DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 999|回复: 0
打印 上一主题 下一主题

[待整理] WLAN运营之道

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 17:32:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
WLAN技术凭借其自身的优势得到运营商建网的青睐,但同时由于其标准的不完善,给运营网络引入的安全隐患也一直为业界争议。对于运营商而言,决不能单靠WLAN技术本身的安全特性来保证整个网络的安全。以802.11技术构建的无线局域网,其技术本身的安全属性无法代表网络的安全。真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题。此外,WLAN的安全特性还应根据其不同的应用环境进行裁剪,在HOME/SOHO等应用时安全性要求较低,而在企业网和公共运营网络应用时,安全性要求较高。

        华为公司自1999年开始跟踪WLAN技术,至2002年推出自主开发的全系列WLAN产品,包括AP、AC、AS、客户端软件等。通过结合华为公司在无线领域组网经验以及数据领域配套产品,可根据不同运营商的建网思路构架出可运营、可管理、可盈利、可平滑升级到未来网络的WLAN解决方案。华为公司WLAN解决方案在设备级、网络级和解决方案级提供了WLAN的安全解决方案。

设备级安全
可运营WLAN网络安全方案中应该考虑到设备级安全,包括电信设备的物理环境安全和主机安全。网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计,具体包括室外型AP(Access Point)应该具有防水、防雷、防火和防盗的特性,AC(Access Controller)和AS(Authentication Server)应该放置在局端,符合NEBS三级标准的要求。

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术等能力。

用户管理 是限制用户管理设备的权限,主要包括用户级别、用户密码、用户权限、同时登录用户数、用户锁定、超时断开用户连接、口令密码显示、超级用户管理低级别用户等特性。

安全日志 是记录各种统计信息和异常事件,主要包括IP处理功能的统计、ICMP重定向报文接收的日志记录、防火墙日志和统计、基于ACL的流量限制的统计、逆向探测(RPD)的日志和统计、用户管理日志、关键事件日志、SNMP日志、HTTP日志、异常流量日志、诊断调试信息、支持SYSLOG等等。

网络级安全
可运营网络在设计上应考虑到多层面的安全机制,具体针对WLAN应包括无线链路层安全、网络层安全和应用层安全。
链路层安全 主要通过网络链路层的安全协议来保证,其中无线链路层的安全主要由802.11协议定义。
网络层安全 是由IP层协议保证网络的安全,主要包括网络边界控制和管理,加强对外部攻击和内部信息泄露的防范。
应用层安全 主要是在网络的应用层提供安全机制,主要包括:
• 网管信息安全,SNMPv1/v2c提供基于community的安全机制,SNMPv3提供基于用户/密码的安全机机制,安全性更强
• 安全登录方式SSH
• HTTP的安全机制HTTPs
• RADIUS认证加密

解决方案级安全
WLAN网络具备了设备级、网络级的安全特性就基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络,由于运用环境、组网网元、服务对象的变化,还需要考虑更多的安全问题,具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

用户认证的安全 通过识别用户身份进行相应授权,在认证过程中保护用户认证信息不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密。具体的加密机制如下:
• PPPOE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。
• WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全。
• 802.1x认证。

用户绑定 通过各种认证技术(WEB、PPPOE或802.1X)对用户进行认证后,AC应对用户进行绑定,可以通过VLAN+IP地址+MAC地址来标识唯一用户,同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测,不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

用户隔离安全性 可运营的WLAN网络中,用户之间是互不信任的,所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。

用户数据加密 通过加密保障用户信息的安全性。

• 无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密,保证空口的信息传送的安全性。
• 网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密,保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。

结束语
WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的,随着802.11i、Wi-Fi WPA的技术的完善,空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决,才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-14 23:11 , 耗时 0.099746 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表