WLAN网络——蓝海与危机并存
随着网络形式的多元化以及应用模式的改变,目前很多大中型企业逐渐开始选择WLAN系统替代传统的网络,因为,通常在公司网络建设中,施工周期最长、对环境布局影响最大的就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了网络布线的工作量,同时降低工程复杂度与施工工期,只需安装一个或多个WLAN接入点设备,就可建立覆盖整个建筑或地区的局域网络。综合的估算来讲,一般无线网络的建设占有线网络建设成本的30%,而网络接入效果则与有线网络相同。
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生,同时也降低了成本。随着无线网络的普及,部分家庭享受到无线网络所带来的便捷,多数企业也非常熟悉无线网络接入的流程。而无线网络的接入方式相对来说也比较简单,不需要企业IT部门人员进行系统培训。由此可见,WLAN市场无疑是一片蓝海,是众多网络解决方案厂商的必争之地。然而发展从来都隐含着风险,WLAN的安全问题逐渐成为了用户们关注的问题。
WLAN网络“生存报告”
WLAN即无线局域网络(Wireless Local Area Networks),其核心是在AC、AP。AP是否加入安全管控功能,如果加入了成为胖AP;如果仅仅作为天线、芯片、无限覆盖来说,成为瘦AP。主要的组网方式,有ADSL、LAN、PON接入。认证方面,绝大部分认证都采用的是DHCP-WEB,不过具备一定潜在风险和脆弱性。以往WLAN网络是小范围的写字楼的支撑,有限网络的延伸。目前运营商组WLAN网络有一个集中化的管理,大概分为两块:传统的网管系统;第二是目前安全管控系统,WLAN入侵检测系统、漏扫系统、WEB安全系统,都有不同层次的体现。
安全隐患原因诸多,目前主流运营商WLAN的采购很少选择国际一流厂商,因为安全设施成本高。国内厂商通常会派技术人员到国外去参加培训,然后把方案做出来,卖给中小厂商。中小厂商两三个月具备批量生产的能力,因为技术深度、芯片公版上安全管控非常薄弱。还有就是非法AP接入,是从个人到企业到运营商目前都面临的一个问题。目前运营商WLAN建设中都有一个功能,非法AP接入检测功能。
在组网安全策略上,运营商大规模的WLAN部署其实也是安全隐患存在的重要原因。例如星巴克咖啡或国内的开放免费网络环境,网络没有有效隔离。黑客可以运用手机或者其他移动终端进行端口的攻击,获取内部数据短信,包括通信录信息。很轻易的将一些用户的相关数据取出来,例如通信录信息、短信等等。通过远程访问用户信息、病毒攻击,可以在流量不同的设备之间进行管控。另外,还有一种安全隐患是客观存在的,即使不组建WLAN网络也会有风险,例如我们使用的手机、设备天线,信号的泄露是无法避免的,这些需要用户自行安全装安全软件或则配置加密协议。以上问题都会涉及到一个共同问题——网络滥用。也就是利用设备地址无认证访问互联网,WLAN用户和WLAN网络设备在无线侧是通过共同的网络设备向上访问,两个地址段属于不同的VLAN,但互相之间无法做隔离。因此,非法用户在获得AP、AC、交换机等WLAN系统设备地址后,可将自己的终端设置为相同地址段IP,则可能实现免费上网。一些非法用户利用AC的DNS漏洞跳过POORTAL无认证访问互联网,WLAN用户在未通过网络认证时也需要进行DNS解析,因此目前AC会无条件进行所有来自用户的DNS无解析请求,未经过认证的用户应用Socket代理,获得互联网登陆。还有就是, WLAN用户和WLAN网络设备在网络侧经过同样的物理设备,未做有效隔离,因此无线侧设备可直接访问WLAN系统设备地址,从而发起对设备的攻击。如不做安全防护,则互联网可直接访问AC,AC受攻击可能性很大。
另外,设备配置不当,不安全的加密方式,也会导致密码轻松被破解。选择无线网络,有一些采用WAP的加密方式,可以直接进行破解,常用破解软件随时可以进行下载。网上这种破解教程很多。 进一步利用获得的密码进入无线网络后,对网络内的主机和服务器进行攻击,并获得敏感资料,例如管理员用户密码。如果没有进行有效配置,就无法有效抵御ARP欺骗、身份假冒,重放攻击,拒绝服务。利用攻击工具,便轻松嗅探WLAN网内的用户信息。如果有人登陆邮箱上网,很多信息就可以直接被嗅探到。后台登陆口令过于简单被破解也是常事,造成这个问题有两个原因,其一是管理员本身对安全不重视,采取了相对简单可以破解得到的密码;其二是本身配置了很复杂口令,例如很难拆解的口令,对系统出厂的账号没有进行删减,导致隐藏的账户、死角账户始终存在系统,造成被攻击的可能性。
