WLAN安全风险与组网介绍

1、WLAN安全风险与组网介绍WLAN安全风险安全风险1WLAN设备组网要求设备组网要求2目目 录录3241wlan认证计费系统明文传送用户账号信息维护人员投诉处理获得用户账号信息WLANWLAN安全风险安全风险用户密码生成机制不严谨伪AP/Portal钓鱼获得用户账号信息维护人员投诉处理获得用户账号信息维护人员在处理用户投诉时，通过Radius系统工具可以得到用户账号密码等信息。防范方法：对Radius数据库本地存储的账号、密码保管，采用金库模式进行维护，加密保存；严禁所有人员未经合理授权增加、删除、修改、查看WLAN系统设备中保存的客户账号、密码，以及涉及客户上网话单等信息。1. 盗用账号、密

2、码盗用账号、密码wlan认证计费系统明文传送用户账号信息Wlan的Radius系统存储大量WLAN用户账号、密码信息，在与其他账号生成系统传递用户账号信息时，存在明文情况。数据包如果遭遇窃听，将导致用户账号信息泄露。防范方法：对Radius数据库本地存储的账号、密码保管，采用金库模式进行维护，加密保存。伪AP/Portal钓鱼获得用户账号信息不法分子能够通过自行架设AP，利用伪造SSID为CMCC的WLAN AP和Portal页面进行钓鱼，盗取用户账号密码。防范方法：开启WLAN系统的非法AP检测和定位功能，及时发现伪AP。1. 盗用账号、密码盗用账号、密码用户密码生成机制不严谨WLAN用户密

3、码生成机制不严谨，生成、下发弱密码，如WLAN用户每次重置密码，返回相同密码，且存在弱密码“111111”，若被不法分子恶意按号段进行密码尝试，可盗取大量用户账户密码。防范方法：增强WLAN用户密码生成机制的安全性，避免WLAN系统重置密码是默认弱口令。3241利用设备地址无认证访问互联网 利用AC的DNS漏洞跳过Portal无认证访问互联网WLANWLAN安全风险安全风险 原因分析WLAN用户和Wlan网络设备在无线侧是通过共同的网络设备向上访问，两个地址段属于不同的Vlan，但互相之间无法做隔离因此，非法用户在获得AP、AC、交换机等WLAN系统设备地址后，可将自己的终端设置为相同地址段I

4、P，则可能实现免费上网解决手段：限制设备地址段访问互联网，从而抑制黑客使用设备地址进行非法攻击的可能设置无需访问公网的设备（如AP、交换机等）地址为私网地址。 2. 网络滥用网络滥用原因分析原因分析WLAN用户在未通过网络认证时也需要进行DNS解析，因此目前AC会无条件放行所有来自用户的DNS解析请求（即目标端口为UDP 53的数据包）未经过认证的用户应用Socket代理、openvpn之类的vpn软件或者端口重定向工具，模拟DNS数据流，将访问流量定向到互联网特定服务器的UDP 53端口进行转发，从而实现免费访问互联网2. 网络滥用网络滥用Page 9登陆过程介绍用户连接CMCC的无线接入点

5、终端分配到IP地址,进入WLAN的认证前域.此时认证前域配置了访问控制策略,用户只能访问AC,DNS和Portal等地址用户随意在浏览器中输入一个URL，由DNS解析到网站实际IP地址。WLAN AC将用户对该网站的请求修改为对Portal服务器的访问请求，要求用户强制认证。用户在Portal上通过认证,由AC配置进入认证后域.u图中标示红色字体的部分为导致漏洞发生的关键步骤.存在问题开放开放DNS服务。造成了潜在的漏洞服务。造成了潜在的漏洞。 由于用户的终端存在DNS的缓存，不能通过修改DNS回应的方式强制用户访问Portal,因此在WLAN用户的认证前域中必须允许用户向DNS服务器发起正常

6、的请求并接受回应报文。2. 网络滥用网络滥用10配置条件 如果认证前域的配置相对宽松,开放了所有的DNS服务,而并没有明确DNS服务器的地址,那么用户理论上可以连接到任何互联网地址的53端口.漏洞利用方法 用户终端可以通过VPN软件客户端,将正常的上网流量封装在DNS协议报文中,发送到互联网上用户指定的VPN服务器.逃过AC的访问控制策略检查.VPN服务器端作为代理,再将HTTP,FTP,SMTP等应用访问的回应报文发送回来.漏洞利用工具 OpenVPN是一种免费开源的VPN软件，并且提供服务器和使用帐号，可以用于突破WLAN的认证封锁。此种方式在电信和移动网内都有被利用的纪录.可以不通过运营

