首页 > 产品 > 思科无线网络 > 无线网络安全 >

可运营WLAN网络安全问题的探讨

  新技术应用创造了新市场空间,同时改变网络格局,给最终用户带来方便。WLAN(无线局域网)技术能为最终用户提供与IP有线接入网络相当的接入带宽,同时又具备无线的可移动性、建网快的特点,不受接入线缆资源以及工程安装的限制,随时随地给最终用户提供服务。

  在人员流动较大,Internet服务需求较强的场所无疑是一种构架宽带接入网络的理想手段。目前国内外运营商均已将WLAN作为宽带无线接入手段,融入到运营网络中,其WLAN的应用范围已超越WLAN原先定义的为企业或家庭提供最后100m接入(无线Hub)。WLAN技术凭借其自身的优势得到运营商建网的青睐,同时由于其标准的不完善,给运营网络引入的安全隐患也一直为业界争议。

  以802.11技术构建的无线局域网网络WLAN,其技术本身的安全属性无法代表网络的安全。业界讨论WLAN网络安全一般考虑的是将WLAN引入运营网络,由于802.11空中接口安全尚不完备,导致网络存在安全隐患,其实空中接口的安全只是整个网络安全的一个问题,真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题,是否达到电信级网络安全的要求。应该衡量的标准是:能否为最终用户提供端到端安全保障?能否为运营商提供集设备级、网络级、解决方案级三位一体的端到端安全架构?此外,WLAN的安全特性还应根据其不同的应用环境进行裁剪,在Home/Soho等应用时安全性要求可较低,而在企业网和公共运营网络应用时,安全性要求应较高。

一、设备级安全

可运营WLAN网络安全方案中应该考虑到设备级安全,包括电信设备的物理环境安全和主机安全。

网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计,具体包括室外型AP应该具有防水、防雷、防火和防盗的特性,AC和AS应该放置在局端,符合NEBS三级标准的要求。

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术能力。

二、网络级安全

可运营网络在设计上应考虑到多层面的安全机制,针对WLAN应包括无线链路层安全、网络层安全和应用层安全。

链路层安全主要是通过网络的链路层的安全协议来保证,其中无线链路层的安全主要由802.11协议定义。链路层的安全机制主要包括:

无线网络设备的服务区域认证ID(ESSID);Opensystem和Sharekey认证;MAC地址访问控制;基于MAC地址的访问控制列表(ACL)。

网络层安全是由IP层协议保证网络的安全,主要包括网络边界控制和管理,加强对外部攻击和内部信息泄露的防范,网络层的安全机制主要如下:

基于五元组的访问控制列表(ACL);NAT/PAT功能;逆向检测(RPD),防止IP地址欺骗;动态路由协议(RIP、OSPF、BGP)防欺骗;应用层加密的支持,为关键应用提供应用加密或隧道(IPSec)。

应用层安全主要是在网络的应用层提供安全机制,主要包括:

网管信息安全,SNMPv1/v2c提供基于community的安全机制,SNMPv3提供基于用户/密码的安全机机制,安全性更强;安全登录方式SSH;HTTP的安全机制HTTPs;RADIUS认证加密。

三、解决方案级安全

WLAN网络所具备的设备级、网络级的安全特性基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络,由于运用环境、组网网元、服务对象的变化,还需要考虑更多的安全问题:

基于不信任模型,从客户接入网络开始,经过多层次客户认证;业务网安全策略和实施方案要根据业务特征进行规划与实施;客户使用的方便性在安全方案设计中必须重点考虑;高可用性要求;

主要通过安全技术与业务良好结合来解决安全问题、降低安全风险。

网络面临的主要安全威胁包括:

非法接入;恶意欺骗;信息外泄;信息遭篡改;网络和通讯业务遭受攻击。具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

3.1用户认证的安全:

通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密的。具体的加密机制如下:

1)PPPOE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全;

(2)WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全;

(3)在802.1x认证中,EAP-MD5认证可采用MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。EAP-SIM认证可采用A3/A8加密算法保证安全性。可以实现双向认证和动态密钥下发。EAP-TTLS、EAP-TLS、PEAP可通过SSL/TLS实现双向认证和动态密钥下发。

3.2用户绑定:

通过各种认证技术(WEB、PPPOE或802.1X)对用户进行认证后,AC应对用户进行绑定,可以通过VLAN+IP地址+MAC地址来唯一标识一个用户,同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测,不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

3.3用户隔离安全性:

可运营的WLAN网络中,用户之间是互不信任的,所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。具体策略如下:

(1)AP内部采用MAC互访控制原理隔离用户。确保同一AP下的用户不能二层相通,只能与上行口相通。

(2)AP之间采用MAC地址访问控制或组网汇聚设备二层隔离技术如VLAN/PVLAN/PVC进行隔离,保证不同AP下的用户不能直接相通。

(3)AC通过UCL(用户ACL)用户的三层互控访问,所有用户只有通过AC认证后才能进行三层受控互通。

3.4用户数据加密-通过加密保障用户信息的安全性:(1)无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密,保证空口的信息传送的安全性,主要的加密算法为:WEP:基于RC4算法,对报文进行流加密;TKIP:对RC4算法进行了改进,在密钥生成中采用哈希算法并增加MIC(消息完整性检查),克服WEP的一些缺点。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得;AES:802.11i标准规定的标准算法,对报文进行块加密,需要硬件支持。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得。

(2)网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密,保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。根据隧道建立方式主要分为如下两类:

用户发起的VPDN:用户发起的VPN连接指的是以下的这种情况:首先,移动用户通过WLAN热点接入Internet访问企业网,接着,用户通过网络隧道协议与企业网建立一条加密的IP隧道连接从而安全地访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。

两种VPDN方式的比较:由AC发起的VPDN,对于用户是透明的,用户不需要安装客户端软件,AC作为LAC为用户发起隧道,企业端需安装VPN网关终接隧道。企业可以采用AAA服务器进行用户的认证。由客户发起的VPDN只是利用运营商WLAN的承载通路,对运营商是透明的。而由AC发起的VPDN更适合运营商为企业提供VPDN业务,更便于集中控制管理VPDN业务。

四、总结

以前业界讨论WLAN安全提到的主要是WLAN空中接口安全问题。空中接口安全是WLAN网络安全的非常重要而且必须解决的问题,但WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的,随着802.11i、Wi-FiWPA技术的完善,空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决,才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。



公司简介
希创是一个从事企业执行系统集成的专业提供商,应用现代化的管理理念和方法,以及最新的自动识别、无线网络和移动计算等技术,来实现企业执行系统的集成。详细内容...

产品导航
条码打印机 Intermec易腾迈
Tohken 条码扫描器
datalogic Honeywell
Microscan loftware
bartender 条码软件
codesoft 条码打印软件
普印力printronix 无线网络
sirit RFID 电子标签
RFID应用 条码扫描引擎
denso 防爆移动电脑
车载终端 RFID打印机
仓库管理软件 生产管理系统
固定资产管理 冷链物流管理
自动巡检 集装箱管理系统 条码采集

技术支持
服务协议 下载中心
RFID技术应用 射频技术
条码知识 二维条码
条形码 二维条形码

联系我们 | 留言解答 | 友情链接 | 下载中心 | 仓库管理 | 博客信息
版权© 2012 北京希创技术公司,未经允许不得以任何方式和手段进行复制和使用。
CopyRight © 1997-2012 www.systron.com.cn All Rights Reserved.
北京:010-51296680 64200658/0659/0657/0774 上海:021-52379720/9730/2320/52370041