系统管理员网络安全培训课程教材-WLAN

WLAN系统管理员培训教材编者：李小雪单位：重庆移动电话箱：lixiaoxue@培训对象与人员能力要求：WLAN系统维护人员已掌握TCP/IP基础知识、WLAN基础知识、网络设备配置基础知识课时安排：培训目标：目录WLAN系统的网络安全管理要求2相关技术及安全标准介绍4WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆WLAN认证过程-WEB认证方式APWLANACPortalServerRadiusInternetIP城域网APAP2.发起HTTP请求访问Internet业务应用

1.关联WLAN，获取IP地址3.第一次访问，AC强制到Portal，推送登录页面4.认证成功，返回认证结果，AC将IP/MAC地址与MSISDN对应关系加入会话列表5.推送认证成功页面拒绝服务攻击-物理层和链路层RF干扰主要对2.4GHz频段进行干扰微波炉、无绳电话等也可能造成无意干扰Duration攻击利用802.11的冲突避免机制，攻击者通过修改无线报文参数（NAV，Duration字段），大量抢占空口时间，使正常AP/终端无法收发报文BeaconFlood向无线信道中发送大量虚假的SSID，来充斥客户端的无线信号列表，使客户端找不到真实的AP,这样即影响到了正常的无线业务的运行拒绝服务攻击-物理层和链路层-防护手段无有效手段预防加强巡检和故障响应，遭受攻击时通过仪器仪表仪表等手段快速定位攻击源拒绝服务攻击-ARP广播包攻击者发起洪泛ARP广播请求，致使AC向各AP转发大量数据，造成网络拥塞拒绝服务攻击-ARP广播包-防护手段AC严格划分VLAN，减小广播域，并严禁VLAN间互通开启AC的用户隔离功能禁止AP向与其关联的所有终端广播ARP报文开启接入交换机的端口隔离功能开启网络设备DHCPSnooping功能拒绝服务攻击-ARP广播包-防护手段Internet…AP无线控制器有线接入网AP隔离，防止不同AP下用户互通用户隔离，防止同AP下用户互通安全管理中心（secCenter）拒绝服务攻击-针对APSTA与AP连接过程发生在用户身份认证开始之前STA的三个状态拒绝服务攻击-针对AP攻击方式AuthenticationFlood&AssociationFlood认证洪水攻击和关联洪水攻击伪装客户端向AP发送大量的认证或者关联请求，使目标AP过载或者关联表填满，无法响应正常请求，也可能导致已连接用户断线De-authenticationFlood&De-associationFlood取消认证洪水攻击和取消关联洪水攻击发送大量取消认证或者取消关联请求，使已连接的用户强制断线拒绝服务攻击-针对AP-防护手段协议弱点，无有效手段预防开启无线拒绝服务攻击检测告警功能加强巡检和故障响应，遭受攻击时通过仪器仪表仪表等手段快速定位攻击源拒绝服务攻击-针对ACDHCP地址耗尽攻击攻击者发送大量虚假的DHCP请求，耗尽地址池中地址，导致AC无法为新合法用户分配IP合法终端因为IP地址耗尽所以无法正常接入AC给所有实现无线关联的终端分配IP地址发送大量虚假DHCP请求AC上的IP地址池中地址很快被非法终端耗尽拒绝服务攻击-针对ACWEB服务攻击AC多采用WEB方式管理，自身运行httpd等web服务，可能遭受针对WEB服务的DoS攻击，造成设备负荷过高案例：2011年某省公司AC遭受SYNFLOOD攻击，造成CPU负荷过高，业务中断攻击者拒绝服务WLANAC拒绝服务攻击-针对AC-防护手段DHCP地址耗尽攻击开启网络设备DHCPSnooping功能WEB服务攻击AC上配置ACL等手段，限制有限地址作为访问源，拒绝非授权IP访问AC拒绝服务攻击-其它Portal风险Portal完全暴露在公网提供WEB服务，存在遭受DOS/DDOS攻击的风险Radius风险Portal、Radius多存在于一个安全域内，而且WebPortal必须对所有用户可见，因此Radius的安全性很低，存在遭受DoS及DDoS攻击的风险拒绝服务攻击-其它-防护手段WLAN系统严格划分安全区域Portal与Radius隔离在两个不同等级安全域内，且Radius安全域等级应高于WebPortal域安全等级