7、商DNS服务器,对DNS系统没有影响. 2. 网络滥用网络滥用11配置条件 如果认证前域的配置严格, 只明确开放DNS服务器的地址和服务,那么用户只能连接到运营商的DNS服务器.漏洞利用方法 用户终端可以通过将正常的上网流量封装在DNS请求协议报文中,有DNS服务器转发到特定的服务器.同样可以逃过AC的访问控制策略检查. 特定服务器端作为代理,再将HTTP,FTP,SMTP等应用访问的回应报文封装在DNS回应报文中发送回终端.漏洞利用工具 LOOPC是一种定制的软件，提供服务器和使用帐号（收费），专门用于突破WLAN的认证封锁。在移动和电信网内都有专门的服务器。在淘宝上还有网店出售帐号和点卡。

8、 2. 网络滥用网络滥用12安全漏洞分析Web方式的Portal推送是造成此漏洞的根本原因解决方案不采用web推送方式，改用PPPOE的客户端认证（类似电信的天翼客户端方式）。配置AC的DNS白名单或ACL，用户在认证前只允许访问特定DNS服务器在DNS上封堵类似LOOPC的网站，加入黑名单通过在WLAN的DNS上的7层协议分析，寻找此类流量的特征，在网络上进行封堵。2. 网络滥用网络滥用3241WLAN设备暴露公网，易被攻击控制管理AC时未采用加密协议登录设备自身脆弱性和漏洞WLANWLAN安全风险安全风险WLAN设备暴露公网，易被攻击控制：无线用户地址可访问设备地址风险WLAN用户和Wla

9、n网络设备在网络侧经过同样的物理设备，未做有效隔离，因此无线侧设备可访问设备地址，发起攻击。防范方法：1、限制用户地址段访问设备地址段，断绝用户地址与设备地址路由。2、在设备自身上限制用户网段与设备管理口互访。3. 设备被利用设备被利用WLAN设备暴露公网，易被攻击控制：互联网可以访问AC地址风险由于承载网业务需求，AC设备需配置为公网设备地址，因此如不做安全防护，则互联网可直接访问AC，AC受攻击可能性很大。防范方法：限制有限地址对AC的访问，禁止对互联网开放访问规则管理AC时未采用加密协议登录部分AC设备不支持SSH、HTTPS等加密形式登陆，使得维护过程中账号、口令在互联网传输存在被窃听

10、可能防范方法：1、升级登陆接口变为可加密的协议进行登陆认证，如SSH、HTTPS等2、限制有限地址源作为有效访问源，拒绝非授权IP访问WLAN设备3. 设备被利用设备被利用设备自身脆弱性及漏洞-1WLAN设备如AC、Radius等多基于Unix/Linux等通用操作系统。如果设备自身存在安全漏洞，且互联网可达，则易被攻击并成为肉鸡案例介绍：2010年中国移动某省公司的AC地址被国际发垃圾邮件组织加入SBL列表，经排查，属于AC被攻击后被植入恶意进程，并启用本地880端口为外部提供代理服务。防范方法：1、提升AC等网络设备自身安全性，消除安全漏洞，提升密码安全、复杂度2、限制有限地址源作为有效访

11、问源，拒绝非授权IP访问WLAN设备3. 设备被利用设备被利用设备自身脆弱性及漏洞-2某些AC设备应用层存在漏洞，如未对Cookies或者Session做判断,可能造成任意用户在不通过验证的情况下下载设备配置文件，进而破解管理员密码，获得AC的控制权防范方法：1、提升AC等网络设备自身安全性，消除安全漏洞，提升密码安全、复杂度2、限制有限地址源作为有效访问源，拒绝非授权IP访问AC3. 设备被利用设备被利用3142Wlan Portal易被攻击、篡改AC易遭受针对WEB服务的DoS攻击AC易遭受DHCP泛洪DoS攻击WLAN网络易遭受ARP泛滥攻击WLANWLAN安全风险安全风险 问题描述 W

12、LAN的Web Portal由于在公网上能够访问，存在网页篡改、拒绝服务攻击等网站安全威胁。网页篡改网页篡改信息窃取信息窃取拒绝服务拒绝服务非法入侵非法入侵攻击者网站防篡改DDOS防护n 应对措施：应对措施：n 鉴于鉴于Web Portal对全国对全国WLAN用户登录的重要性，要求在用户登录的重要性，要求在Web Portal前前部署防火墙、防部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度、网页防篡改等安全防护系统，确保高安全强度WLAN Portal4. 网络不可用网络不可用风险分析由于AC是用户访问互联网的控制节点，因此AC将成为吸引黑客的重要对象。AC面临的DoS攻击威

