WLAN安全合规性检查工具.doc

成果上报申请书成果名称wlan网络安全合规性检查工具成果申报单位中国移动天津公司成果承担部门/分公司网络部项目负责人姓名曹立冬项目负责人联系电话和e成果专业类别*数据业务所属专业部门*网络线条成果研究类别*相关网络解决方案省内评审结果*优秀关键词索引（35个）wlan、无线城市、安全规范、合规、安全漏洞应用投资30万元产品版权归属单位中国移动天津公司对企业现有标准规范的符合度： 中国移动wlan设备通用安全功能和配置规范v2中国移动wlan设备通用安全功能测试规范v2如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：成果简介： wlan安全合规性检查工具是一套针对wlan业务系统安全配置和安全漏洞检查的专业安全系统，它填补了国内wlan业务层面安全风险识别的空白。wlan安全合规性检查工具在全面识别传统网元设备安全脆弱性的基础上，增加了对wlan系统专有协议、专有设备、专有应用的漏洞检测和合规检查。系统主要包含以下四个核心功能模块：wlan业务安全漏洞检测、wlan专有设备合规性检查、wlan应用安全漏洞检测、通用网元设备合规性检查。使用该系统实施安全检查识别并处置相关安全风险，为用户提供安全可靠的wlan网络，避免了免认证登录、网络攻击造成业务无法使用等情况，将有效为公司挽回安全事件导致的经济损失。另一方面，优质、安全的网络也将吸引更多集团、大众客户的使用，为公司赢得经济和社会效益。依靠该工具主要发现的各类安全问题及，将对天津公司无线城市建设具有重要的安全保障作用。省内试运行效果：使用wlan安全合规性检查工具通过对现网和待入网设备、系统模块进行检查，分别发现了网络不可用、业务滥用盗用、侵害用户利益、系统和设备被攻击等四大类风险，其中依靠该工具发现的“傲天动联无线控制器绕过验证下载配置文件漏洞”被cncert（国家计算机网络应急技术处理协调中心）编号为cnvd-2011-04873；总部网络部通过”jt-001-110402-00013”工单发布“关于紧急防范傲天及其oem产品wlan ac安全漏洞威胁的紧急预警信息公告”，要求全网进行紧急规避处理。通过公司各部门与评估厂商的积极商讨，得出有效的漏洞修复方案，并已对其中绝大部分安全漏洞完成集中修复，wlan网络整体安全水平得到明显提升，通用入侵手段已无法对网络造成威胁。研究成果可在中国移动各省和全国其他wlan运营商范围推广使用，从而指导更多省公司关注和完善wlan网络安全建设工作。首先使用wlan安全合规性检查工具对wlan系统进行全面安全检查，然后结合当地网络结构和业务实现方式，进行本地化wlan业务安全评估和修复工作。工具可通过ap无线侧、有线侧接入wlan网络，并通过电脑终端软件安装或固化至检测设备两种方式，方便接入和使用，有利于大规模推广应用。文章主体 一、项目背景国家十二五规划提出建设宽带无线城市、中国移动全国范围内wlan无线城市建设也在如火如荼的进行当中，同时wlan业务也是中国移动天津公司在面对全业务发展竞争的趋势，保持在互联网宽带移动领域的优势，积极进入竞争对手的传统领域，而大力发展的业务。根据集团公司要求，作为重要网络资源，wlan网络建设应该走在业务发展之前，要加大网络规划力度，迅速形成规模经营，推动市场快速发展。wlan网络建设的主要目的为：分流2/3g网络的数据流量，扩大网络覆盖，支持业务发展，并作为家庭宽带接入的重要手段。随着天津移动wlan网络建设工作的逐步开展，通过wlan业务进行无线网络分流，扩大业务覆盖范围以及灵活的组网和资费，开始为公司带来稳定的业务收入。但与此同时，越来越多的安全威胁被引入到全ip化的wlan网络中来。随着黑客攻击技术的不断发展，针对wlan攻击技术也层出不穷。根据集团公司和互联网发布，wlan网络不断出现远程控制漏洞、免认证登录漏洞、网络干扰、网络破解、拒绝服务攻击、窃取用户信息以及借助wlan网络攻击核心网元的安全问题。原有的安全防护及针对单纯的基础it设备的安全检查手段，开展的安全检查大部分仅停留在系统和通用设备安全配置上，缺乏对应用层、通信业务的全面安全检查和加固手段，且检查范围有限，不能全面发现漏洞，无法应对日新月异的业务系统安全威胁，不能满足全ip化的趋势及应对wlan网络具有电信特色的攻击技术。