安氏领信WLAN安全合规性管理系统白皮书V2.0.0.1

1、安氏领信WLAN安全合规性管理系统白皮书文档命名：LinkTrust _WSCM安氏领信WLAN安全合规性管理系统白皮书 V版本控制版本号日期状态变更说明修订人审核人V12011.7.30C创建刘健皓、白峻李宗洋V22011.2.9M修改郭斌状态标识：C Created A - Added M - Modified D - Deleted版本控制 II目录 II WLAN安全合规性管理系统版权声明1）权利归属本文档中的LinkTrust的所有权和运作权归安氏领信科技发展有限公司（下称安氏领信） ，安氏领信提供的服务将完全按照其发布的版权声明以及相关的操作规则严格执行。LinkTr

2、ust 是安氏领信的商标。因LinkTrust所产生的一切知识产权归安氏领信,并受版权、商标、标签和其他财产所有权法律的保护。2）其它产品说明本文档中所提及的所有其他名称是各自所有者的品牌、 产品、商标或注册商标。3）授权声明任何组织和个人对安氏领信产品的拥有、使用以及复制都必须经过安氏领信书面的有效授权。4）服务修订安氏领信保留可能更改本文档中所包含的信息而不需预先知照用户的权利；如果该信息非从安氏领信接收，它们将有被更改或变更的可能，安氏领信不需对用户或第三方负责。5）特别提示用户对该信息的使用承担风险，并须在原封不动条件下使用。安氏领信对此不作任何类型的担保，不论是明确的或隐含的，包括商

3、业性和某个特定目的适应性的保证。6）有限责任安氏领信仅就产品信息预先说明的范围承担责任，安氏领信对引起使用或传播的任何损害（包括直接的、间接的、偶然的、附加的、重要的或特殊的以及继起的损害）不负任何责任（即使已经建议安氏领信这些损害的可能性）。7）管理用户对信息和服务的使用是根据所有适用于安氏领信的国家法律、地方法律和国际法律标准的。8）目的本声明仅为文档信息的使用而发表，非为广告或产品背书目的。9）服务安氏领信在产品发布前完全检查过对 Internet 资源的链接和地址，但是 Internet 不断变化的性质使安氏领信不能保证资源内容的连续性或存在性。如有可能，将参考包含使用其他方法可获得信

4、息的预备站点或关键词。10）法律上述条款要与中华人民共和国的法律解释相一致，用户和安氏领信一致同意遵循中国司法管辖之原则。如发生上述条款与中华人民共和国法律相抵触时，则这些条款将完全按照法律规定重新解释，而其他条款则依旧保持原法律效力和影响。目录一、概述4二、系统典型应用62.1.应用场景62.1.1.安全检查72.1.2.设备入网72.1.3.工程验收72.1.4.日常维护72.2.管理范围82.3.使用方式82.3.1.基于远程扫描92.3.2.基于离线检查9三、系统功能介绍103.1.WLAN业务安全漏洞检查103.2.WLAN设备配置安全合规性检查113.3.规则管理113.4.设备管

5、理113.5.任务管理113.6.报表展示123.7.系统升级123.8.系统安全性12四、系统特色124.1.最广泛的设备支持124.2.基于安氏领先丰富的WLAN系统建设和安全建设项目案例研制开发134.3.优秀漏洞挖掘和研究能力134.4.按照运营商组网结构搭建的权威的WLAN安全研究实验室144.5.量化的检查结果15一、 概述国家十二五规划提出要建设宽带无线城市、各电信运营商全国范围内WLAN无线城市建设也在如火如荼的进行当中，WLAN网络建设的主要目的为：分流2/3G网络的数据流量，扩大网络覆盖，支持业务发展，并作为家庭宽带接入的重要手段。随着WLAN网络建设工作的逐步开展，通过W

6、LAN业务进行无线网络分流，扩大业务覆盖范围以及灵活的组网和资费，开始为电信运营商带来稳定的业务收入。但与此同时，越来越多的安全威胁被引入到全IP化的WLAN网络中来。WLAN系统面临的风险包括资源耗尽风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发Wlan系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度，我们对wlan面临的安全风险进行了分类如下：n 业务滥用，流量盗用风险：在大量的wlan系统中，都存在绕过验证portal认证机制免费使用WLAN流量上网的问题。同时部分用户的上网认证密码非常