在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度攻击者网站防篡改DDOS防护WLANPortal网络滥用-DNS漏洞绕开计费WLAN认证过程回顾1.用户连接CMCC的无线接入点2.终端分配到IP地址，进入WLAN的认证前域。此时认证前域配置了访问控制策略，用户只能访问AC、DNS和Portal等地址3.用户随意在浏览器中输入一个URL，由DNS解析到网站实际IP地址4.WLANAC将用户对该网站的请求修改为对Portal服务器的访问请求，要求用户强制认证5.用户在Portal上通过认证，由AC配置进入认证后域网络滥用-DNS漏洞绕开计费漏洞原理AC在认证过程第3步时未对用户终端发起的域名解析请求作目的地址限制，用户终端不仅可以访问AC通过DHCP分配的DNS服务器的UDP53端口，也可以访问其它外网IP地址的相同端口漏洞利用方法恶意人员可以在公网建立一台VPN服务器，使用UDP53端口提供VPN服务。用户终端不经过用户身份认证，就可以通过VPN软件客户端建立起与外网VPN服务器的VPN连接，将该VPN服务器作为代理服务器，将正常的上网流量封装在DNS协议报文中发送到互联网上，实现对公网的访问。此时AC会将所有VPN隧道内的流量视为正常的DNS协议数据予以放行网络滥用-DNS漏洞绕开计费实现工具OpenVPN，一款开源的VPN软件危害免认证计费，并且避免了运营商网络中的监控和审计和溯源措施网络滥用-DNS漏洞绕开计费-防护手段在AC上设置DNS白名单或实施ACL控制，限定认证前域的终端可访问的DNS为特定地址和特定端口网络滥用-DNS漏洞绕开计费更进一步如果认证前域的配置严格，只明确开放指定的DNS服务器的地址和服务，那么用户只能连接到运营商指定的DNS服务器，前述漏洞将被封堵另一个思路：将外出流量通过运营商指定的DNS服务器转发至外网VPN服务器实现方式：通过将向外访问的流量封装在DNS请求协议报文中，由DNS服务器转发到外网的VPN服务器，同样可以逃过AC的访问控制策略检查网络滥用-DNS漏洞绕开计费更进一步VPN建立数据封装网络滥用-DNS漏洞绕开计费更进一步实际数据流——三角模式

发出的数据包接收的数据包网络滥用-DNS漏洞绕开计费实现工具LoopcVPN危害免认证计费，并且避免了运营商网络中的监控和审计和溯源措施影响DNS服务器——此种方式的访问对运营商DNS服务器的负荷很大，一般用户的上网流量中DNS流量只占总流量的不到1%。而此种方式几乎用户所有的访问都是封装在DNS中。并且运营商本地DNS必须进行递归查询，极其消耗资源。可能影响挂在DNS上的其他重要业务(如WAP)网络滥用-IP地址冒用盗用WLAN设备地址用户和网络设备在无线侧是通过共同的网络设备向上访问，两个地址段属于不同的VLAN，但可能未作隔离网络设备地址（AP、交换机等）可能为公网地址非法用户在获得AP、AC、交换机等WLAN系统设备地址后，可将自己的终端设置为相同地址段IP，则可能实现免费上网网络滥用-IP地址冒用盗用合法用户IP地址原理APWLANACPortalServerRadiusInternetIP城域网APAP用户认证通过后AC维护会话状态表，后续会话访问只通过IP地址进行识别，留下安全隐患！网络滥用-IP地址冒用盗用合法用户IP地址攻击者扫描无线网络中在线的用户，将通过认证的用户踢出无线网络中（DOS攻击）手工更改本机IP为通过验证用户的IP地址，访问互联网网络滥用-IP地址冒用-防护手段盗用WLAN设备地址配置AP、交换机等设备管理地址为私网地址，断绝用户地址与设备地址路由严格划分管理VLAN和业务VLAN设定ACL，限制WLAN设备地址段访问互联网盗用合法用户IP地址设定DHCP租期大于用户超时下线时间（现在要求DHCP租期大于30分钟，用户超时下线时间为15分钟）AC判断是否放行用户访问时，同时判断IP地址和MAC地址，增加攻击者的利用难度敏感信息泄露-网络窃听在WLAN环境中，由于其开放的传输介质，使得攻击者可以非常容易地实施窃听攻击明文协议(HTTP,POP3和FTP等)都可以被窃听可能泄露用户在网站、邮箱以及BBS上的帐号口令以及访问记录敏感信息泄露-网络窃听-防护手段Portal认证中，账号密码传输采用SSL加密，泄露可能性较低数据加密空口加密：WPA2VPN应用层加密：HTTPS/FTPS…敏感信息泄露-伪AP私设SSID为CMCC/CMCC-EDU的AP，诱使用户连接到此AP，收集用户的WLAN账号密码攻击者在伪AP后自设WEB服务器，伪造出登录页面记录用户输入的账号密码信息合法AP