运营商本身的解决方案也是安全隐患的多发地带。这些运营商在组建WLAN网络时,对WLAN安全域划分不当,连接后可直接访问内网的相关设备,造成安全隐患。一旦引入WLAN,发现了其中有一台设备是有一个可猜测到用户名口令,进去可以是管理员的权限,发现配置本身没有进行加密,利用得到用户名的密码,对其他的设备进行攻击。以WLAN为代表的无线网络开放性传输的特性决定了其本身安全问题较之传统有线网络具有更多的潜在漏洞和挑战,而且其原因诸多,判断和防护需要准备更多应对方案。
还有就是众多WLAN网络单元的定级问题,由于目前没有一个统一的标准,所以各运营商进行网络单元定级基本不考虑WLAN单元网络定级问题,造成同样的网络单元在不同的省安全防护情况不一样,可能同一个运营商在不同省的安全防护水平也不一样。
发展迅猛,安全问题日益凸显
近几年来WLAN网络建设受到了国内外各大运营商的青睐,以中国电信集团为例,到了2011年9月底,纳入网管监控的AP总数量达到36个设备厂家,较年初增长约85%。可以看到现在WLAN网络发展的势头是非常迅猛的。随着WLAN网络规模的不断增大,WLAN网络在运营中的安全隐患也日益凸显,对无线网络的运营形成了冲击。目前运营的WLAN大都采用WEB和Portal的方式对接入WLAN的用户进行接入认证。对于运营商而言,提供安全可靠、高质量的运营网络至关重要,因此在网络的建设及运营过程中需加强对影响网络安全不利因素的监控,及时发现安全隐患,有针对性的采取措施,防范网络安全事件发生。
WLAN网络安全问题目前暂时可以归为五大类:
1、物理设备安全。比较好理解,网络监控过程中,如果导致一些认为损坏或被盗等物理设备的损坏,可以认为是一种安全问题。
2、无线空口安全问题。很多在空口上做加密,保证对消息流加密,保证的是消息本身的安全。因为无线开放的接入,本身协议中采用的开放的方式,会存在所谓的恶意干扰源的方式。一些抓包软件可以把信息都抓取,无线网络信息监听,通过部署Sniff之类的工具监听无线网络,获取网络信息。AP过载攻击。
3、网络传输安全问题。
4、接入控制安全问题。
5、应用管理安全问题,针对公网上传统的网络安全问题都会导致WLAN安全漏洞。
因此WLAN网络安全一方面面临传统有线接入网安全问题,另一方面由于无线网络的开放特性给网络安全带来新的隐患。无线干扰特性影响WLAN系统的可用性,工作在开放频段的设备对WLAN形成干扰,导致系统不可用。对WLAN网络安全的考虑中需要引入对无线环境的检测。无线空口接入不受限制性使得攻击更便捷,WLAN网络中单AP的接入用户数首先,无效AP关联,恶意AP关联,都会组织其他新用户的接入,恶意AP关联还能通过一些检测手段发现并定位,然而无效AP关联很多时候是用户无意识的。无线空口接入不受限,使得攻击者获得网络设备信息变得更加的便捷,攻击者更容易发现网络中的安全漏洞,利用它进行攻击。无线介质开放特性影响了数据信息的安全,无线介质开放,非法用户可以通过无线监听工具即可获取各类信息。
安全建设,见招拆招
WLAN日益严峻的安全问题其实并不可怕,目前主要原因已经有大概范围划分,接下来就需要运营商和解决方案厂商共同解决问题。具体该做些什么呢?接下来我们做一个简单解析。首先,从物理安全方面,对环境及设备进行监控,在网络建设中对设备的部署位置等需要考虑到安全问题。其次,无线安全要在无线侧对用户的身份进行认证,引入802.1X—EAP、TKIP或AES等防止网络遭受多种攻击,在无线传输的数据进行加密,尤其是管理控制报文的加密,引入无线控制祯的安全管理,射频监控,对无线信道环境进行监控,检测无线干扰,并进行网络优化处理。接入安全要对无线接入点设备进行接入认证,无线控制器和无线接入点之间可以互相认证合法性,对账户信息、认证信息等传输中进行加密,通过ACL、VLAN隔离等手段防止设备信息泄露,防止接入认证安全问题。而网络安全要部署防火墙、IDS、IPS入侵检测系统,组织非法入侵,各种攻击,在网络规划等方面引入安全考虑,部署基于管理/业务的隔离策略。在管理安全方面加强安全管理的意识,提升密码等安全性,部署一些策略如动态密码登记制防范非法用户。