7、简单，也可能导致盗用上网的风险存在。在实际的网络当中，还存在重置密码过于简单的问题导致盗用上网的风险存在。基于session hijacking的盗取服务攻击。n 网络服务不可用风险：WLAN系统是指应用无线通信技术为用户提供极速而稳定的无线连接，保障网络的可用性至关重要。在实际的系统当中可能存在以下问题都会致使网络不可用，这里主要包括恶意的或非恶意的拒绝服务攻击。恶意的拒绝服务攻击包括：BeaconFlood -无线SSID干扰攻击Authentication DoS - DHCP地址耗尽攻击Deauthentication/Disassociation Amok -指定用户断线攻击。无恶意

8、的拒绝服务攻击主要指wlan客户端被攻击者利用或者感染病毒后，对wlan核心网发动的拒绝服务攻击等。n 用户信息被盗用风险:由于在无线环境下中间人攻击、钓鱼攻击、sniffer会变得更为容易，对于AP及用户的攻击除会造成用户无法接入网络以外，用户的数据也得不到安全保证，特别是用户登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取，包括无线钓鱼，获取敏感信息无线网络监听、无线网络嗅探攻击无线破解攻击：WEP的破解、WPA的破解n 专有设备被利用风险:AP、AC设备由于配置不严格，存在弱口令或者其他安全隐患都有可能导致设备别非法控制，从而出现断网的风险

9、。各安全漏洞在网络结构中的分布如下图：二、 系统典型应用. 应用场景WLAN安全合规性管理系统是一套针对WLAN设备安全配置和安全漏洞检查的专业安全系统，它填补了WLAN业务层面安全风险识别的空白。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查（上级检查）、日常安全检查维护工作等。通过对目标系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。WLAN安全合规性管理系统主要应用在以下三种场合：2.1.1. 安全检查采用WLAN合规性管理系统能够自动化的对WLAN系统进行漏洞、配置、重要信息等多方面、全方位的安全测评，为安

10、全检查工作提供了方便高效的工具支持，提供了标准量化的数据支撑。2.1.2. 设备入网从安全系统的生命周期来看，在入网阶段就进行安全把控，可以极大降低上线后安全加固的成本。WLAN合规性管理系统能够方便快捷而且权威的对入网设备进行评估。2.1.3. 工程验收WLAN合规性管理系统能够保证验收上线的WLAN设备符合配置要求。避免设备带病运行。同时，也大大降低了人工检查的时间成本。2.1.4. 日常维护日常安全检查是安全运维工作不可缺少的工作，能够实时掌握网络安全风险状况，极大的降低突发事件出现的概率，从安全维护成本上考虑非常有利。同时也可以根据内部使用定义周期执行安全配置检查，根据周期任务结果生成

11、评估和分析报告，同时，也可以安全漏洞更新以及移动制定安全规范进行工具和系统升级，保持对最新安全漏洞的检查能力。2.2. 管理范围一般的安全防护及基于基础IT设备评估的体系，从内容上，开展的安全风险评估、渗透测试大部分仅停留在系统和设备安全配置上，缺乏对应用层、通信业务的全面评估和加固手段，且评估范围有限，不能全面发现漏洞，无法应对日新月异的WLAN业务系统安全威胁。传统安全管理、安全技术措施无法满足新的业务安全需求，存在明显空白薄弱点。WLAN安全合规性管理系统是一套针对WLAN系统安全配置和安全漏洞检查的专业安全系统，它填补了WLAN业务层面安全风险识别的空白。WLAN安全合规性管理系统在全

12、面识别传统IT网元设备安全配置脆弱性的基础之上增加了对WLAN系统专有协议、专有设备、专有系统模块的安全配置分析和业务安全漏洞检测。2.3. 使用方式WLAN安全合规性管理系统从检查方式上来看分为远程检查和离线检查,远程检查体现为漏洞扫描和安全配置检查的过程，离线检查体现为对导出无线设备的配置文件和对当前的状态进行检查。因此，以检查手段为基础，将WLAN安全合规性管理系统检查分为安全漏洞检查、安全配置检查。最终，WLAN安全合规性管理系统以系统输出的任务报表为结果，并与中国移动WLAN设备通用安全功能和配置规范比对，获得当前系统的安全状况，并通过多次检查的结果，梳理出系统的变化趋势。2.3.1

