別讓WLAN安全動了智慧城市的乳酪

　本文講的是 :  別讓WLAN安全動了智慧城市的乳酪  ,【IT168技術】WLAN發展趨勢

　　隨著移動網際網路業務的快速發展，網路資料流量激增，熱點區域網路的負荷已經超載。WLAN網路具有豐富的頻譜資源，國際標準化組織3GPP也將網路和WLAN融合作為重要研究方向。同時，WiFi目前已經成為智慧終端的標準配置。市場統計資料顯示，2013年支援WiFi的裝置將增長至 15億部。各類電子裝置中WiFi內建比例也正迅速上升，滲透率從2009年的12%快速升至2012年的23%。筆記本、上網本和平板電腦中WiFi的滲透率已接近100%，支援WiFi的智慧手機比例也已超過80%。因此，WiFi已成為全球運營商普遍關注的熱點，65%的主流運營商選擇WLAN網路進行業務分流，提升網路容量和使用者體驗。WLAN發展趨勢主要有幾個如下特點：

　　1.行動通訊流量全球暴增，WLAN的市場需求正在井噴

　　智慧移動終端暴增已使3G 網路不堪重負。據愛立信報告，09 年全球移動資料流量幾乎增長了兩倍，2010 達到22.5 萬TB，其中80%被視訊和資料業務佔據，3%的iPhone 使用者消耗掉AT&T 40%多的頻寬，移動網際網路需求帶來的資料流量暴增速度已經超乎想象，僅靠高昂的3G 網路既來不及也不可能完全解決問題。WLAN進入新一輪的高速成長期，隨著終端普及和標準相容，WLAN 在未來5 年又將進入高速成長期， WLAN的市場需求正在井噴。

▲

　　2中國WLAN 進入真正的新一輪的5 年高速成長期

　　WLAN作為行動通訊的必要補充,契合十二五戰略性新興資訊產業在寬頻、泛在、融合、安全上的內在要求。運營商、駐地網和家庭網路三駕馬車起頭並進，推動中國WLAN進入真正的高速成長期。未來 5 年WLAN將在中國家庭、辦公樓、學校和公共區域快速普及。

▲

　　3伴隨噴薄的市場需求，WLAN安全將開啟移動互聯增值服務的藍海未來

　　全球行動通訊流量每年暴增,WLAN移動資料分流作用不斷提升，WiFi在移動終端的滲透率不斷提升，WLAN的市場需求正在井噴，同時WLAN將開啟移動互聯增值服務的藍海未來。

　　WLAN 不僅是網際網路和移動網際網路重要的接入融合點，更是重要的業務融合點。移動增值服務最大的市場桎梏在於高昂的流量費和有限且受限的支付通道。WLAN 不僅從需求和供給上同時破局，還創造出LBS、廣告推送、VoWiFi、無線流媒體和無線監控等創新融合方案,WLAN安全的保障將開啟移動增值服務的藍海未來。

▲

　　WLAN面臨的安全風險及危害

　　WLAN系統面臨的風險包括資源耗盡風險、無AP關聯認證風險、無加密的空中資訊傳輸洩密風險、來自客戶端的攻擊等各類可能引發WLAN系統不可用風險、系統服務質量下降、無線頻譜干擾風險、空中中間人攻擊風險、非法廣播資訊風險、客戶資訊洩密風險等。從使用者的安全運營角度，我們對WLAN面臨的安全風險進行了分類如下：

▲

　　 業務濫用，流量盜用風險

　　在大量的WLAN系統中，都存在繞過驗證portal認證機制免費使用WLAN流量上網的問題。

　　同時部分使用者的上網認證密碼非常簡單，也可能導致盜用上網的風險存在。在實際的網路當中，還存在重置密碼過於簡單的問題導致盜用上網的風險存在。

　　通過欺騙及非授權攻擊，前一使用者離開後，後一使用者採用修改MAC及IP地址的方法繼續訪問網路。並偽造DHCP續租盜用上網。

　　基於session hijacking的盜取服務攻擊。

　　 網路服務不可用風險

　　WLAN系統是指應用無線通訊技術為使用者提供高速而穩定的無線連線，保障網路的可用性至關重要。在實際的系統當中可能存在以下問題都會致使網路不可用，這裡主要包括惡意的或非惡意的拒絕服務攻擊。

　　惡意的拒絕服務攻擊包括：

　　BeaconFlood —無線SSID干擾攻擊

　　Authentication DoS — DHCP地址耗盡攻擊

　　Deauthentication/Disassociation Amok —指定使用者斷線攻擊。

　　無惡意的拒絕服務攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒後，對WLAN核心網發動的拒絕服務攻擊等。

　　在AC運營過程中，可能會遭受網路環路，而產生大量的廣播報文對AC形成威脅，這將直接導致AC所管理的AP全部掉線。

　　對於AC的攻擊，由於我們的網路是無線的，任何人都可以很輕鬆的接入網路，一臺AC通常管理1000~2000個AP，一旦AC被攻破，那麼將直接導致所有AP全部掉線。因此對AC的攻擊威脅較大。

　　n 使用者資訊被盜用風險

　　由於在無線環境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易，對於AP及使用者的攻擊除會造成使用者無法接入網路以外，使用者的資料也得不到安全保證，特別是使用者登入無線網路的認證資訊。使用者在使用無線網路的時候,存在以下安全威脅都可能導致使用者的重要資訊被獲取，包括