13、胁主要有两类： 基于DHCP的DoS攻击 针对WEB服务的DoS攻击安全管理中心热点A ACFIT APCmnet热点BFIT APOLT/汇聚交换机ONU分光器件接入交换机4. 网络不可用网络不可用应对措施： 在AC上配置ACL等手段，限制有限地址作为访问源，拒绝非授权IP访问AC4. 网络不可用网络不可用问题描述AC多采用WEB方式管理，自身运行httpd等web服务，可能遭受针对WEB服务的DoS攻击，造成设备负荷过高攻击者拒绝服务WLAN AC问题描述在正常用户发送DHCP广播请求后，攻击者冒充DHCP服务器，响应用户并分配伪IP地址给用户应对措施：AC配置DHCP信任端口，只信任网络

14、侧接口发来的DHCP响应报文，开启DHCP Snooping开启AC的用户隔离功能4. 网络不可用网络不可用应对措施：应对措施：ACAC配置开启配置开启DHCP SnoopingDHCP Snooping功能功能合法终端因为IP地址耗尽所以已经正常接入AC给所有实现无线关联的终端分配IP地址非法终端不但浪费了无线链路资源，而且轻易获得了IP地址AC上的IP地址池中地址很快被非法终端耗尽，导致AC无法接入新用户4. 网络不可用网络不可用4. 网络不可用网络不可用问题描述 攻击者发起洪泛ARP广播请求，致使AC向各AP转发大量数据，造成网络拥塞。应对措施： AC严格划分VLAN，将AP划分到不同V

15、LAN中，并严禁VLAN间互通 开启AC用户隔离功能和交换机端口隔离功能 禁止AP向与其关联的所有终端广播ARP报文WLAN安全风险安全风险1WLAN设备组网要求设备组网要求2目目 录录12WLANWLAN设备组网要求设备组网要求WLAN组网组网-胖胖/瘦瘦AP架构架构WLAN组网安全要求组网安全要求802.11b/g胖架构AC瘦架构ACRadius瘦AP胖AP核心网AC包括“用户接入控制功能”和“无线控制功能”。瘦AP组网方式AC仅包括“用户接入控制功能”，不含“无线控制功能”。AP实现加密、QoS、切换、移动IP等功能胖AP组网方式Portal射频资源管理负载均衡AP设备管理AP切换控制安

16、全功能QoS认证功能接入控制计费功能强制Portal认证功能接入控制计费功能强制Portal功能VLAN功能带宽控制功能天线802.11a/g加密802.1XQoS二层漫游网管1. WLAN组网组网-胖胖/瘦瘦AP架构架构802.11 a/b/g天线加密网管、三层漫游, 安全802.1x认证,802.11e QOSAP点监测点监测用户防火墙用户防火墙网络自愈网络自愈RF 管理管理无线欺骗防护无线欺骗防护802.11a/b/g网管、二层漫游, 安全802.1x认证,802.11e QOS天线加密胖胖 AP瘦瘦 AP更易管理的无线解决方案 1. WLAN组网组网-胖胖/瘦瘦AP架构架构优点优点缺点

17、缺点场点型(AC位于汇聚交换机下)网络结构简单，不需改动现网结构；AP可配置私网地址；对BRAS不会造成压力AC所管理瘦AP的物理区域有限；个性化场点数量有限；AC设备数量多AC旁挂BRAS(路由模式，DNS方式)一台AC可管理一台BRAS下联任何位置的瘦AP；个性化场点只受AC的VLAN数限制；对现网改造较少要求AC的接入能力强;需要现网DNS配置AC的域名和地址；在AP上需根据规划可更改AC域名；用户流量需二次穿越BRAS；若AP配私网地址对BRAS的配置有要求AC位于城域网（DNS方式）一台AC可管理不同BRAS下同一厂家的瘦AP，布署灵活；AC数量少AC性能要求高；用户业务流量二次穿越

18、城域网；对AC就近接入的BRAS会产生较大的压力；与现网的网络层次结构不一致1. WLAN组网组网-胖胖/瘦瘦AP架构架构胖AP架构瘦AP架构技术模式传统方案每个AP都是一个单独的节点，独立配置其信道和功率；安装简便演进方向，增强了管理能力通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性安全性传统加密认证方式，普通安全性增加了射频环境监控，基于用户位置的安全策略，易实现非法AP检测和处理，提高了安全性功能分配AP自身功能强大，主要功能都在AP内实现，AP成本较高自身功能弱，主要功能集中在AC上实现，AP成本较低安全配置管理每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及审计带来较大困难AC统一配置并下发，维护相对简单WLAN组网规模L2漫游，适合小规模组网L2L3漫游，拓扑无关性，适合大规模组网网管很难进行无线网络质量的优化数据的采集管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问题业务部署部署需要改变现有网络，开展新业务时，需要每个AP都进行重新配置，新增AP时，对每个AP的IP地址都需要进行标识，便于网管针对这个AP下发配置可以不改变现有网络就部署，开展新业务时，只