以802.11技術構建的無線局域網網絡WLAN,其技術本身的安全屬性無法代表網絡的安全。業界討論WLAN網絡安全一般考慮的是將WLAN引入運營網絡,由于802.11空中接口安全尚不完備,導致網絡存在安全隱患,其實空中接口的安全只是整個網絡安全的一個問題,真正的WLAN網絡的安全是一個多層互動、全面綜合的系統工程問題,是否達到電信級網絡安全的要求。應該衡量的標準是:能否為最終用戶提供端到端安全保障?能否為運營商提供集設備級、網絡級、解決方案級三位一體的端到端安全架構?此外,WLAN的安全特性還應根據其不同的應用環境進行裁剪,在Home/Soho等應用時安全性要求可較低,而在企業網和公共運營網絡應用時,安全性要求應較高。
一、設備級安全
可運營WLAN網絡安全方案中應該考慮到設備級安全,包括電信設備的物理環境安全和主機安全。
網絡設備應具備設備防盜、設備防毀、防止電磁信息泄漏、抗電磁干擾、電源保護、受災防護、區域防護等特性。作為可運營WLAN網絡的WLAN標準網元設備必須基于電信級設計,具體包括室外型AP應該具有防水、防雷、防火和防盜的特性,AC和AS應該放置在局端,符合NEBS三級標準的要求。
網絡設備的主機應該具備用戶管理、安全日志、數據存儲備份等技術能力。
二、網絡級安全
可運營網絡在設計上應考慮到多層面的安全機制,針對WLAN應包括無線鏈路層安全、網絡層安全和應用層安全。
鏈路層安全主要是通過網絡的鏈路層的安全協議來保證,其中無線鏈路層的安全主要由802.11協議定義。鏈路層的安全機制主要包括:
無線網絡設備的服務區域認證ID(ESSID);Opensystem和Sharekey認證;MAC地址訪問控制;基于MAC地址的訪問控制列表(ACL)。
網絡層安全是由IP層協議保證網絡的安全,主要包括網絡邊界控制和管理,加強對外部攻擊和內部信息泄露的防范,網絡層的安全機制主要如下:
基于五元組的訪問控制列表(ACL);NAT/PAT功能;逆向檢測(RPD),防止IP地址欺騙;動態路由協議(RIP、OSPF、BGP)防欺騙;應用層加密的支持,為關鍵應用提供應用加密或隧道(IPSec)。
應用層安全主要是在網絡的應用層提供安全機制,主要包括:
網管信息安全,SNMPv1/v2c提供基于community的安全機制,SNMPv3提供基于用戶/密碼的安全機機制,安全性更強;安全登錄方式SSH;HTTP的安全機制HTTPs;RADIUS認證加密。
三、解決方案級安全
WLAN網絡所具備的設備級、網絡級的安全特性基本能滿足WLAN在家庭/SOHO中應用的安全要求。而針對WLAN運用于開放公共運營網絡,由于運用環境、組網網元、服務對象的變化,還需要考慮更多的安全問題:
基于不信任模型,從客戶接入網絡開始,經過多層次客戶認證;業務網安全策略和實施方案要根據業務特征進行規劃與實施;客戶使用的方便性在安全方案設計中必須重點考慮;高可用性要求;
主要通過安全技術與業務良好結合來解決安全問題、降低安全風險。
網絡面臨的主要安全威脅包括:
非法接入;惡意欺騙;信息外泄;信息遭篡改;網絡和通訊業務遭受攻擊。具體到WLAN的方案級安全策略主要包括用戶認證、用戶隔離、用戶綁定、用戶數據加密等幾個方面。
3.1用戶認證的安全:
通過識別用戶身份進行相應授權,在認證過程中保護用戶認證信息安全,不被竊取。可運營WLAN網絡目前用戶身份認證方式主要有以下三種:PPPOE、WEB、802.1x。而協議上這三種認證的過程都應該經過加密的。具體的加密機制如下:
(1)PPPOE中采用CHAP認證,可通過MD5算法,用戶密碼不以明文方式在網上傳輸,保證認證信息的安全;