集团总部下发的wlan设备安全规范指导了wlan安全检查和防护工作的开展，但在实际安全工作运用中仍存在规范可操作性不强、安全建议不具体和无法应对利用业务层面未知安全漏洞攻击等不足之处。因此，如何全面深入检查wlan网络现有安全漏洞问题，是本系统实现的重点目标。二、技术方案详细介绍（一）概述wlan安全合规性检查工具是一套针对wlan业务系统安全配置和安全漏洞检查的专业安全子系统，它填补了wlan业务层面安全风险识别的空白。wlan安全合规性检查工具在全面识别传统it网元设备安全配置脆弱性的基础之上增加了对wlan系统专有协议、专有设备、专有系统模块的安全配置分析和安全漏洞检测，系统合规性检查功能划分为以下四个功能模块：wlan业务安全漏洞检测、wlan专有设备合规性检查、wlan应用安全漏洞检测、通用网元设备合规性检查。使用该系统实施安全检查识别并处置相关安全风险使为用户提供的各类wlan网络安全可靠，避免了免认证登录、网络攻击造成业务无法使用等情况，将有效为公司挽回安全事件导致的经济损失。另一方面，优质、安全的网络也将吸引更多集团、大众客户的使用，为公司赢得经济和社会效益。（二）系统功能1、wlan业务安全漏洞检测l 流量盗用漏洞检测正常使用wlan业务提供的互联网服务需要经过认证鉴权流程的检验，通过验证方能使用互联网服务。由于认证流程等方面的安全漏洞存在，通过某些特殊技术手段是可以绕过认证流程，免费使用wlan服务的。对于此类可能造成业务营收损失的安全漏洞wlan安全合规性检查工具对整个wlan系统中各关键组件、设备进行检查来发现可能引起漏洞危害的相关特征信息。l 认证鉴权流程漏洞检测根据梳理的wlan业务系统中认证鉴权实现流程，分析web认证系统结构、web用户接入流程、web用户下线流程、定期自动认证流程和用户在线冲突处理流程是否规范，是否存在安全风险。l 业务可用性漏洞检测wlan系统网络、设备、应用程序的持续稳定运行是中国移动提供互联网上网服务的基本要求，业务可用性安全检测主要分析无线网络层面、ac和ap设备、会话管理等方面可能导致业务无法向用户提供的的安全风险。l 客户信息泄露漏洞检测用户使用wlan业务访问互联网会传输各种应用数据，其中可能包括网银、网上营业厅等涉及敏感信息的业务，没经过安全加固和配置wlan系统存在泄露用户敏感数据的风险。在该检测项目中重点检查wlan portal的认证页面是否使用https加密传输涉及用户名、密码等敏感信息。2、wlan专有设备合规性检查l wlan专有设备漏洞检测在中国移动wlan组网结构中ac、ap等专有设备承载着wlan业务的核心功能，专有设备自身由于厂商开发过程及代码编写不安全等原因存在不同严重程度的安全漏洞。但由于其不开放性导致很多安全漏洞不为大多数人所知，在wlan安全合规性检查工具中整合了若干此类安全问题的集合，在检查中可以发现专有设备自身的安全漏洞。l wlan专有设备集团规范合规性检查wlan安全合规性检查工具将集团总部下发的安全配置、功能规范无一遗漏的梳理到合规检查规则库，系统自动登录指定设备进行配置信息的采集及分析。并将分析结果按照不同重要性权重、针对不同设备进行安全水平打分，以量化分数的形式展现各专有设备的安全规范符合度。l wlan专有设备安全增强项合规性检查集团总部下发的wlan设备安全规范指导了wlan安全检查和防护工作的开展，但在实际安全工作运用中仍存在规范可操作性不强、安全建议不具体和无法应对利用业务层面未知安全漏洞攻击等不足之处。wlan安全合规性检查工具在集团总部下发规范基础之上进行了细化解读，从最大化有利于实际安全工作的角度出发在检查项目、深度和解读角度方面进行了补充。l 配置项加固整改建议全面检查专有设备安全规范配置不当的最终目的是执行切实整改，确保wlan系统及其中专有设备安全稳定运行。wlan安全合规性检查工具在提出配置脆弱性的同时也会一并给出具体命令级的安全加固整改建议，帮助wlan系统相关人员尽快、独立完成安全加固工作。3、wlan应用安全漏洞检测wlan应用系统安全检查主要从输入验证、身份验证、授权、配置管理、敏感数据保护、会话管理、加密、异常管理等角度分析应用系统的安全功能设计以及存在的安全隐患。主要涉及以下方面： 输入验证应用程序如果没有设定输入数据的类型、长度、格式或者范围，输入验证就成为了一个安全问题。这种漏洞是最常见的web漏洞，这种漏洞是由于程序没有对用户输入进行必要的检查和过滤，导致恶意攻击者利用该漏洞可以进行一些非授权的访问或存取。