WLAN發(fā)展趨勢

隨著移動 互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量激增，熱點區(qū)域網(wǎng)絡(luò)的負荷已經(jīng)超載。WLAN網(wǎng)絡(luò)具有豐富的頻譜資源，國際標準化組織也將網(wǎng)絡(luò)和WLAN融合作為重要研究方向。同時，WiFi目前已經(jīng)成為智能終端的標準配置。市場統(tǒng)計數(shù)據(jù)顯示，2013年支持WiFi的設(shè)備將增長至 15億部。各類電子設(shè)備中WiFi內(nèi)置比例也正迅速上升，滲透率從2009年的12%快速升至2012年的23%。筆記本、上網(wǎng)本和平板電腦中WiFi的 滲透率已接近100%，支持WiFi的智能手機比例也已超過80%。因此，WiFi已成為全球運營商普遍關(guān)注的熱點，65%的主流運營商選擇WLAN網(wǎng)絡(luò)進行業(yè)務(wù)分流，提升網(wǎng)絡(luò)容量和用戶體驗。WLAN發(fā)展趨勢主要有幾個如下特點：

1、移動通信流量全球暴增，WLAN的市場需求正在井噴

智能移動終端暴增已使3G 網(wǎng)絡(luò)不堪重負。據(jù)愛立信報告，09 年全球移動數(shù)據(jù)流量幾乎增長了兩倍，2010 達到22.5 萬TB，其中80%被視頻和數(shù)據(jù)業(yè)務(wù)占據(jù)，3%的iPhone 用戶消耗掉AT&T 40%多的帶寬，移動互聯(lián)網(wǎng)需求帶來的數(shù)據(jù)流量暴增速度已經(jīng)超乎想象，僅靠高昂的3G 網(wǎng)絡(luò)既來不及也不可能完全解決問題。WLAN進入新一輪的高速成長期，隨著終端普及和標準兼容，WLAN 在未來5 年又將進入高速成長期， WLAN的市場需求正在井噴。

圖1

2、中國WLAN 進入真正的新一輪的5 年高速成長期

WLAN 作為移動通信的必要補充，契合十二五戰(zhàn)略性新興信息產(chǎn)業(yè)在寬帶、泛在、融合、安全上的內(nèi)在要求。運營商、駐地網(wǎng)和家庭網(wǎng)絡(luò)三駕馬車起頭并進，推動中國WLAN 進入真正的高速成長期。未來 5 年WLAN 將在中國家庭、辦公樓、學校和公共區(qū)域快速普及。

圖2

3、伴隨噴薄的市場需求，WLAN安全將打開移動互聯(lián)增值服務(wù)的藍海未來

全球移動通信流量每年暴增，WLAN 移動數(shù)據(jù)分流作用不斷提升，WiFi在移動終端的滲透率不斷提升，WLAN的市場需求正在井噴，同時WLAN將打開移動互聯(lián)增值服務(wù)的藍海未來。

WLAN 不僅是互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)重要的接入融合點，更是重要的業(yè)務(wù)融合點。移動增值服務(wù)最大的市場桎梏在于高昂的流量費和有限且受限的支付通道。WLAN 不僅從需求和供給上同時破局，還創(chuàng)造出LBS、廣告推送、VoWiFi、無線流媒體和無線監(jiān)控等創(chuàng)新融合方案，WLAN安全的保障將打開移動增值服務(wù)的藍海未來。

圖3

WLAN面臨的安全風險及危害

WLAN系統(tǒng)面臨的風險包括資源耗盡風險、無AP關(guān)聯(lián)認證風險、無加密的空中信息傳輸泄密風險、來自客戶端的攻擊等各類可能引發(fā)WLAN系統(tǒng)不可用風險、系統(tǒng)服務(wù)質(zhì)量下降、無線頻譜干擾風險、空中中間人攻擊風險、非法廣播信息風險、客戶信息泄密風險等。從用戶的安全運營角度，我們對WLAN面臨的安全風險進行了分類如下：

圖4

1、業(yè)務(wù)濫用，流量盜用風險

在大量的WLAN系統(tǒng)中，都存在繞過驗證portal認證機制免費使用WLAN流量上網(wǎng)的問題。

同時部分用戶的上網(wǎng)認證密碼非常簡單，也可能導(dǎo)致盜用上網(wǎng)的風險存在。在實際的網(wǎng)絡(luò)當中，還存在重置密碼過于簡單的問題導(dǎo)致盜用上網(wǎng)的風險存在。