(2)WEB認證中用戶密碼可采用HTTPS加密傳送,保證認證信息的安全;
(3)在802.1x認證中,EAP-MD5認證可采用MD5算法,用戶密碼不以明文方式在網上傳輸,保證認證信息的安全。EAP-SIM認證可采用A3/A8加密算法保證安全性。可以實現雙向認證和動態密鑰下發。EAP-TTLS、EAP-TLS、PEAP可通過SSL/TLS實現雙向認證和動態密鑰下發。
3.2用戶綁定:
通過各種認證技術(WEB、PPPOE或802.1X)對用戶進行認證后,AC應對用戶進行綁定,可以通過VLAN+IP地址+MAC地址來唯一標識一個用戶,同時為該用戶分配帶寬等屬性。用戶的業務流在進行轉發時均應與用戶標識進行檢測,不匹配的報文將被丟棄。采用用戶綁定技術可以較好防止IP地址欺騙、帶寬濫用及對DHCP服務器的攻擊。
3.3用戶隔離安全性:
可運營的WLAN網絡中,用戶之間是互不信任的,所以必須采用用戶隔離技術防止用戶之間的互相攻擊或竊聽。具體策略如下:
(1)AP內部采用MAC互訪控制原理隔離用戶。確保同一AP下的用戶不能二層相通,只能與上行口相通。
(2)AP之間采用MAC地址訪問控制或組網匯聚設備二層隔離技術如VLAN/PVLAN/PVC進行隔離,保證不同AP下的用戶不能直接相通。
(3)AC通過UCL(用戶ACL)用戶的三層互控訪問,所有用戶只有通過AC認證后才能進行三層受控互通。
3.4用戶數據加密-通過加密保障用戶信息的安全性:(1)無線鏈路層的加密:在用戶終端(STA)和AP之間進行信息的加密和解密,保證空口的信息傳送的安全性,主要的加密算法為:WEP:基于RC4算法,對報文進行流加密;TKIP:對RC4算法進行了改進,在密鑰生成中采用哈希算法并增加MIC(消息完整性檢查),克服WEP的一些缺點。其初始密鑰可通過EAP-SIM、EAP-TTLS、PEAP認證方式獲得;AES:802.11i標準規定的標準算法,對報文進行塊加密,需要硬件支持。其初始密鑰可通過EAP-SIM、EAP-TTLS、PEAP認證方式獲得。
(2)網絡層的加密:主要用于實現VPDN業務。在用戶終端(STA)和VPN網關之間對信息進行加密和解密,保證STA和VPN網關之間信息傳送的安全性。常用的技術如IPSec、L2TP、PPTP等隧道技術。根據隧道建立方式主要分為如下兩類:
用戶發起的VPDN:用戶發起的VPN連接指的是以下的這種情況:首先,移動用戶通過WLAN熱點接入Internet訪問企業網,接著,用戶通過網絡隧道協議與企業網建立一條加密的IP隧道連接從而安全地訪問企業網內部資源。在這種情況下,用戶端必須維護與管理發起隧道連接的有關協議和軟件。
兩種VPDN方式的比較:由AC發起的VPDN,對于用戶是透明的,用戶不需要安裝客戶端軟件,AC作為LAC為用戶發起隧道,企業端需安裝VPN網關終接隧道。企業可以采用AAA服務器進行用戶的認證。由客戶發起的VPDN只是利用運營商WLAN的承載通路,對運營商是透明的。而由AC發起的VPDN更適合運營商為企業提供VPDN業務,更便于集中控制管理VPDN業務。
四、總結
以前業界討論WLAN安全提到的主要是WLAN空中接口安全問題。空中接口安全是WLAN網絡安全的非常重要而且必須解決的問題,但WLAN網絡能否作為開放運營網絡只考慮空中接口問題是不夠的,隨著802.11i、Wi-FiWPA技術的完善,空中接口問題將得到解決。只有全方位、多維、端到端的WLAN運營網絡的安全問題得到解決,才是真正解決WLAN作為可運營、可管理的無線接入網絡的關鍵。
