论 0 0