通過欺騙及非授權(quán)攻擊，前一用戶離開后，后一用戶采用修改MAC及IP地址的方法繼續(xù)訪問網(wǎng)絡(luò)。并偽造DHCP續(xù)租盜用上網(wǎng)。

基于session hijacking的盜取服務(wù)攻擊。

2、網(wǎng)絡(luò)服務(wù)不可用風險

WLAN系統(tǒng)是指應(yīng)用無線通信技術(shù)為用戶提供高速而穩(wěn)定的無線連接，保障網(wǎng)絡(luò)的可用性至關(guān)重要。在實際的系統(tǒng)當中可能存在以下問題都會致使網(wǎng)絡(luò)不可用，這里主要包括惡意的或非惡意的拒絕服務(wù)攻擊。

惡意的拒絕服務(wù)攻擊包括：

BeaconFlood ---無線SSID干擾攻擊

Authentication DoS --- DHCP地址耗盡攻擊

Deauthentication/Disassociation Amok ---指定用戶斷線攻擊。

無惡意的拒絕服務(wù)攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒后，對WLAN核心網(wǎng)發(fā)動的拒絕服務(wù)攻擊等。

在AC運營過程中，可能會遭受網(wǎng)絡(luò)環(huán)路，而產(chǎn)生大量的廣播報文對AC形成威脅，這將直接導(dǎo)致AC所管理的AP全部掉線。

對于AC的攻擊，由于我們的網(wǎng)絡(luò)是無線的，任何人都可以很輕松的接入網(wǎng)絡(luò)，一臺AC通常管理1000~2000個AP，一旦AC被攻破，那么將直接導(dǎo)致所有AP全部掉線。因此對AC的攻擊威脅較大。

3、用戶信息被盜用風險

由于在無線環(huán)境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易，對于AP及用戶的攻擊除會造成用戶無法接入網(wǎng)絡(luò)以外，用戶的數(shù)據(jù)也得不到安全保證，特別是用戶登錄無線網(wǎng)絡(luò)的認證信息。用戶在使用無線網(wǎng)絡(luò)的時候，存在以下安全威脅都可能導(dǎo)致用戶的重要信息被獲取，包括

無線釣魚，獲取敏感信息

無線網(wǎng)絡(luò)監(jiān)聽、無線網(wǎng)絡(luò)嗅探攻擊

無線破解攻擊：WEP的破解、WPA的破解

4、專有設(shè)備被利用風險

AP、AC設(shè)備由于配置不嚴格，存在弱口令或者其他安全隱患都有可能導(dǎo)致設(shè)備別非法控制，從而出現(xiàn)斷網(wǎng)的風險。

同時portal系統(tǒng)也可能存在sql 注入漏洞、web上傳漏洞等常見的web漏洞致使系統(tǒng)被攻擊的風險。

WLAN網(wǎng)絡(luò)目前存在大量網(wǎng)絡(luò)、應(yīng)用漏洞，且面向互聯(lián)網(wǎng)開放，易被互聯(lián)網(wǎng)黑客所利用。WLAN網(wǎng)絡(luò)的重要性與當前安全水平極不匹配。

依據(jù)WLAN網(wǎng)絡(luò)結(jié)構(gòu)，出現(xiàn)在AP側(cè)、AC側(cè)、網(wǎng)絡(luò)設(shè)備側(cè)、AAA（包括Portal和Radius設(shè)備）側(cè)易出現(xiàn)的風險用表格方式總結(jié)如下：

圖5

各安全風險在網(wǎng)絡(luò)結(jié)構(gòu)中的分布如下圖：

圖6

WLAN安全防護體系框架

基于相關(guān)的安全理論模型，借鑒目前IT行業(yè)的系統(tǒng)分層結(jié)構(gòu)，我們提出了WLAN安全防護體系框架，用以指導(dǎo)WLAN安全建設(shè)工作。

圖7

對WLAN進行安全域劃分，根據(jù)安全域劃分原則和網(wǎng)絡(luò)優(yōu)化和邊界整合策略，經(jīng)過對業(yè)務(wù)數(shù)據(jù)流分析，WLAN認證系統(tǒng)的安全域，可以劃分以下安全域，按重要性從高至低分別為：

認證鑒權(quán)區(qū)域：認證鑒權(quán)區(qū)域主要包含radius、Portal服務(wù)器等。可以進一步細分為radius應(yīng)用服務(wù)器區(qū)、Portal服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)。

