任何參與網絡管理和安全工作的人都知道安全是網絡的最薄弱環節。復雜的互聯網(例如蜂窩網絡)存在的問題就是它們有很多組成部分,這也就構成了很多潛在安全威脅。蜂窩數據傳輸的整體安全取決於上述列出的四個主要組成部分的安全性。
無線通信從本質上來看要比有線通信更加難以保護。當信號通過電波傳輸時,更容易被攔截。任何有發射器/接收器的人都可以捕捉信號。由於很難或者幾乎不可能防止信號被攔截,保護無線網絡的關鍵在於加密這些信號,這樣攔截這些信息的人就無法利用這些信息。早期的蜂窩網絡並沒有對傳輸中的無線信號進行保護。然而,3G(及以上版本)網絡使用了強大的加密密鑰來加密信號。雙向驗證被用於防止對克隆蜂窩設備的使用。但3G網絡仍然容易受到拒絕服務攻擊的攻擊。
核心網絡安全是指服務節點(服務器)的安全和數據通過電纜在服務節點間傳輸的安全。MAPSec(移動應用部分安全)協議為用於交換信息的應用層協議提供安全。IPsec也被用在核心網絡來保護服務節點間的傳輸通信。然而,使用MAPSec還是IPsec都取決於服務供應商。每個供應商都有自己的關於服務器物理安全和遠程訪問安全政策。
就像互聯網對連接到它的家庭網絡帶來安全威脅一樣,它也會對核心網絡構成威脅。攻擊可以從互聯網穿越到網關並滲透到核心網絡,這包括拒絕服務和短信垃圾。因為PSTN是通過核心網絡連接到互聯網的,所以PSTN的安全也不能被保證。PSTN被設計為一個封閉式網絡,所以沒有防止來自因特網的威脅的安全機制,它使用的SS7協議是純文本,不包括身份驗證。
好消息就是蜂窩網絡運營商越來越關注蜂窩網絡的漏洞問題,正在采取措施來修復漏洞。盡管如此,大家最好自己也采取措施來保護自己的數據和系統。
蜂窩網絡的安全最佳做法
最終用戶在連接到蜂窩網絡需要采取的措施與在其他網絡的最佳做法其實差不多。關鍵在於當你使用蜂窩互聯網連接時,你會受到相同的威脅:惡意軟件、病毒、拒絕服務攻擊、入侵。也有針對設備的漏洞,例如,3GMiFi移動熱點的GPS可以在用戶不知情的情況下被啟用,如果用戶訪問了錯誤的惡意網站的話。最新版本的Mifi,就配備了失效的GPS芯片。
蜂窩網絡的最大風險就是很多用戶在連接到無線網絡的時候並沒有意識到威脅的存在。然而,使用蜂窩網絡還是要比使用公共無線熱點要安全。
因為網絡架構的復雜性,你永遠無法確定端到端的安全。因此,基於主機的安全性變得極為重要。當你使用3G/4G的設備或者使用筆記本使用移動熱點功能,可能有兩個網段需要擔心:到熱點設備或者手機的3G/4G無線信號,以及設備/手機和筆記本間的無線連接。如果你選擇通過無線或者USB tethering連接3G/4G設備/手機,請記住後者更加安全,因為避免了設備/手機和筆記本間的傳輸數據被無線攔截的可能性。如果你的設備提供這個選項,當電腦通過USB被連接到網絡時,將其設置為自動禁用無線。
以下是一些標准預防措施:
確保你的3G/4G設備(不管是USB調制解調器、MiFi設備、卡或者智能手機)都有可用的更新來解決固件或軟件的漏洞問題;
已安裝並正確配置主機設備的防火牆
安裝並開啟防病毒和反惡意軟件
訪問設計財務數據或敏感個人信息的網站時使用強大的密碼或多因素身份驗證
啟用日志和警報
對於連接的無線部分,使WPA2加密
在移動熱點設備(例如MiFi或Sprint的Overdrive)禁用SSID廣播和禁用DHCP服務器
當使用移動熱點設備或移動熱點功能(這允許多台計算機使用3G或4G連接)時,監控熱點軟件以確保只有已知的設備被連接
如果設備允許你設置用戶的最大量,而且如果你是唯一連接設備的人,將其設置為1.
更改您的3G/4G設備的默認管理密碼
如果您的3G/4G設備支持MAC過濾,啟用該功能,並創建設備物理地址白名單,阻止其他設備
網絡管理員需要知道的蜂窩安全問題
網絡管理員也必須認識到,企業用戶可以在其筆記本使用3G或4G卡或調制解調器以及使用蜂窩網絡訪問互聯網,繞過企業網關,同時連接到內部網絡。這可能對內部網絡構成嚴重威脅,因為用戶可以訪問網站或運行企業防火牆阻止的協議或應用程序。