如畸形注册问题、泄漏系统文件文件、变量传递漏洞、执行系统指令、文本分解符攻击等，非常流行的跨站点脚本漏洞和sql injection漏洞都属于这个范围。 身份验证这部分主要测试用户或者进程如何进行身份认证。首先应该识别出应用系统中所有涉及认证和鉴别的行为，然后对它们逐个进行测试。检测系统是否采用足够强度的身份认证手段，包括对失败的登录行为进行记录和限制。 授权根据用户的身份和角色成员身份，对特殊的资源或者服务进行授权，检查是否存在越权、提高特权等问题。如果未授权用户可以查看敏感数据，就会发生机密数据泄漏的问题。未经授权就更改数据造成的影响会更大。 配置管理许多应用程序支持配置管理界面和功能，以允许操作者和管理员更改配置参数，更新web站点的内容，以及进行日常的维护。未经授权访问管理界面、未经授权访问配置存储区等都会对系统造成严重影响。 敏感数据本部分主要检查数据在存贮、传输过程中的安全性，主要是读写权限、加密算法的问题。 会话管理web应用程序的会话管理是应用程序层的一项职责。会话的安全性对于应用程序的整体安全性非常重要。 加密技术检查应用程序对敏感数据的加密技术，确保它的私密性并不被更改。如果加密技术被破解或者很容易被强力破解，加密算法就不具有安全性。如果没有经过测试，自定义的算法特别容易受到攻击。 异常管理检查应用软件对异常信息的处理，异常管理可以泄漏内部实现的详细资料，它对最终用户没有意义，但对攻击者却非常有用。 审核和日志记录使用审核和日志记录来帮助发现可疑的活动，例如足迹或者真正攻击之前的可能破解密码企图。检查是否通过审核来有效防范用户否认执行过某项操作。是否通过系统和应用程序级审核，以确保未漏掉可疑的活动。4、通用网元设备合规性检测经验数据表明新业务系统发生的安全事件中80%以上仍由传统it安全问题导致，所以说在重视业务安全漏洞、配置问题的同时也不能忽视通用网元设备的安全配置合规性管理。wlan安全合规性检查工具依据集团总部下发的安全配置规范包含对常见操作系统、数据库、中间件、网络设备、安全设备的安全合规性检查功能。5、资产管理中国移动各省公司建设的wlan业务系统普遍的特点是覆盖广、规模大，系统中包含大量的ac、ap等设备。该检查系统为提高工作效率向使用者提供了逐一添加待检查目标设备资产和批量统一导入资产列表的两种不同方式，批量导入方式使用者按照检查系统规定格式调整既有资产清单即可快速导入待检查目标。6、任务管理针对wlan系统的安全合规性检查不是一次性工作，长期、高频度执行安全检查工作才能保证wlan系统的持续稳定运行。该安全检查系统提供即时执行式、预约执行式和定期重复执行式的不同检查任务管理功能。三 重要安全检查成果及整改建议（一）ac配置非法获取漏洞（1）漏洞发现及上报通过应用本工具，首先发现了傲天动联及oem傲天的ac设备，由于通过网页方式对配置文件进行导出时存在业务漏洞，攻击者可以通过构造特殊的链接地址，使得任意用户不通过验证即可下载无线控制器的配置文件。进而破解包含在配置文件中的管理员密码，进而获得对ac的完全控制权。示意图如下：存在漏洞的ac设备wlan用户互联网ap热点交换机ap非法获取的ac配置文件3月30日发现此漏洞后，网络部当日立即通过关于天津公司上报傲天动联、京信wlan ac安全漏洞的报告（津移网络发2011114号）文件将漏洞情况紧急上报总部网络部。集团公司对此漏洞极为重视，于4月2日通过”jt-001-110402-00013”工单发布“关于紧急防范傲天及其oem产品wlan ac安全漏洞威胁的紧急预警信息公告”，要求全网进行紧急规避处理。针对此漏洞，工信部国家计算机网络应急技术处理协调中心(cncert)将“傲天动联无线控制器绕过验证下载配置文件漏洞”进行编号，为cnvd-2011-04873。（2）漏洞危害攻击者利用ac的控制权限,通过篡改portal页面地址，可以随意向访问用户推送钓鱼页面,或者政治敏感页面，带来极坏影响。此外，攻击者获得ac控制权后，还可以利用此漏洞，实现以下攻击行为： 经济方面：取消用户认证界面和radius认证流程,使得大批量用户可以免费使用wlan业务，从而给我公司带来大量业务损失。 网络方面：控制ap,可以将cmcc的wlan网络资源转换为自己的资源；可以修改ssid和ap信息,接管整个wlan网络系统；可以随意停用ap,造成wlan系统不可用；利用无线控制器的控制权限,可以使用无线控制器作为跳板,攻击认证服务器,造成核心数据的丢失或者损坏。 