接入控制區(qū)域：接入控制區(qū)域主要AC、防火墻等設(shè)備。

熱點接入?yún)^(qū)域：AP、接入終端等。

WLAN系統(tǒng)自身滿足如下四個方面要求：帳號口令、日志審計、數(shù)據(jù)加密等安全功能要求；口令強度、應(yīng)用中安全相關(guān)用戶缺省配置等安全配置要求；避免緩沖區(qū)溢出、注入攻擊等缺陷的軟件代碼安全要求；確保業(yè)務(wù)流程各環(huán)節(jié)（邏輯）安全的機制要求。

在安全域劃分的基礎(chǔ)上，結(jié)合WLAN網(wǎng)絡(luò)的特定安全需求，有選擇的部署WLAN應(yīng)用防火墻、WLAN IDS、web防護等各類基礎(chǔ)安全技術(shù)防護手段。為了滿足集中運維的需要，各類基礎(chǔ)安全技術(shù)防護手段應(yīng)支持集中監(jiān)控。同時，各類基礎(chǔ)安全技術(shù)防護手段應(yīng)具備完成信息安全管理功能所必須的接口。

WLAN網(wǎng)絡(luò)管理應(yīng)根據(jù)“集中監(jiān)控、集中維護、集中管理”的原則，對異地多廠商環(huán)境下的WLAN網(wǎng)元和網(wǎng)絡(luò)進行集中統(tǒng)一的監(jiān)控管理與操作維護，對設(shè)備性能參數(shù)和業(yè)務(wù)流量進行在線統(tǒng)計和分析，以保證WLAN承載的無線數(shù)據(jù)業(yè)務(wù)的有效開展。

WLAN安全運營的關(guān)鍵點

（1）WLAN專有的安全防護措施建設(shè)

WLAN業(yè)務(wù)系統(tǒng)既有通用IT基礎(chǔ)設(shè)施承載相關(guān)應(yīng)用，又有其特有的專用設(shè)備、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程。一般的安全防護是基于基礎(chǔ)IT設(shè)備評估的體系，缺乏對應(yīng)用層、通信業(yè)務(wù)的全面評估和加固防護手段，無法應(yīng)對日新月異的WLAN業(yè)務(wù)系統(tǒng)安全威脅。傳統(tǒng)安全管理、安全和技術(shù)措施無法滿足新的業(yè)務(wù)安全需求，存在明顯空白薄弱點。

WLAN安全應(yīng)該涵蓋從AP、AC、Portal、Radius、防火墻、交換機、操作系統(tǒng)、數(shù)據(jù)庫等防護對象。尤其是特有的專用設(shè)備、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程都是傳統(tǒng)技術(shù)手段無法進行防護，所以建設(shè)WLAN專有的安全防護措施至關(guān)重要。

（2）提升WLAN網(wǎng)絡(luò)和業(yè)務(wù)穩(wěn)定性，確保用戶良好體驗

對于WLAN相應(yīng)的故障，傳統(tǒng)的做法只有通過人工到現(xiàn)場采用各種軟件來檢測，比如chariot、 NetStumbler、 FTP、PING、 sniffer等各種工具綜合判斷，才能解決故障 。該方式的主要缺點包括：人員必須現(xiàn)場監(jiān)測、技術(shù)要求專業(yè)、解決效率低、 并且只有在發(fā)生故障時才能發(fā)現(xiàn)。

WLAN網(wǎng)絡(luò)運營的優(yōu)劣關(guān)鍵是用戶體驗，但是如何用技術(shù)手段了解真實的用戶使用體驗一直是運營的難點。包括：

如何快速精準的定位WLAN業(yè)務(wù)系統(tǒng)的故障原因？

如何事實的監(jiān)控WLAN熱點的質(zhì)量狀態(tài)？

如何提高WLAN用戶體驗感？

如何構(gòu)建高質(zhì)量高業(yè)務(wù)成功率的WLAN業(yè)務(wù)系統(tǒng)？

針對業(yè)務(wù)質(zhì)量的主要建設(shè)思路包括：通過模擬WLAN終端接入技術(shù)充分模擬用戶上網(wǎng)行為，把用戶的WLAN上網(wǎng)體驗進行量化并把信息集中分析。并且只有實時進行安全威脅檢測，確保網(wǎng)絡(luò)安全。同時具備集各種監(jiān)測方法為一體，自動監(jiān)測。并且采用實時預(yù)警、人工遠程監(jiān)測等功能，提前預(yù)知故障，對于提高維護效率、降低維護成本、提升服務(wù)質(zhì)量有著很大的作用。