发布时间 : 星期一 文章智慧城市建设, WLAN安全为先--刘健皓更新完毕开始阅读51360500581b6bd97f19eae3
登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取,包括
无线钓鱼,获取敏感信息 无线网络监听、无线网络嗅探攻击 无线破解攻击:WEP的破解、WPA的破解
? 专有设备被利用风险
AP、AC设备由于配置不严格,存在弱口令或者其他安全隐患都有可能导致设备别非法控制,从而出现断网的风险。
同时portal系统也可能存在sql注入漏洞、web上传漏洞等常见的web漏洞致使系统被攻击的风险。
WLAN网络目前存在大量网络、应用漏洞,且面向互联网开放,易被互联网黑客所利用。WLAN网络的重要性与当前安全水平极不匹配。
依据WLAN网络结构,出现在AP侧、AC侧、网络设备侧、AAA(包括Portal和Radius设备)侧易出现的风险用表格方式总结如下:
风险类型 威胁内容 针对漏洞的攻击方式 重要性 网络不可用 恶意拒绝服务攻击 无意识攻击 网络标识(SSID)干扰、地址池耗尽、指严重 定用户下线 对核心网攻击、散播病毒 一般 严重 AC下AP被强制AC被攻破,实施恶意操作 下线 业务被滥用、免认证绕行登用户免费上网 严重 盗用上网 录漏洞 盗用验证用户IP上网 重置用户密码漏洞 窃取用户信息 重要 窃取用户信息 一般 侵害用户利益 无线钓鱼 敏感信息窃听 一般 一般 一般 严重 无线网络监听 无线网络监听、嗅探 无线破解攻击 破解用户登录密码、网络密码 系统及设备被攻击风险 对AC弱点攻击 窃取AC口令,实施恶意操作 对登录页面服务器攻击 利用页面漏洞注入或上传木马,窃取信严重 息,修改页面内容
各安全风险在网络结构中的分布如下图:
WLAN安全防护体系框架
基于相关的安全理论模型,借鉴目前IT行业的系统分层结构,我们提出了WLAN安全防护体系框架,用以指导WLAN安全建设工作。
? 对WLAN进行安全域划分,根据安全域划分原则和网络优化和边界整合策略,
经过对业务数据流分析,WLAN认证系统的安全域,可以划分以下安全域,按重要性从高至低分别为:
? 认证鉴权区域:认证鉴权区域主要包含radius、Portal服务器等。可以进一
步细分为radius应用服务器区、Portal服务器区、数据库服务器区。 ? 接入控制区域:接入控制区域主要AC、防火墙等设备。 ? 热点接入区域:AP、接入终端等。
? WLAN系统自身满足如下四个方面要求:帐号口令、日志审计、数据加密等安全
功能要求;口令强度、应用中安全相关用户缺省配置等安全配置要求;避免缓
冲区溢出、注入攻击等缺陷的软件代码安全要求;确保业务流程各环节(逻辑)安全的机制要求。
? 在安全域划分的基础上,结合WLAN网络的特定安全需求,有选择的部署WLAN
应用防火墙、WLAN IDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要,各类基础安全技术防护手段应支持集中监控。同时,各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口。
? WLAN网络管理应根据“集中监控、集中维护、集中管理”的原则,对异地多厂
商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护,对设备性能参数和业务流量进行在线统计和分析,以保证WLAN承载的无线数据业务的有效开展.
WLAN安全运营的关键点
(1)WLAN专有的安全防护措施建设
WLAN业务系统既有通用IT基础设施承载相关应用,又有其特有的专用设备、专有网络协议和业务流程。一般的安全防护是基于基础IT设备评估的体系,缺乏对应用层、通信业务的全面评估和加固防护手段,无法应对日新月异的WLAN业务系统安全威胁。传统安全管理、安全和技术措施无法满足新的业务安全需求,存在明显空白薄弱点。
WLAN安全应该涵盖从AP、AC、Portal、Radius、防火墙、交换机、操作系统、数据库等防护对象。尤其是特有的专用设备、专有网络协议和业务流程都是传统技术手段无法进行防护,所以建设WLAN专有的安全防护措施至关重要。
(2)提升WLAN网络和业务稳定性,确保用户良好体验
对于WLAN相应的故障,传统的做法只有通过人工到现场采用各种软件来检测,比如chariot、NetStumbler、 FTP、PING、 sniffer等各种工具综合判断,才能解决故障。该方式的主要缺点包括:人员必须现场监测、技术要求专业、解决效率低、并且只有在发生故障时才能发现。
WLAN网络运营的优劣关键是用户体验,但是如何用技术手段了解真实的用户使用体验一直是运营的难点。包括:
如何快速精准的定位WLAN业务系统的故障原因? 如何事实的监控WLAN热点的质量状态? 如何提高WLAN用户体验感?
如何构建高质量高业务成功率的WLAN业务系统?
针对业务质量的主要建设思路包括:通过模拟WLAN终端接入技术充分模拟用户上网行为,把用户的WLAN上网体验进行量化并把信息集中分析。并且只有实时进行安全威胁检测,确保网络安全。同时具备集各种监测方法为一体,自动监测。并且采用实时预警、人工远程监测等功能,提前预知故障,对于提高维护效率、降低维护成本、提升服务质量有着很大的作用。