- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
移动互联网时代如何保障无线接入设备安全
移动互联网、移动智能终端的快速兴起,正在推动无线接入技术的快速发展。尤其是伴随着全球移动数据流量的激增,以WiFi为代表的无线接入技术正在成为缓解蜂窝网络压力的有力手段。在旺盛的市场需求推动下,无线接入技术正在加快革命步伐,无线接入设备的种类也日渐增多,而由于海量设备的存在以及网络复杂度的提升,使得无线接入设备和网络的安全也成为一个突出问题。
随着宽带服务的普及,无线接入设备已经不仅用于小范围内的局域网互连,而是更多地作为移动互联网的“最后一公里”入口,成为移动互联网不可或缺的承载平台。当前,由于无线接入设备与互联网直接相连,网络环境复杂,数量众多,且智能化发展导致设备形态不断丰富,其安全问题日益凸显。那么,无线接入设备的安全问题主要有哪些?是否有办法规避和解决?
无线接入设备种类日渐丰富
随着移动互联网的发展,尤其是智能操作系统的广泛应用,出现了不同形态的无线接入设备,其结构和应用原理也有所区别,以满足不同的应用场景和需求。大致上看,目前的无线局域网设备可以分为传统无线局域网设备和新型无线局域网设备两大类。
传统无线局域网设备
传统无线局域网设备主要指无线局域网AP(WLAN AP),根据应用场合及部署方式不同,其可分为运营级AP和家用级AP。
运营级AP多使用“瘦AP”,主要由运营商部署在酒店、机场等热点地区。通常此类AP仅具有简单的二层转发功能,用于完成WLAN覆盖和接入,网络运营所需的设备配置、路由、计费等功能,由AP上联的AC(接入控制器)和AS(接入服务器)集中控制完成,普通用户一般无法获得“瘦AP”的配置管理权限。
家用级AP多使用“胖AP”,除具有无线接入与覆盖功能外,还具有无线参数选择、路由、安全等功能,一般用户可自行完成配置和管理。“胖AP”具有用户侧(LAN)接口和网络侧(WAN)接口,LAN接口用于实现无线接入与覆盖,WAN接口通过固定宽带接入(如以太网、DSL、PON等)与互联网连接, 同时还支持DHCP、DNS、PPPoE、VPN等与接入控制、地址分配、路由功能等相关的协议,以实现设备配置、路由、安全等功能。
新型无线局域网设备
随着用户接入需求的不断升级,出现了多种新型无线接入设备,以满足用户在不同应用场景下的接入需求。如3G/4G无线路由器(Mi-Fi/LTE-Fi)、智能无线路由器、智能盒子等。
3G/4G无线路由器突破了传统WLAN AP必须采用有线方式接入互联网的局限性,其WAN侧接口通过3G/4G蜂窝网络进行数据回传。根据蜂窝回传方式的不同,3G/4G无线路由器可分为Mi-Fi(3G回传)和LTE-Fi(LTE回传)接入设备。
由于Mi-Fi和LTE-Fi可实现多个用户通过WLAN接入同一蜂窝网络的目标,故广泛应用于家庭、小型办公环境及特定行业应用(油田、电力、公交、酒店、商场等)环境。Mi-Fi和LTE-Fi通常具有协议转换(3G/4G-WLAN)、WLAN无线接入及路由/管理功能。协议转换功能将3G/4G网络转换成无线局域网接入,WLAN无线接入功能实现WLAN覆盖和接入,而路由/管理功能用于WLAN接入网络与3G/4G网络之间的路由和地址映射,使得多个WLAN用户可共享同一3G/4G网络连接并具有相应的配置、安全、管理等功能。该类设备由运营商进行集采或市面自主销售,最终由用户进行使用,一般无需电信运营商统一配置管理,用户自行对此类设备进行配置和管理。
智能无线路由器就是采用智能化操作系统的无线局域网AP。与传统无线局域网AP相比,智能无线路由器具有应用层流量控制、应用软件安装,甚至视频、游戏等第三方服务端资源搭载类扩展性功能,因而成为目前的一个应用热点,其典型设备包括极路由、小米路由、360路由等。
智能盒子类似于机顶盒设备,其网络侧通过WLAN接口与互联网相连,用户侧通过HDMI等视频接口与电视、电脑等终端相连,实现内容共享。此外,还可根据用户需要安装应用软件,从而拓展移动互联网的应用场景,因而引起了业界和用户的极大关注,典型设备包括小米盒子、华为秘盒等。
