微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > WLAN运营之道

WLAN运营之道

时间:08-29 来源: ZDNet China 点击:

WLAN技术凭借其自身的优势得到运营商建网的青睐,但同时由于其标准的不完善,给运营网络引入的安全隐患也一直为业界争议。对于运营商而言,决不能单靠WLAN技术本身的安全特性来保证整个网络的安全。以802.11技术构建的无线局域网,其技术本身的安全属性无法代表网络的安全。真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题。此外,WLAN的安全特性还应根据其不同的应用环境进行裁剪,在HOME/SOHO等应用时安全性要求较低,而在企业网和公共运营网络应用时,安全性要求较高。

华为公司自1999年开始跟踪WLAN技术,至2002年推出自主开发的全系列WLAN产品,包括AP、AC、AS、客户端软件等。通过结合华为公司在无线领域组网经验以及数据领域配套产品,可根据不同运营商的建网思路构架出可运营、可管理、可盈利、可平滑升级到未来网络的WLAN解决方案。华为公司WLAN解决方案在设备级、网络级和解决方案级提供了WLAN的安全解决方案。

设备级安全
可运营WLAN网络安全方案中应该考虑到设备级安全,包括电信设备的物理环境安全和主机安全。网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计,具体包括室外型AP(Access Point)应该具有防水、防雷、防火和防盗的特性,AC(Access Controller)和AS(Authentication Server)应该放置在局端,符合NEBS三级标准的要求。

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术等能力。

用户管理 是限制用户管理设备的权限,主要包括用户级别、用户密码、用户权限、同时登录用户数、用户锁定、超时断开用户连接、口令密码显示、超级用户管理低级别用户等特性。

安全日志 是记录各种统计信息和异常事件,主要包括IP处理功能的统计、ICMP重定向报文接收的日志记录、防火墙日志和统计、基于ACL的流量限制的统计、逆向探测(RPD)的日志和统计、用户管理日志、关键事件日志、SNMP日志、HTTP日志、异常流量日志、诊断调试信息、支持SYSLOG等等。

网络级安全
可运营网络在设计上应考虑到多层面的安全机制,具体针对WLAN应包括无线链路层安全、网络层安全和应用层安全。
链路层安全 主要通过网络链路层的安全协议来保证,其中无线链路层的安全主要由802.11协议定义。
网络层安全 是由IP层协议保证网络的安全,主要包括网络边界控制和管理,加强对外部攻击和内部信息泄露的防范。
应用层安全 主要是在网络的应用层提供安全机制,主要包括:
• 网管信息安全,SNMPv1/v2c提供基于community的安全机制,SNMPv3提供基于用户/密码的安全机机制,安全性更强
• 安全登录方式SSH
• HTTP的安全机制HTTPs
• RADIUS认证加密

解决方案级安全
WLAN网络具备了设备级、网络级的安全特性就基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络,由于运用环境、组网网元、服务对象的变化,还需要考虑更多的安全问题,具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

用户认证的安全 通过识别用户身份进行相应授权,在认证过程中保护用户认证信息不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密。具体的加密机制如下:

• PPPOE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。
• WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全。
• 802.1x认证。

用户绑定 通过各种认证技术(WEB、PPPOE或802.1X)对用户进行认证后,AC应对用户进行绑定,可以通过VLAN+IP地址+MAC地址来标识唯一用户,同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测,不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

用户隔离安全性 可运营的WLAN网络中,用户之间是互不信任的,所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。

用户数据加密 通过加密保障用户信息的安全性。

• 无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密,保证空口的信息传送的安全性。
• 网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密,保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top