13、. 基于远程扫描远程检查通常描述为漏洞扫描技术和安全合规性检查为一体的扫描，主要用来评估设备的安全性和合规性，是设备安全防御中的一项重要技术，其原理采用对工具授权的情况下对设备进行已知的安全漏洞进行逐项检查，同时也体现在对AC的安全配置上的检查，由于移动集团对各省的AC设备有中国移动WLAN设备通用安全功能和配置规范，此工具也可以满足中国移动WLAN设备通用安全功能和配置规范的要求。主要对象是AC设备、认证系统等。检查人员可以根据合规性管理系统提供的任务报表，为提高WLAN设备整体的安全系数提供重要依据。2.3.2. 基于离线检查本地检查是基于无线AC设备的配置文件，通过获取无线设备的安全配置

14、文件和状态信息，然后根据获取到的相关信息与安全功能与配置要求进行比较，分析符合情况，最后根据分析出来的相关信息进行汇总。配置核查离线检查最常见的一项内容。WLAN安全合规性管理系统主要是针对无线AC、AP设备进行安全检查。检查项主要包括：账号、口令、授权、日志、IP协议等有关的安全特性。三、 系统功能介绍3.3.1. WLAN业务安全漏洞检查通过在WLAN攻防实验室内研究发现，我们已经具备挖掘安全漏洞的能力和实力，同时新的漏洞数量也在不断挖掘已备后期工具中的升级和补充。工具在安全漏洞检测项目中重点检查：l WLAN业务系统DNS验证绕过漏洞检测正常使用WLAN业务提供的互联网服务需要经过认证鉴

15、权流程的检验，通过验证方能使用互联网服务。由于认证流程等方面的安全漏洞存在，通过某些特殊技术手段是可以绕过认证流程，免费使用WLAN服务的。对于此类可能造成业务营收损失的安全漏洞WLAN安全合规性管理系统对整个WLAN系统中各关键组件、设备进行检查来发现可能引起漏洞危害的相关特征信息。l WLAN业务订购短信滥用漏洞根据梳理的WLAN业务系统中认证鉴权实现流程，分析web认证系统结构、web用户接入流程、web用户下线流程、定期自动认证流程和用户在线冲突处理流程是否规范，是否存在安全风险。l WLAN系统Portal应用连接漏洞检测WLAN业务系统中portal应用的出现的HP-UNIX+ap

16、che的部署环境,使用客户端用telnet方式发起大量连接服务器的80端口,就会出现链接数无法释放的问题,极大的消耗Portal应用资源导致WLAN业务系统瘫痪的风险l WLAN设备配置任意下载漏洞检测用户使用WLAN业务访问互联网会传输各种应用数据，其中可能包括网银、网上营业厅等涉及敏感信息的业务，没经过安全加固和配置WLAN系统存在泄露用户敏感数据的风险。在该检测项目中重点检查WLAN Portal的认证页面是否使用HTTPS加密传输涉及用户名、密码等敏感信息。l WLAN无线控制器任意添加管理员账号漏洞检测WLAN设备个别厂家或者移动的网络管理员会提供WEB管理方式，对于WEB暴露在公网

17、中是非常危险的，由于不同的厂家WEB的防护和管理是存在差异的，对于这种情况就极其造成安全隐患。对于使用WEB管理的人员使用帐号漏洞检测可以避免在现网中开启WEB管理的WLAN设备风险，从而未避免了对WLAN设备的造成安全威胁。3.2. WLAN设备配置安全合规性检查在WLAN组网结构中AC、AP等专有设备承载着WLAN业务的核心功能，专有设备自身由于厂商开发过程及代码编写不安全等原因存在不同严重程度的安全漏洞。但由于其不开放性导致很多安全漏洞不为大多数人所知，在WLAN安全合规性管理系统中整合了若干此类安全问题的集合，在检查中可以发现专有设备自身的安全漏洞。3.3. 规则管理对于移动运营商来讲

18、，WLAN厂商的设备是种类是非常多的，对于运营商级的WLAN厂商设备种类WLAN安全合规性管理系统已经基本覆盖到。对于新入围的WLAN厂商也支持升级和更新WLAN设备。同时，也遵循中国移动WLAN设备通用安全功能和配置规范对于新加入的安全功能和配置规范，可以随时更新和升级。3.4. 设备管理WLAN业务系统普遍的特点是覆盖广、规模大，系统中包含大量的AC、AP等设备。该检查系统为提高工作效率向使用者提供了逐一添加待检查目标设备资产和批量统一导入资产列表的两种不同方式，批量导入方式使用者按照检查系统规定格式调整既有资产清单即可快速导入待检查目标。3.5. 任务管理针对WLAN系统的安全合规性检测