两大类安全问题不容忽视
无线局域网接入设备安全问题主要分为两类:一是传统无线接入设备存在的安全问题,二是智能化引起的新的安全问题。
目前,无线局域网接入设备的传统安全问题主要涵盖四个方面,即非法接入、无线窃听、无线网络干扰、 网络攻击及远程控制。
非法接入可以从两个角度去理解。一是用户端非法连接无线接入设备,如WLAN用户通过密码破解等方式,非法连接到WLAN AP上,发动网络攻击。二是无线接入设备非法连接用户端,如伪AP钓鱼,入侵者通过硬件或软件方式搭建伪造的无线局域网AP,诱导用户接入到此伪AP上,并在用户不知情的情况下收集用户信息,执行钓鱼攻击。
无线窃听的安全隐患正日渐突出。当前,无线接入设备的空中接口是非法分子窃听和攻击的焦点,目前也存在很多商业和免费的工具可以对无线局域网无线链路进行抓包和解码,获取用户应用层传输数据,并可据此发动网络攻击,给用户安全带来威胁。
无线网络干扰会影响接入设备的正常使用。以WLAN AP为代表的无线接入设备主要工作在ISM频段,因而难以实现统一有效的行业监管和约束,攻击者可以通过自主架设该类设备,给运营商和用户造成无线干扰,使上述设备无法正常使用。
网络攻击及远程控制的风险不容忽视。无线接入设备普遍面临网络攻击、远程控制等安全问题,如对无线接入设备发起Ping Flood、DDoS等洪泛攻击,可能导致设备瘫痪;针对无线接入设备的某些预设端口,通过构造特定的用户数据包开启远程登录服务,可对设备进行远程控制,从而给用户安全带来极大威胁。
值得一提的是,智能化引发了无线局域网接入设备新的安全问题。当前,Android等智能操作系统引入无线接入设备上,使其与应用商店相结合,成为各种应用程序的承载平台和传播渠道。用户可便利地接入网络,同时安装自己需要的应用软件,提升用户体验。但由于Android操作系统具备开放的API,可被利用嵌入各类恶意代码,在用户不知情的情况下,后台调用发送信息、联网等功能,从而造成恶意吸费、隐私被窃取甚至流量被劫持等安全威胁。
全面提升无线接入设备系统安全性
从信息安全的角度分析,任何一个信息系统的安全问题都来源于两个方面:自身的脆弱性以及外来的攻击。只有当这两方面因素共同作用,才会引发安全事件。对这两方面因素中的任何一个进行防护,都可缓解甚至遏制安全问题的产生,从而达到信息系统机密性、完整性和可用性的要求。对于信息系统自身而言,由于信息系统总是处在复杂的应用环境中,随时可能受到各种有意无意的攻击,因此只能尽量提升自身的安全防护能力,以对抗外来各种攻击。
从无线接入设备系统的结构来看,最底层是硬件芯片层;之上为系统软件层,主要包括操作系统和协议栈;顶层为应用层,主要指加载的应用软件,包括预置应用软件及第三方应用软件;外围接口主要涉及系统软件层和硬件芯片层。
如前所述,为抵抗外来攻击,需从各层面增强无线接入设备安全防护能力,基本原则是不能在用户不知情的情况下发生后台调用系统资源等恶意行为。硬件层主要指芯片,是整个设备安全的根节点,应通过排查隐秘通道及后门、设置远程控制开关等措施,建立芯片安全防护能力。系统软件层一方面需对操作系统进行加固,防止API滥用造成恶意吸费、窃取用户隐私、损坏设备功能等危害用户安全的行为;另一方面需通过端口封堵、加载协议栈补丁等措施,建立协议栈安全防护能力。应用层需对应用软件提出安全目标,保证安装到无线接入设备上的应用软件没有损害用户利益和危害网络安全的行为。外围接口层一方面要通过加密、鉴权和认证等安全机制防止空中接口(WLAN、3G/4G、蓝牙等)引起的非法接入、无线窃听、无线网络干扰等问题;另一方面要通过强化外围接口管控能力,防止外围接口被非法开启、连接、调用而导致用户数据泄露等安全问题。
作者:汪坤 夏骆辉 贺鹏 秦岩 陈永欣 来源:人民邮电报
上一篇:解析通信光纤光缆线路发生故障的四大原因
下一篇:移动数据时代运维的转型之道