　　無線釣魚，獲取敏感資訊

　　無線網路監聽、無線網路嗅探攻擊

　　無線破解攻擊：WEP的破解、WPA的破解

　　 專有裝置被利用風險

　　AP、AC裝置由於配置不嚴格，存在弱口令或者其他安全隱患都有可能導致裝置別非法控制，從而出現斷網的風險。

　　同時portal系統也可能存在sql注入漏洞、web上傳漏洞等常見的web漏洞致使系統被攻擊的風險。

　　WLAN網路目前存在大量網路、應用漏洞，且面向網際網路開放，易被網際網路黑客所利用。WLAN網路的重要性與當前安全水平極不匹配。

　　依據WLAN網路結構，出現在AP側、AC側、網路裝置側、AAA(包括Portal和Radius裝置)側易出現的風險用表格方式總結如下：

▲

　　各安全風險在網路結構中的分佈如下圖：

▲

　　WLAN安全防護體系框架

　　基於相關的安全理論模型，借鑑目前IT行業的系統分層結構，我們提出了WLAN安全防護體系框架，用以指導WLAN安全建設工作。

▲

　　l 對WLAN進行安全域劃分，根據安全域劃分原則和網路優化和邊界整合策略，經過對業務資料流分析，WLAN認證系統的安全域，可以劃分以下安全域，按重要性從高至低分別為：

• 　　 認證鑑權區域：認證鑑權區域主要包含radius、Portal伺服器等。可以進一步細分為radius應用伺服器區、Portal伺服器區、資料庫伺服器區。
• 　　 接入控制區域：接入控制區域主要AC、防火牆等裝置。
• 　　 熱點接入區域：AP、接入終端等。

　　l WLAN系統自身滿足如下四個方面要求：帳號口令、日誌審計、資料加密等安全功能要求;口令強度、應用中安全相關使用者預設配置等安全配置要求;避免緩衝區溢位、注入攻擊等缺陷的軟體程式碼安全要求;確保業務流程各環節(邏輯)安全的機制要求。

　　l 在安全域劃分的基礎上，結合WLAN網路的特定安全需求，有選擇的部署WLAN應用防火牆、WLANIDS、web防護等各類基礎安全技術防護手段。為了滿足集中運維的需要，各類基礎安全技術防護手段應支援集中監控。同時，各類基礎安全技術防護手段應具備完成資訊保安管理功能所必須的介面。

　　l WLAN網路管理應根據“集中監控、集中維護、集中管理”的原則，對異地多廠商環境下的WLAN網元和網路進行集中統一的監控管理與操作維護，對裝置效能引數和業務流量進行線上統計和分析，以保證WLAN承載的無線資料業務的有效開展.

　　WLAN安全運營的關鍵點

　　(1)WLAN專有的安全防護措施建設

　　WLAN業務系統既有通用IT基礎設施承載相關應用，又有其特有的專用裝置、專有網路協議和業務流程。一般的安全防護是基於基礎IT裝置評估的體系，缺乏對應用層、通訊業務的全面評估和加固防護手段，無法應對日新月異的WLAN業務系統安全威脅。傳統安全管理、安全和技術措施無法滿足新的業務安全需求，存在明顯空白薄弱點。

　　WLAN安全應該涵蓋從AP、AC、Portal、Radius、防火牆、交換機、作業系統、資料庫等防護物件。尤其是特有的專用裝置、專有網路協議和業務流程都是傳統技術手段無法進行防護，所以建設WLAN專有的安全防護措施至關重要。

　　(2)提升WLAN網路和業務穩定性，確保使用者良好體驗

　　對於WLAN相應的故障，傳統的做法只有通過人工到現場採用各種軟體來檢測，比如chariot、NetStumbler、 FTP、PING、 sniffer等各種工具綜合判斷，才能解決故障。該方式的主要缺點包括：人員必須現場監測、技術要求專業、解決效率低、並且只有在發生故障時才能發現。

　　WLAN網路運營的優劣關鍵是使用者體驗，但是如何用技術手段瞭解真實的使用者使用體驗一直是運營的難點。包括：

　　如何快速精準的定位WLAN業務系統的故障原因?

　　如何事實的監控WLAN熱點的質量狀態?

　　如何提高WLAN使用者體驗感?

　　如何構建高質量高業務成功率的WLAN業務系統?

　　針對業務質量的主要建設思路包括：通過模擬WLAN終端接入技術充分模擬使用者上網行為，把使用者的WLAN上網體驗進行量化並把資訊集中分析。並且只有實時進行安全威脅檢測，確保網路安全。同時具備集各種監測方法為一體，自動監測。並且採用實時預警、人工遠端監測等功能，提前預知故障，對於提高維護效率、降低維護成本、提升服務質量有著很大的作用。

原文釋出時間為：2015年7月6日

本文作者：海浪

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :別讓WLAN安全動了智慧城市的乳酪