四川移动WLAN技术培训--WLAN网络安全.ppt

四川移动WLAN技术培训-WLAN网络安全,成都中邮通信有限公司,WLAN安全配置的重要性WLAN系统常见攻击方式及防护手段WLAN系统的网络安全管理要求WLAN设备安全功能要求WLAN设备安全配置要求,目录,背景：WLAN安全风险迫在眉睫,各省公司的安全问题汇总,通过汇总各省公司WLAN的安全问题、发现有很多典型的安全问题、在每个省都存在风险.有的省公司正在寻求加固的方法,有的省公司已经把安全加固的方案列入作业计划当中。,WLAN安全配置规范的重要性,WLAN安全配置规范,做为WLAN业务系统安全配置的统一,明确了WLAN安全配置方面的基本要求,能够对WLAN安全风险问题给予指导性配置,通过收集通用的安全配置规则，做为WLAN安全配置规范的必选项，同时也收集各省公司WLAN系统存在的个别风险问题,作为WLAN安全配置规范的可选项。总体达到安全规范无缝覆盖到每一个安全点上。通过遵循安全配置规范的要求，总体提高全国WLAN业务系统的安全性。,WLAN安全配置的重要性WLAN系统常见攻击方式及防护手段WLAN系统的网络安全管理要求WLAN设备安全功能要求WLAN设备安全配置要求,目录,WLAN认证过程-WEB认证方式,AP,WLANAC,PortalServer,Radius,Internet,IP城域网,AP,AP,2.发起HTTP请求访问Internet业务应用,1.关联WLAN，获取IP地址,3.第一次访问，AC强制到Portal，推送登录页面,4.认证成功，返回认证结果，AC将IP/MAC地址与MSISDN对应关系加入会话列表,5.推送认证成功页面,拒绝服务攻击-ARP广播包,攻击者发起泛洪ARP广播请求，致使AC向各AP转发大量数据，造成网络拥塞,拒绝服务攻击-ARP广播包-防护手段,AC严格划分VLAN，减小广播域，并严禁VLAN间互通开启AC的用户隔离功能禁止AP向与其关联的所有终端广播ARP报文开启接入交换机的端口隔离功能开启网络设备DHCPSnooping功能,拒绝服务攻击-ARP广播包-防护手段,拒绝服务攻击-针对AC,DHCP地址耗尽攻击攻击者发送大量虚假的DHCP请求，耗尽地址池中地址，导致AC无法为新合法用户分配IP,合法终端因为IP地址耗尽所以无法正常接入,AC给所有实现无线关联的终端分配IP地址,发送大量虚假DHCP请求,AC上的IP地址池中地址很快被非法终端耗尽,拒绝服务攻击-针对AC,WEB服务攻击AC多采用WEB方式管理，自身运行httpd等web服务，可能遭受针对WEB服务的DoS攻击，造成设备负荷过高案例：2011年某省公司AC遭受SYNFLOOD攻击，造成CPU负荷过高，业务中断,攻击者,拒绝服务,WLANAC,拒绝服务攻击-针对AC-防护手段,DHCP地址耗尽攻击开启网络设备DHCPSnooping功能WEB服务攻击AC上配置ACL等手段，限制有限地址作为访问源，拒绝非授权IP访问AC,拒绝服务攻击-其它,Portal风险Portal完全暴露在公网提供WEB服务，存在遭受DOS/DDOS攻击的风险Radius风险Portal、Radius多存在于一个安全域内，而且WebPortal必须对所有用户可见，因此Radius的安全性很低，存在遭受DoS及DDoS攻击的风险,拒绝服务攻击-其它-防护手段,WLAN系统严格划分安全区域Portal与Radius隔离在两个不同等级安全域内，且Radius安全域等级应高于WebPortal域安全等级在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度,攻击者,网站防篡改,DDOS防护,WLANPortal,网络滥用-DNS漏洞绕开计费,WLAN认证过程回顾1.用户连接CMCC的无线接入点2.终端分配到IP地址，进入WLAN的认证前域。此时认证前域配置了访问控制策略，用户只能访问AC、DNS和Portal等地址3.用户随意在浏览器中输入一个URL，由DNS解析到网站实际IP地址4.WLANAC将用户对该网站的请求修改为对Portal服务器的访问请求，要求用户强制认证5.用户在Portal上通过认证，由AC配置进入认证后域,网络滥用-DNS漏洞绕开计费,漏洞原理AC在认证过程第3步时未对用户终端发起的域名解析请求作目的地址限制，用户终端不仅可以访问AC通过DHCP分配的DNS服务器的UDP53端口，也可以访问其它外网IP地址的相同端口漏洞利用方法恶意人员可以在公网建立一台VPN服务器，使用UDP53端口提供VPN服务。用户终端不经过用户身份认证，就可以通过VPN软件客户端建立起与外网VPN服务器的VPN连接，将该VPN服务器作为代理服务器，将正常的上网流量封装在DNS协议报文中发送到互联网上，实现对公网的访问。此时AC会将所有VPN隧道内的流量视为正常的DNS协议数据予以放行,网络滥用-DNS漏洞绕开计费,实现工具OpenVPN，一款开源的VPN软件危害免认证计费，并且避免了运营商网络中的监控和审计和溯源措施,网络滥用-DNS漏洞绕开计费-防护手段,在AC上设置DNS白名单或实施ACL控制，限定认证前域的终端可访问的DNS为特定地址和特定端口,网络滥用-IP地址冒用,盗用WLAN设备地址用户和网络设备在无线侧是通过共同的网络设备向上访问，两个地址段属于不同的VLAN，但可能未作隔离网络设备地址（AP、交换机等）可能为公网地址非法用户在获得AP、AC、交换机等WLAN系统设备地址后，可将自己的终端设置为相同地址段IP，则可能实现免费上网,网络滥用-IP地址冒用,盗用合法用户IP地址原理,AP,WLANAC,PortalServer,Radius,Internet,IP城域网,AP,AP,用户认证通过后AC维护会话状态表，后续会话访问只通过IP地址进行识别，留下安全隐患！,网络滥用-IP地址冒用,盗用合法用户IP地址攻击者扫描无线网络中在线的用户，将通过认证的用户踢出无线网络中（DOS攻击）手工更改本机IP为通过验证用户的IP地址，访问互联网,网络滥用-IP地址冒用-防护手段,盗用WLAN设备地址配置AP、交换机等设备管理地址为私网地址，断绝用户地址与设备地址路由严格划分管理VLAN和业务VLAN设定ACL，限制WLAN设备地址段访问互联网盗用合法用户IP地址设定DHCP租期大于用户超时下线时间（现在要求DHCP租期大于30分钟，用户超时下线时间为15分钟）AC判断是否放行用户访问时，同时判断IP地址和MAC地址，增加攻击者的利用难度,敏感信息泄露-伪DHCP服务器,攻击步骤发动DHCP地址耗尽攻击，使AC地址池耗尽，无法向合法用户分配IP攻击者冒充DHCP服务器，响应用户DHCP请求并分配伪IP地址给用户网关一般设置为攻击者的地址，从而窃听用户流量，获得未加密的敏感信息,敏感信息泄露-伪DHCP服务器,更进一步伪DHCP服务器下发的DHCP配置中，DNS服务器地址设置为攻击者控制的虚假DNS服务器收到用户对重要网站（银行、证券系统等）的域名解析请求，返回钓鱼网站IP地址用户被定向到钓鱼网站，泄露帐号密码等敏感信息,敏感信息泄露-伪DHCP服务器-防护手段,开启网络设备DHCPSnooping功能开启接入交换机的端口隔离功能开启AC的用户隔离功能,敏感信息泄露-ARP欺骗,同一VLAN下的用户，如果可以互相访问，则攻击者可以使用ARP嗅探的方式截获其它用户数据攻击者广播虚假ARP包，将合法用户的网关指定为攻击者本身用户流量全部经过攻击者，数据被窃听,敏感信息泄露-ARP欺骗-防护手段,AC严格划分VLAN，减小广播域，并严禁VLAN间互通开启AC的用户隔离功能禁止AP向与其关联的所有终端广播ARP报文开启接入交换机的端口隔离功能,敏感信息泄露-WLAN用户密码生成机制问题,WLAN用户在遗忘登录密码后，可通过发送短信CZWLANMM至10086，系统重置并返回一个新的密码现网中部分省市将重置密码设置为默认密码，因此每次客户重置密码，返回的密码均为“111111”恶意用户针对号段进行默认密码尝试，可能发现可用账号，盗用后免费上网,敏感信息泄露-WLAN用户密码生成机制问题-防护手段,增强WLAN用户密码生成机制的安全性，避免WLAN系统重置密码是默认弱口令,设备被攻击利用-网络设备,网络设备（特别是AC）暴露在公网，易遭受各种攻击如果AC设备被攻击者控制，可能存在以下安全风险,攻击者获取AC设备root权限后，可停止业务进程、关闭端口，甚至关闭设备，导致用户无法使用WLAN，影响客户感知,如攻击者对WLAN业务较为熟悉，可在AC设备上获取客户使用WLAN业务的帐号名称、访问记录等敏感信息，导致客户敏感信息泄漏,更进一步，在攻击者很熟悉WLAN业务流程的情况下，可向上联Radius服务器发送异常数据包，导致认证或计费异常，容易引发客户投诉，影响公司形象,攻击者在AC设备上安装恶意程序，作为攻击者特定用途使用，如发送垃圾邮件、发起拒绝服务攻击等（已有案例）,WLAN业务异常,客户信息泄漏,认证/计费异常,攻击发起源,设备被攻击利用-网络设备,AC等设备自身漏洞操作系统漏洞WLAN设备如AC、Radius等多基于Unix/Linux等通用操作系统。如果设备自身存在安全漏洞，且互联网可达，则易被攻击并成为肉鸡案例：2010年某省公司的AC地址被国际发垃圾邮件组织加入SBL列表。经排查，属于AC被攻击后被植入恶意进程，并启用本地880端口为外部提供代理服务应用服务漏洞WEB/FTP等服务存在安全漏洞，造成被入侵案例：某厂家AC存在绕过验证下载任意配置文件漏洞,设备被攻击利用-网络设备,设备弱口令对互联网开放不必要的端口和服务AC登陆协议使用明文传输模式部分AC设备不支持SSH、HTTPS等加密形式登陆，使得维护过程中账号、口令在互联网明文传输，存在被窃听可能,设备被攻击利用-网络设备-防护手段,账号口令和SNMP团体字复杂度需满足集团安全规范设备管理端口和业务端口分离在网络设备上配置ACL，限定有限地址段访问和管理设备关闭设备的HTTP/TELNET等明文协议管理方式，采用HTTPS/SSH等加密方式检查WLANAC设备上进程及开放端口列表，确认是否存在恶意程序及非法端口，如存在则手工关闭后清除，并手工恢复被破坏的系统文件使用安全漏洞扫描设备对所有WLAN相关设备进行安全漏洞扫描，检查有无高中风险安全漏洞，如有需尽快修补,设备被攻击利用-Portal,WLAN的WebPortal由于在公网上能够访问，存在网页篡改、拒绝服务攻击等网站安全威胁,网页篡改,信息窃取,拒绝服务,非法入侵,攻击者,WLANPortal,设备被攻击利用-Portal-防护手段,WLAN系统严格划分安全区域在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度,攻击者,网站防篡改,DDOS防护,WLANPortal,WLAN安全配置的重要性WLAN系统常见攻击方式及防护手段WLAN系统的网络安全管理要求WLAN设备安全功能要求WLAN设备安全配置要求,目录,WLAN系统业务安全管理,敏感信息管理严禁所有人员未经合理授权增加、删除、修改、查看WLAN系统设备中保存的客户账号、密码，以及涉及客户上网话单等信息；因维护、投诉处理需要的，需要留存相关操作记录，以备日后核查具有查看、修改客户账号信息的权限，只能由我方被授权管理员掌握，不能分配给其他人使用，并通过日志审计手段及时审计发现未授权操作上述信息的行为密码生成机制增强WLAN用户密码生成机制的安全性，避免WLAN系统重置密码是默认弱口令系统生成的重置密码要求：密码不能为静态口令，必须设置为每次动态分配被重置并下发的密码至少包含数字、字母动态分配的密码重复率应低于1/10000,WLAN系统业务安全管理,Radius安全对Radius系统的管理员，需要按照金库模式进行管理Radius侧要配置严格的网络访问控制策略，承担Radius维护的人员只能通过网络安全管控平台访问RadiusRadius系统存储的WLAN用户账号密码，仅允许以下两种方式之一进行保存密码口令数据中采用“*”号代替明文口令数据的4位以上（含4位）加密保存在采用后一种方式的情况下，解密密钥仅能由我方Radius系统管理员掌握，且解密操作必须有对应的操作工单并被日志记录和审计,WLAN系统组网安全要求,在WLAN系统内外部网络之间，以及内部不同安全域之间需要通过防火墙实现的隔离及访问控制针对胖、瘦AP两种架构胖AP每个AP都需要独立配置安全策略瘦AP由AC统一配置并下发安全策略VLAN隔离与安全域划分要求AC严格划分VLAN，并严禁VLAN间互通开启AC用户隔离功能和交换机端口隔离功能在划分管理VLAN时，将不多于32个AP所属的管理接口划入同一VLAN；划分用户VLAN时，将不同热点所属的AP划入不同VLAN由于WebPortal需向用户开放且Radius系统的重要性，因此需将WebPortal与Radius隔离在两个不同等级安全域内，且Radius安全域等级应高于WebPortal域安全等级,WLAN系统组网安全要求,地址规划要求配置无需访问公网的设备（如AP、交换机等）地址为私网地址AP、AC管理端口和业务端口分开方式一：管理端口分配私有IP地址，业务端口分配公网IP地址方式二：管理端口、业务端口分在不同的IP地址段,WLAN系统网络安全管理,WLAN系统应在核心侧进行统一防护控制，禁止访问无业务互联需要的互联网资源对于AC的WEB管理界面，各省应按照网络部下发的WEB应用防护要求对其进行WEB应用层的专门扫描及加固厂家人员不得掌握Radius、WebPortal、AC等核心网元的账号密码，不得通过互联网和其他给公众提供服务的网络直接接入上述系统；需要厂家人员到我公司内部处理Radius、WebPortal、AC等设备故障时，我方维护人员要做好厂方支持人员登陆设备的记录、严格执行账号授权管理，以及加强系统的操作审计,WLAN系统网络安全管理,在WLAN工程建设期间，严格执行前期有关工程期间的网络安全要求，设备完成工程上线时，严格执行设备入网安全验收，安全验收合格后，方可上线WLAN系统设备应满足中国移动WLAN设备通用安全功能和配置规范V3与中国移动WLAN设备通用安全功能测试规范V3技术规范要求，各省公司在WLAN新设备采购、设备安全验收、WLAN现网存量系统版本升级FOA测试中，要严格执行上述要求,WLAN系统网络安全配置维护要求,禁止AP向与其关联的所有终端广播ARP报文合理分配IP、划分VLAN及安全域在AC上设置DNS白名单或实施ACL控制，限定指定的DNS为WLAN用户使用将无需访问公网的设备（如AP、交换机等）地址设置为私网地址，断绝用户地址与设备地址路由在AC上配置ACL限制用户地址段访问设备地址段，限制WLAN的设备地址段访问互联网,WLAN系统网络安全配置维护要求,在AC上启用DHCPSnooping与DHCP报文检查功能，只对已无线关联的用户分配IP地址；将AC中DHCP地址释放时长配置为大于30分钟修改各个网元（AC、Radius等）的远程登录方式为SSH或HTTPS方式，不允许使用TELNET或HTTP等不安全方式远程登录维护设备；对于已具备接入管控平台条件的省公司，要求将远程接入统一纳入省内安全管控平台集中接入，并定期审计使用安全漏洞扫描设备定期对所有WLAN相关设备（AC、Radius、WebPortal）等进行安全漏洞扫描，检查有无高中风险安全漏洞，并及时对扫描漏洞进行修补,WLAN安全配置的重要性WLAN系统常见攻击方式及防护手段WLAN系统的网络安全管理要求WLAN设备安全功能要求WLAN设备安全配置要求,目录,设备安全功能要求(AC安全要求),设备安全功能要求(AP安全要求),设备安全功能要求(热点交换机安全),设备安全功能要求(Portal系统安全功能要求),设备安全功能要求(Radius服务器安全功能要求),设备安全功能要求(设备其他安全要求),WLAN安全配置的重要性WLAN系统常见攻击方式及防护手段W