新技术应用创造了新市场空间,同时改变网络格局,给最终用户带来方便。WLAN(无线局域网)技术能为最终用户提供与IP有线接入网络相当的接入带宽,同时又具备无线的可移动性、建网快的特点,不受接入线缆资源以及工程安装的限制,随时随地给最终用户提供服务。 在人员流动较大,Internet服务需求较强的场所无疑是一种构架宽带接入网络的理想手段。目前国内外运营商均已将WLAN作为宽带无线接入手段,融入到运营网络中,其WLAN的应用范围已超越WLAN原先定义的为企业或家庭提供最后100m接入(无线Hub)。WLAN技术凭借其自身的优势得到运营商建网的青睐,同时由于其标准的不完善,给运营网络引入的安全隐患也一直为业界争议。
以802.11技术构建的无线局域网网络WLAN,其技术本身的安全属性无法代表网络的安全。业界讨论WLAN网络安全一般考虑的是将WLAN引入运营网络,由于802.11空中接口安全尚不完备,导致网络存在安全隐患,其实空中接口的安全只是整个网络安全的一个问题,真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题,是否达到电信级网络安全的要求。应该衡量的标准是:能否为最终用户提供端到端安全保障?能否为运营商提供集设备级、网络级、解决方案级三位一体的端到端安全架构?此外,WLAN的安全特性还应根据其不同的应用环境进行裁剪,在Home/Soho等应用时安全性要求可较低,而在企业网和公共运营网络应用时,安全性要求应较高。
一、设备级安全
可运营WLAN网络安全方案中应该考虑到设备级安全,包括电信设备的物理环境安全和主机安全。
网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计,具体包括室外型AP应该具有防水、防雷、防火和防盗的特性,AC和AS应该放置在局端,符合NEBS三级标准的要求。
网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术能力。
二、网络级安全
可运营网络在设计上应考虑到多层面的安全机制,针对WLAN应包括无线链路层安全、网络层安全和应用层安全。
链路层安全主要是通过网络的链路层的安全协议来保证,其中无线链路层的安全主要由802.11协议定义。链路层的安全机制主要包括:
无线网络设备的服务区域认证ID(ESSID);Opensystem和Sharekey认证;MAC地址访问控制;基于MAC地址的访问控制列表(ACL)。
网络层安全是由IP层协议保证网络的安全,主要包括网络边界控制和管理,加强对外部攻击和内部信息泄露的防范,网络层的安全机制主要如下:
基于五元组的访问控制列表(ACL);NAT/PAT功能;逆向检测(RPD),防止IP地址欺骗;动态路由协议(RIP、OSPF、BGP)防欺骗;应用层加密的支持,为关键应用提供应用加密或隧道(IPSec)。
应用层安全主要是在网络的应用层提供安全机制,主要包括:
网管信息安全,SNMPv1/v2c提供基于community的安全机制,SNMPv3提供基于用户/密码的安全机机制,安全性更强;安全登录方式SSH;HTTP的安全机制HTTPs;RADIUS认证加密。
三、解决方案级安全
WLAN网络所具备的设备级、网络级的安全特性基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络,由于运用环境、组网网元、服务对象的变化,还需要考虑更多的安全问题:
基于不信任模型,从客户接入网络开始,经过多层次客户认证;业务网安全策略和实施方案要根据业务特征进行规划与实施;客户使用的方便性在安全方案设计中必须重点考虑;高可用性要求;
主要通过安全技术与业务良好结合来解决安全问题、降低安全风险。
网络面临的主要安全威胁包括:
非法接入;恶意欺骗;信息外泄;信息遭篡改;网络和通讯业务遭受攻击。具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。
3.1用户认证的安全:
通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密的。具体的加密机制如下:
(1)PPPOE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全;
(2)WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全;
(3)在802.1x认证中,EAP-MD5认证可采用MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。EAP-SIM认证可采用A3/A8加密算法保证安全性。可以实现双向认证和动态密钥下发。EAP-TTLS、EAP-TLS、PEAP可通过SSL/TLS实现双向认证和动态密钥下发。
3.2用户绑定:
通过各种认证技术(WEB、PPPOE或802.1X)对用户进行认证后,AC应对用户进行绑定,可以通过VLAN+IP地址+MAC地址来唯一标识一个用户,同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测,不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。
3.3用户隔离安全性:
可运营的WLAN网络中,用户之间是互不信任的,所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。具体策略如下:
(1)AP内部采用MAC互访控制原理隔离用户。确保同一AP下的用户不能二层相通,只能与上行口相通。
(2)AP之间采用MAC地址访问控制或组网汇聚设备二层隔离技术如VLAN/PVLAN/PVC进行隔离,保证不同AP下的用户不能直接相通。
(3)AC通过UCL(用户ACL)用户的三层互控访问,所有用户只有通过AC认证后才能进行三层受控互通。
3.4用户数据加密-通过加密保障用户信息的安全性:(1)无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密,保证空口的信息传送的安全性,主要的加密算法为:WEP:基于RC4算法,对报文进行流加密;TKIP:对RC4算法进行了改进,在密钥生成中采用哈希算法并增加MIC(消息完整性检查),克服WEP的一些缺点。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得;AES:802.11i标准规定的标准算法,对报文进行块加密,需要硬件支持。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得。
(2)网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密,保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。根据隧道建立方式主要分为如下两类:
用户发起的VPDN:用户发起的VPN连接指的是以下的这种情况:首先,移动用户通过WLAN热点接入Internet访问企业网,接着,用户通过网络隧道协议与企业网建立一条加密的IP隧道连接从而安全地访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
两种VPDN方式的比较:由AC发起的VPDN,对于用户是透明的,用户不需要安装客户端软件,AC作为LAC为用户发起隧道,企业端需安装VPN网关终接隧道。企业可以采用AAA服务器进行用户的认证。由客户发起的VPDN只是利用运营商WLAN的承载通路,对运营商是透明的。而由AC发起的VPDN更适合运营商为企业提供VPDN业务,更便于集中控制管理VPDN业务。
四、总结
以前业界讨论WLAN安全提到的主要是WLAN空中接口安全问题。空中接口安全是WLAN网络安全的非常重要而且必须解决的问题,但WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的,随着802.11i、Wi-FiWPA技术的完善,空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决,才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。