19、不是一次性工作，长期、高频度执行安全检查工作才能保证WLAN系统的持续稳定运行。该安全检查系统提供即时执行式、预约执行式和定期重复执行式的不同检查任务管理功能。3.6. 报表展示WLAN合规性管理系统对于检查结果会进行系统分析和整理。报告以Word格式呈现，考虑的报表输出环境，支持多种OFFICE版本。对于输出的检查结果管理者可以方便进行分类、汇总以及后期的查询。同时，报告中呈现的安全威胁也会提供详细的安全建议。对于不需要输出的报告情况，可以提供结果在线预览的功能。3.7. 系统升级WLAN合规性管理系统支持检查的20多家的WLAN设备厂家、安全配置规范以及安全漏洞需要不断的被挖掘、更新和补充

20、，在开发中也考虑到了后期升级的场景，对于后期挖掘的安全漏洞、移动集团新添加的安全配置规范、新入围的厂家设备信息会随时更新和补充。同时，工具支持离线系统升级的快捷快速的方式。3.8. 系统安全性对于WLAN合规性管理系统的自身安全，我们以USB-Key方式控制系统启动和系统关键文件和密码加密的保密存储，避免了工具中涉及到WLAN设备的敏感信息被窃取和盗用等安全风险。四、 系统特色4.4.1. 最广泛的设备支持规则是检测WLAN业务系统安全性的基准，WLAN安全合规性管理系统的规则定义完全遵循中国移动WLAN设备通用安全功能和配置规范的规定，针对规则的重要程度，分为必选、一般、可选三个级别，同时可

21、设置手动、自动的检查方式。规则管理主要负责规则的分类查看与管理，检测范围涵盖WLAN设备配置安全合规性检查、WLAN业务安全漏洞检查的合规检查。该系统支持的WLAN专用设备包括傲天、网件、新邮通、联信永益、明华澳汉、大唐电信、京信、虹信、广州杰赛、国人、中太数据、弘浩明传、H3C、福建三元达、中兴、阿德利亚、摩托罗拉、Aruba、上海贝尔、华三通信、智达康等常用各厂家的wlan专用设备。同时该系统支持对华为、亚信联创、安氏的WLAN认证系统的评估和检查。4.2. 基于安氏领先丰富的WLAN系统建设和安全建设项目案例研制开发安氏领信协助北京移动持续建设了2008奥运会WLAN认证系统，T3航站楼

22、 WLAN认证系统，北京移动高校WLAN认证系统，北京移动集团客户WLAN认证系统，所以对移动的网络结构和业务流程非常了解（各省移动都是按照集团规范建设的）；同时承担了移动第一个WLAN安全服务项目-天津移动WLAN安全服务项目，所以通过项目梳理了WLAN在网络结构，设备，配置方面的安全风险，对WLAN的安全建设提出了建议。安氏领信是国内唯一一家既参与WLAN系统建设又参与WLAN安全建设项目的厂商。安氏领信在2011年里曾多次参加全国各省移动的WLAN安全评估工作，包括：北京移动、天津移动、河北移动、河南移动、湖南移动、广西移动、云南移动、贵阳移动、内蒙移动。4.3. 优秀漏洞挖掘和研究能力

23、安氏领信领先于其它厂商一直从事WLAN安全研究。并和工业与信息化部CNCERT/CC、中国移动集团保持了关于WLAN安全良好合作研究。在实验室的研究过程中，发现了中国首例WLAN方面的高危漏洞。意识到漏洞的危害性和影响范围很大，安氏领信立即于2011年3月31日将该漏洞情况提交给工信部CNCERT，中国移动集团公司网络部。2011年4月1日，安氏领信收到工信部国家互联网应急中心（CNCERT）反馈，上报的漏洞已经入选国家漏洞库，中文名：“傲天动联无线控制器绕过验证下载配置文件漏洞”,CNVD编号为CNVD-2011-04873，漏洞贡献者：北京安氏领信科技发展有限公司 专业安全服务部 刘健皓。-移动集团公司对此漏洞极为重视，于4月2日通过工单T-001-110402-00013向全国各省发布“关于紧急防范傲天及其OEM产品WLAN AC安全漏洞威胁的紧急预警信息公告”，通知各地漏洞情况，要求全网进行紧急规避处理，同时下发了安氏的检测工具。-4月12日，移动集团网络部安全处要安氏提供了“安氏针对该漏洞检测工具”（软件）、“检测工具的使用说明”（文档），“漏洞危害情况说明”（文档），以便各