网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 无线安全 > WLAN > 文章  
技术概览:可运营WLAN网络安全问题的探讨
文章来源: 中国信息产业网 文章作者: chlvud 发布时间: 2006-07-17   字体: [ ]
 

  新技术应用创造了新市场空间,同时改变网络格局,给最终用户带来方便。WLAN(无线局域网)技术能为最终用户提供与IP有线接入网络相当的接入带宽,同时又具备无线的可移动性、建网快的特点,不受接入线缆资源以及工程安装的限制,随时随地给最终用户提供服务。 在人员流动较大,Internet服务需求较强的场所无疑是一种构架宽带接入网络的理想手段。目前国内外运营商均已将WLAN作为宽带无线接入手段,融入到运营网络中,其WLAN的应用范围已超越WLAN原先定义的为企业或家庭提供最后100m接入(无线Hub)。WLAN技术凭借其自身的优势得到运营商建网的青睐,同时由于其标准的不完善,给运营网络引入的安全隐患也一直为业界争议。

 

802.11技术构建的无线局域网网络WLAN,其技术本身的安全属性无法代表网络的安全。业界讨论WLAN网络安全一般考虑的是将WLAN引入运营网络,由于802.11空中接口安全尚不完备,导致网络存在安全隐患,其实空中接口的安全只是整个网络安全的一个问题,真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题,是否达到电信级网络安全的要求。应该衡量的标准是:能否为最终用户提供端到端安全保障?能否为运营商提供集设备级、网络级、解决方案级三位一体的端到端安全架构?此外,WLAN的安全特性还应根据其不同的应用环境进行裁剪,在Home/Soho等应用时安全性要求可较低,而在企业网和公共运营网络应用时,安全性要求应较高。

 

一、设备级安全

 

可运营WLAN网络安全方案中应该考虑到设备级安全,包括电信设备的物理环境安全和主机安全。

 

网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计,具体包括室外型AP应该具有防水、防雷、防火和防盗的特性,ACAS应该放置在局端,符合NEBS三级标准的要求。

 

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术能力。

 

二、网络级安全

 

可运营网络在设计上应考虑到多层面的安全机制,针对WLAN应包括无线链路层安全、网络层安全和应用层安全。

 

链路层安全主要是通过网络的链路层的安全协议来保证,其中无线链路层的安全主要由802.11协议定义。链路层的安全机制主要包括:

 

无线网络设备的服务区域认证IDESSID);OpensystemSharekey认证;MAC地址访问控制;基于MAC地址的访问控制列表(ACL)。

 

网络层安全是由IP层协议保证网络的安全,主要包括网络边界控制和管理,加强对外部攻击和内部信息泄露的防范,网络层的安全机制主要如下:

 

基于五元组的访问控制列表(ACL);NAT/PAT功能;逆向检测(RPD),防止IP地址欺骗;动态路由协议(RIPOSPFBGP)防欺骗;应用层加密的支持,为关键应用提供应用加密或隧道(IPSec)。

 

应用层安全主要是在网络的应用层提供安全机制,主要包括:

 

网管信息安全,SNMPv1/v2c提供基于community的安全机制,SNMPv3提供基于用户/密码的安全机机制,安全性更强;安全登录方式SSHHTTP的安全机制HTTPsRADIUS认证加密。

 

三、解决方案级安全

 

WLAN网络所具备的设备级、网络级的安全特性基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络,由于运用环境、组网网元、服务对象的变化,还需要考虑更多的安全问题:

 

基于不信任模型,从客户接入网络开始,经过多层次客户认证;业务网安全策略和实施方案要根据业务特征进行规划与实施;客户使用的方便性在安全方案设计中必须重点考虑;高可用性要求;

 

主要通过安全技术与业务良好结合来解决安全问题、降低安全风险。

 

网络面临的主要安全威胁包括:

 

非法接入;恶意欺骗;信息外泄;信息遭篡改;网络和通讯业务遭受攻击。具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

 

3.1用户认证的安全:

 

通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOEWEB802.1x。而协议上这三种认证的过程都应该经过加密的。具体的加密机制如下:

 

1PPPOE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全;

 

2WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全;

 

3)在802.1x认证中,EAPMD5认证可采用MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。EAPSIM认证可采用A3/A8加密算法保证安全性。可以实现双向认证和动态密钥下发。EAPTTLSEAPTLSPEAP可通过SSL/TLS实现双向认证和动态密钥下发。

 

3.2用户绑定:

 

通过各种认证技术(WEBPPPOE802.1X)对用户进行认证后,AC应对用户进行绑定,可以通过VLANIP地址+MAC地址来唯一标识一个用户,同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测,不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

 

3.3用户隔离安全性:

 

可运营的WLAN网络中,用户之间是互不信任的,所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。具体策略如下:

 

1AP内部采用MAC互访控制原理隔离用户。确保同一AP下的用户不能二层相通,只能与上行口相通。

 

2AP之间采用MAC地址访问控制或组网汇聚设备二层隔离技术如VLAN/PVLAN/PVC进行隔离,保证不同AP下的用户不能直接相通。

 

3AC通过UCL(用户ACL)用户的三层互控访问,所有用户只有通过AC认证后才能进行三层受控互通。

 

3.4用户数据加密-通过加密保障用户信息的安全性:(1)无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密,保证空口的信息传送的安全性,主要的加密算法为:WEP:基于RC4算法,对报文进行流加密;TKIP:对RC4算法进行了改进,在密钥生成中采用哈希算法并增加MIC(消息完整性检查),克服WEP的一些缺点。其初始密钥可通过EAPSIMEAPTTLSPEAP认证方式获得;AES802.11i标准规定的标准算法,对报文进行块加密,需要硬件支持。其初始密钥可通过EAPSIMEAPTTLSPEAP认证方式获得。

 

2)网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密,保证STAVPN网关之间信息传送的安全性。常用的技术如IPSecL2TPPPTP等隧道技术。根据隧道建立方式主要分为如下两类:

 

用户发起的VPDN:用户发起的VPN连接指的是以下的这种情况:首先,移动用户通过WLAN热点接入Internet访问企业网,接着,用户通过网络隧道协议与企业网建立一条加密的IP隧道连接从而安全地访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。

 

两种VPDN方式的比较:由AC发起的VPDN,对于用户是透明的,用户不需要安装客户端软件,AC作为LAC为用户发起隧道,企业端需安装VPN网关终接隧道。企业可以采用AAA服务器进行用户的认证。由客户发起的VPDN只是利用运营商WLAN的承载通路,对运营商是透明的。而由AC发起的VPDN更适合运营商为企业提供VPDN业务,更便于集中控制管理VPDN业务。

 

四、总结

 

以前业界讨论WLAN安全提到的主要是WLAN空中接口安全问题。空中接口安全是WLAN网络安全的非常重要而且必须解决的问题,但WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的,随着802.11iWiFiWPA技术的完善,空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决,才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。

 

--

原文链接: http://www.edu.cn/20060717/3200143.shtml

 
推荐文章
·无线网攻击工具进攻方法及防范技
·WPA的家庭应用
·浅谈:安全问题将限制RFID的发展
·笔记本无线上网基本知识
·“视安全为第一”,调查显示WLAN
·无线网络安全八大技术利弊剖析
·秘笈揭露 Ubuntu破解WEP密钥一点
·无线局域网WLAN安全技术谈
·WLAN安全五步曲
·消除无线网络的安全风险(1)
·用Hash锁方法解决RFID的安全与隐
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·笔记本无线上网基本知识
·使用OmniPeek实现无线监
·秘笈揭露 Ubuntu破解WEP
·无线网攻击工具进攻方法
·WPA完全解析:无线网络
·WPA的家庭应用
·GPS、手机定位和RFID 日
·无线局域网的安全技术与
相关分类
相关文章
·WLAN安全技术综合分析详
·无线网络安全八大技术利
·拒绝黑客 给邻家MM打造
·Atheros开放WLAN安全设
·解析无线局域网与网络安
·“视安全为第一”,调查
·思科系统重金收购客户端
·WLAN软件存在安全问题
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $