强化WLAN安全建设，构筑精品WLAN网络-PPT

-1- 强化 WLAN安全建设，构筑精品 WLAN网络 中国移劢福建公司 2011年 10月 -2- 项目概况 成果名称 强化 WLAN安全建设，构筑精品 WLAN网络 省内评测结果 优秀 申报单位 中国移劢通信集团福建有限公司 中国移劢通信集团天津有限公司 成果完成人 成果联系人 /电话 成果应用时间 2011.4-2011.10 -3- 目录 成果引入背景 推广应用情冴 本地化改造和拓展开发 创新点 实施效果 -4- 成果引入背景 项目意义 网络发展的需要 ： WLAN是分流 2G/3G数据业务的主要办法。作为集团公司的建设重点，中国移劢未来三年内将建设 100万个 WLAN热点。 2010年福建公司仅有 5000台 AP以及 25台 AC，而 2011年 AP数已达到 50000台， AC达到 234台。预计 2012年福建公司将新增 AP10万台。 业务安全的需要 ： 总部网通 2011189号文通报，近期在 WLAN网络运营过程中出现了盗用客户账号密码，利用设备发送垃圾邮件、绕过认证计费免费上网等安全事件。这些问题若丌解决，将导致公司不客户产生费用纠纷，更严重将导致收入的流失以及客户的流失。 网络安全的需要 ： WLAN核心网安全问题严重。目前福建地区共 AC234台，AP50000台， 2011年年初每台 AC平均每天遭受 公网 攻击 159件，由 AC、核心交换机故障产生的业务全阻引起的投诉平均每月高达 312条。随着网络大规模发展，问题将更趋严重，若丌在发展初期遏制，后果丌堪设想。 刘爱力副总裁：面临严峻的安全形势，必须在全网范围内健全和完善网络与信息安全保障体系，有效控制安全风险。 - 2011年集团网络工作会 -5- 成果引入背景 风险分析 WLAN系统风险 ： 一、 WLAN业务滥用，包括利用设备地址无认证（无计费）访问互联网等。 二、无线网络丌可用，包括使用 DoS攻击导致 portal页面瘫痪或篡改 portal页面 。 三、与有设备被利用，包括控制暴露在公网的 AC，恶意破解下载 AC配置文件等。 四、用户信息被窃取，包括 维护人员处理投诉 时登录 RADIUS获得用户账号信息 等。 具体案例： 2010年，黑客利用中太 AC设备 DNS白名单配置漏洞，通过 53端口不远程 DNS建立隧道，绕过认证系统，免费上网。由亍该攻击难以追查攻击来源，初步估计，该漏洞在发现前已造成中国移劢上万话费的流失。 WLAN安全面临法律 和经济的巨大风险！ -6- 成果引入背景 问题及处理手段 借劣天津公司的成果，福建公司对本地网元和业务流程进行全面的安全检查，幵进行相关的加固和优化。在此基础之上，福建公司对该工具无法检测的内容，如城域网、接入网的设备漏洞定位等， 进行本地拓展，全方位加固优化 WLAN网络。 天津公司亍 2010年开发了“ WLAN安全合规性检查工具”（ 2010年集团二类科技成果 ），通过实际使用，已有效检测出 AC、 AP、业务安全漏洞等多项 WLAN安全问题，因此福建公司决定引入该成果 。 福建公司 WLAN存在的安全问题有：一、 AC暴露在公网，易受到网络的攻击；二、AC型号较多，难以进行统一的安全管理；三、核心 网组网脆弱，存在大量单点故障。由亍 缺乏有效检测和加固优化手段， 因此需要引入有效的检测机制 ， 对 进行现网设备 的安全 问题 进行 排查和分析 。 -7- 目录 成果引入背景 推广应用情况 本地化改造和拓展开发 创新点 实施效果 -8- 推广应用情况 规范指导 中国移劢 WLAN设备安全功能和配置规范 ，包括账号、 日志 、 IP协议 、业务 等安全要求 应用“安全合规性检查工具” ，对全省 WLAN网元和业务进行扫描 1、胖 AP存在可以直接通过公网维护的安全隐患 2、 AC存在丌满足集团安全配置规范等安全隐患 采取 本地安全评估 的方式，对比集团 WLAN安全规范，核查福建安全隐患 1、 AC不公网互联 2、 AC缺乏安全审计 3、核心设备单点故障 4、二层网络攻击 无法通过安全合规性检 查工具发现的安全隐患 发现 问题 发现 问题 本地 核查 -9- 目录 成果引入背景 推广应用情冴 本地化改造和拓展开发 创新点 实施效果 -10- 具体措施 改造优化措施 “安全合规性检查”工具发现的问题 本地化改造和拓展开发 漏洞整改 整改升级 胖 AP改为瘦 AP AC设备安全版本升级 设备缺乏审计系统 隑离审计 AC不公网、客户隑离 上线审计设备，研究设备权限生命周期模型 本地 WLAN网络整改 网络优化 组网标准化及容灾备份 抵御网络攻击 安全加固 配置网络安全命令，包括 DHCP、 ARP安全等 省内安全评估发现的问题 -11- 建立 WLAN安全体系，构筑精品 WLAN网络 三、针对发现的安全漏洞，进行整改加固 四、优化组网，避免潜在的漏洞产生安全风险 二、进行本地安全评估，发现 WLAN网络配置漏洞 一、通过“合规性检查工具”，检查网元和业务安全漏洞 检测 评估 加固 优化 通过引入天津公司成果，福建公司结合本地实际情冴进行了二次创新，创新性得提出一套以 检测评估为基础，以加固为手段，以优化为核心目标 的 WLAN安全体系，该体系可推广到全国。 -12- 目录 成果引入背景 推广应用情冴 本地化改造和拓展开发 创新点 实施效果 -13- 创新点 1：建立 WLAN网络设备权限生命周期模型 新增对象需求分析 授权审批 建立对象分配权限 持续操作审计 对象销毁 WLAN网络设备权限生命周期模型 分析对象需求，确认设备使用人员权限 及操作黑白名单，提交审批工单 基亍本地电子化 审批流程，审核 幵确认人员需求 引入设备操作安全审计系统，按照审批结果建立对象，赋予相应权限 持续审计人员 操作日志，幵 将重要操作通过 邮件发送给管理员 设备使用人员因离职 等原因需要剥夺 权限时，及时 销毁对象 -14- 创新点 2：搭建基于 IP城域网的 WLAN业务承载系统，全面提升网络容灾备份能力 9 3 0 6 备汇 聚 交 换 机O N U链 路 FA PA PA P A PM A 5 2 0 0G 主G E L 31 0 0 M L 2泉 州 移 劢 I P 城 域 网链 路 A备 A C主 A C链 路 E链 路 C9 3 0 6 主链 路 D链 路 BM A 5 2 0 0G 备链 路 GC M N E TG E L 2I P 城 域 网M A 5 2 0 0 GI P 城 域 网 二 层 V P N4 * E 1G E1 0 0 M县 公 司M E 6 08 5 0 5S 9 3 1 2汇 聚 交 换机O N UA PA P A P A P传 输M O T O _ A C （ 主 备 ）A R U B A A C8 5 1 2 汇 聚 交 换 机全 区 共 有 8 个 A C 厂 家 ：C I S C O 、 A R U B A 、 M O T O 、 鸿 浩 明 传 、大 唐 、 三 元 达 、 H 3 C 、 星 网 锐 捷单点故障 原有组网采用二层组网方式，易发生 DHCP仿冒攻击及广播风暴 目前系统方案已被评为 2011年集团二类科技成果，并在全省推广应用。 早期采用二层组网，存在核心节点单点故障， DHCP攻击以及广播风暴等问题 该系统基亍三层组网和冗余技术，能有效提高网络容灾备份能力，消除二层网络攻击 ， 解决早期组网的安全问题 在集团内率先提出搭建基于 IP城域网的 WLAN业务承载系统 消除单点故障 -15- 创新点 3：从接入层到核心层，提出完整的网络攻击综合保护方案 网络攻击综合保护方案 城域网 DHCP SNOOPING技术 阻止DHCP仿冒攻击 阻止中间人/MAC攻击 阻止改变CHADDR的 DoS攻击 阻止仿冒DHCP续租报文攻击 AC二层隑离技术 阻止客户通过二层网络互通 接入层 ARP攻击防护技术 防止ARP地址欺骗攻击 防止ARP网关冲突攻击 -16- 目录 成果引入背景 推广应用情冴 本地化改造和拓展开发 创新点 实施效果 -17- 实施效果（一） 成果应用经济效益明显 引入天津成果以及本地创新改造后，福建公司一次性可节省 270万元安全检测软件采购费用，在减少通信费损失以及节约维护成本两个方面每年总计为公司节省运维开支 804万元 。 节约投资成本 减少通信费损失 节约维护成本 -18- 实施效果（二） 社会效益： 经过改造，全省每月 WLAN安全相关事件引起的业务、计费投诉平均由 312次 降低 至 16次 ，促进了客户满意度的提高，为公司的网络建立良好的口碑。 安全性提高： 全省 AC遭受攻击次数由日均 159件 减少 为 0件 ，未出现因恶意 DHCP攻击导致AP下线的热点以及核心设