针对WLAN网络安全需求,在WLAN建设中引入对设备安全的考虑以及部署相应的网络安全设备,无线接入点设备、无线接入控制器等设备上引入安全技术。在网络侧部署基于2至7层的入侵检测系统,对来自于WLAN的入侵攻击问题进行检测定位,并联动无线接入控制器等设备进行排除。部署/升级安全接入认证系统,如部署EAP/SIM的认证,对设备的安全升级等。WLAN安全规范研究及制订,对WLAN网络中涉及的认证、数据加密、访问控制、密钥管理等安全进行研究,并制订相应的安全规范。同时将对应的安全机制补充到WLAN网络设备的规范以及WLAN网络管理平台规范要求中。WLAN网络安全管理优化工作:WLAN的安全还包括了物理设备的安全以及无线安全中的恶意干扰源等情景,此类工作需要引入到WLAN网络运维以及网络优化工作中,监控设备的故障以及对干扰源的排除处理等。
直面安氏领信,解析安全无线
出于对WLAN安全领域的关注,记者采访了WLAN解决方案提供商北京安氏领信科技发展有限公司技术副总裁李宗洋。安氏领信基于相关的安全理论模型:总结了对WLAN建设工作的经验教训的理解;借鉴目前IT行业的系统分层结构;提出了安氏领信WLAN安全防护体系框架,用以指导WLAN建设工作。
北京安氏领信科技发展有限公司技术副总裁李宗洋
具体步骤为:
一、对WLAN进行安全域划分,根据安全域划分原则和网络优化和边界整合策略,经过对业务数据流分析,WLAN认证系统的安全域,可以划分以下安全域,按重要性从高至低分别为:
1、认证鉴权区域:认证鉴权区域主要包含radius、Portal服务器等。可以进一步细分为radius应用服务器区、Portal服务器区、数据库服务器区。
2、接入控制区域:接入控制区域主要AC、防火墙等设备。
3、热点接入区域:AP、接入终端等。
二、WLAN系统自身满足如下四个方面要求:账号口令、日志审计、数据加密等安全功能要求;口令强度、应用中安全相关用户缺省配置等安全配置要求;避免缓冲区溢出、注入攻击等缺陷的软件代码安全要求;确保业务流程各环节(逻辑)安全的机制要求。
三、在安全域划分的基础上,结合WLAN网络的特定安全需求,有选择的部署WLAN应用防火墙、WLAN IDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要,各类基础安全技术防护手段应支持集中监控。同时,各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口。
四、WLAN网络管理应根据“集中监控、集中维护、集中管理”的原则,对异地多厂商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护,对设备性能参数和业务流量进行在线统计和分析,以保证WLAN承载的无线数据业务的有效开展。
关于信息安全保障体系,安氏公司推出ISAF框架,该框架以“信息保障(IA)”为中心,以“深度防御”和“综合防范”为指导,以“信息安全风险分析”为手段,以“信息安全管理”为重点, 依靠人员、技术、管理等方面提供安全保障能力,满足用户业务的安全需求。
ISAF的核心是以风险管理为核心,从信息系统所面临的风险出发制定安全保障策略覆盖信息系统生命周期的信息安全工程(ISSE)思想:在信息系统整个生命周期中,从人员、技术、管理等方面提供持续的安全保障能力;主动防御综合多种技术和管理手段,构筑主动防御体系,防患于未然;深层防御,在每个防御点,综合多项技术措施进行综合互补、互助和从上到下的多点防御;即使在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然能够提供附加的保护;立体防御,组成立体的全网安全防御体系要做好信息安全,以下几点需要注意:
1、全生命周期理念:安全风险控制措施100%覆盖所有业务活动,确保业务开展与安全风险控制措施的同步性,改变了传统安全工作疲于被动处置的低效率而高成本的状态,提高了安全风险控制成效同时又降低了控制措施的实施成本、难度和复杂度。
2、流程驱动:以流程为驱动力,推进体系的协调发展。在流程优化和完善的基础上,明确岗位职责、明确相应规范标准、明确技术支撑手段,以流程为纽带,将组织、标准和技术手段有机结合,形成以流程驱动的安全体系协调有效发展,避免安全盲点和各部门各自为战的弊端。
3、融合开放:通过在生命周期的各个阶段各安全能力的充分介入,构建融合开放的安全体系。
4、落地执行:信息安全体系的落地和执行是关键,强调安全工作的可操作性和实用性,保证系统安全建设的可实施性(可建设,可使用,可维护),是整个工作的关键。
页:
[1]