法律方面：用户免认证登录后，相关言论不可控，无法回溯 政治方面：利用ac漏洞推送反动页面，传播反动言论 客户方面：利用无线控制器的控制权限,可以接管无线控制器下通过验证的用户，盗取用户信息（3）漏洞影响范围据了解，国内存在多个oem傲天动联设备的厂商，包括网件、新邮通、联信永益、明华澳汉、大唐电信、京信、虹信等，该漏洞不仅影响傲天动联ac，同样影响oem厂商设备。大范围设备厂商存在严重漏洞，将对全国无线城市的建设带来安全威胁。截至2010年底，中国移动“傲天系”wlan ac设备（包括傲天动联、）总量约占全网的21%；天津移动wlan三期工程建设完成后，傲天设备将占天津全网的22%，京信设备将占34%。（4）解决措施建议 天津公司已通过修改ac配置文件，限定远程访问web管理端口的ip地址，防止来自公网的攻击行为。 此外，傲天动联ac设备，已紧急加载修复补丁；京信设备尚未提供安全补丁解决方案，在未解决前，建议暂缓入网。 对于全网wlan设备建设选项，建议尽可能选择原厂产品，减少oem厂商份额。 建议通过国家层面对wlan设备厂商进行规范。（二）绕行免认证登录漏洞（1）漏洞发现原理方式一：攻击者利用wlan业务逻辑规定的“用户在未认证情况下必须允许进行网址解析”漏洞，如ac未对用户终端发起的域名解析请求作目的地址限制，用户终端可以利用此漏洞，通过与互联网上的远程代理服务器建立连接，进而绕过身份认证及计费环节，实现免费使用wlan业务。方式二：通过wlan ac进行配置，只允许ac访问本地dns，可有效防止第一种方式绕行登录行为，但目前又出现另一种绕行方式，攻击者同样利用上述wlan业务逻辑漏洞，通过与ac相连的本地dns服务器进行转接，最终与互联网上的远程代理服务器建立连接，从而实现免认证登录。（2）漏洞危害 经济方面，该漏洞软件被公布在互联网上供用户下载，如被大规模利用，将会造成网络资源被免费大量利用，造成高额损失。 网络方面，由于此漏洞利用dns作为数据转接设备，而正常情况下dns仅作为域名解析使用，如大规模转发数据流量，必将对其负荷带来严重影响，并最终可能对该dns下挂的全部互联网业务造成阻断影响。 法律方面，此外，由于该类访问未经过认证流程，如用户发送非法言论，散播不良信息，我公司亦无法正常回溯到具体人员，带来法律层面风险。（3）漏洞影响范围由于这种方式利用了用户在未认证情况下可进行dns查询的业务逻辑漏洞，因此很可能全网设备都将面临该威胁。（4）解决措施建议 针对第一种方式，通过对wlan ac设备的配置，禁止面向互联网开放dns解析端口，仅面向本省dns地址开放解析服务，防止用户与远程服务器直接建立隧道连接，可以有效防止该类绕行行为。 针对第二种方式，由于wlan业务逻辑规定ac必须在用户未认证情况下允许其访问本地dns，因此通过ac配置无法实现封堵。本地dns可通过限制非法的查询地址、限制非法查询类型，对免认证绕行登录的数据包进行过滤，使非法用户无法完成网络访问。由于解决此类问题相对复杂，目前天津公司wlan专业和dns专业正在共同研究适合现网的解决方案，实施成功后将向总部提出全网改造建议。（三）wlan网络漏洞分布依据wlan网络结构，出现在ap侧、ac侧、网络设备侧、aaa（包括portal和radius设备）侧易出现的问题共分为四大类： 网络不可用 业务被滥用、盗用上网 侵害用户利益 系统及设备被攻击风险目前已发现的wlan系统安全漏洞如下表，这些问题将对我公司无线城市建设带来极大安全隐患：威胁类型威胁内容针对漏洞的攻击方式漏洞重要性网络不可用恶意拒绝服务攻击网络标识(ssid)干扰、地址池耗尽、指定用户下线严重无意识攻击对核心网攻击、散播病毒一般ac下ap被强制下线ac被攻破，实施恶意操作严重业务被滥用、盗用上网免认证绕行登录漏洞用户免费上网严重盗用验证用户ip上网窃取用户信息一般重置用户密码漏洞窃取用户信息重要侵害用户利益无线钓鱼敏感信息窃听一般无线网络监听无线网络监听、嗅探一般无线破解攻击破解用户登录密码、网络密码一般系统及设备被攻击风险对ac弱点攻击窃取ac口令，实施恶意操作严重对登录页面服务器攻击利用页面漏洞注入或上传木马，窃取信息，修改页面内容严重wlan网络目前存在大量网络、应用漏洞，且面向互联网开放，易被互联网黑客所利用。wlan网络的重要性与当