假CMCCAP

用户（终端）攻击者Radius服务器敏感信息泄露-伪AP-防护手段开启非法AP检测和定位功能，及时发现伪CMCCAP取消WLAN手机用户的静态密码登录方式，采用动态密码下发方式敏感信息泄露-伪DHCP服务器攻击步骤发动DHCP地址耗尽攻击，使AC地址池耗尽，无法向合法用户分配IP攻击者冒充DHCP服务器，响应用户DHCP请求并分配伪IP地址给用户网关一般设置为攻击者的地址，从而窃听用户流量，获得未加密的敏感信息敏感信息泄露-伪DHCP服务器更进一步伪DHCP服务器下发的DHCP配置中，DNS服务器地址设置为攻击者控制的虚假DNS服务器收到用户对重要网站（银行、证券系统等）的域名解析请求，返回钓鱼网站IP地址用户被定向到钓鱼网站，泄露帐号密码等敏感信息敏感信息泄露-伪DHCP服务器-防护手段开启网络设备DHCPSnooping功能开启接入交换机的端口隔离功能开启AC的用户隔离功能敏感信息泄露-ARP欺骗同一VLAN下的用户，如果可以互相访问，则攻击者可以使用ARP嗅探的方式截获其它用户数据攻击者广播虚假ARP包，将合法用户的网关指定为攻击者本身用户流量全部经过攻击者，数据被窃听敏感信息泄露-ARP欺骗-防护手段AC严格划分VLAN，减小广播域，并严禁VLAN间互通开启AC的用户隔离功能禁止AP向与其关联的所有终端广播ARP报文开启接入交换机的端口隔离功能敏感信息泄露-WLAN用户密码生成机制问题WLAN用户在遗忘登录密码后，可通过发送短信CZWLANMM至10086，系统重置并返回一个新的密码现网中部分省市将重置密码设置为默认密码，因此每次客户重置密码，返回的密码均为“111111”恶意用户针对号段进行默认密码尝试，可能发现可用账号，盗用后免费上网敏感信息泄露-WLAN用户密码生成机制问题-防护手段增强WLAN用户密码生成机制的安全性，避免WLAN系统重置密码是默认弱口令设备被攻击利用-网络设备网络设备（特别是AC）暴露在公网，易遭受各种攻击如果AC设备被攻击者控制，可能存在以下安全风险攻击者获取AC设备root权限后，可停止业务进程、关闭端口，甚至关闭设备，导致用户无法使用WLAN，影响客户感知如攻击者对WLAN业务较为熟悉，可在AC设备上获取客户使用WLAN业务的帐号名称、访问记录等敏感信息，导致客户敏感信息泄漏更进一步，在攻击者很熟悉WLAN业务流程的情况下，可向上联Radius服务器发送异常数据包，导致认证或计费异常，容易引发客户投诉，影响公司形象攻击者在AC设备上安装恶意程序，作为攻击者特定用途使用，如发送垃圾邮件、发起拒绝服务攻击等（已有案例）WLAN业务异常客户信息泄漏认证/计费异常攻击发起源设备被攻击利用-网络设备SNMP默认CommunityString（团体字）风险WLAN系统中大量的设备都开启了SNMP服务，该服务默认口令字为public、privatePublic为只读权限，只能对设备进行查看Private为读写权限，不但能读取设备的相关信息，还可对这些信息进行修改相关工具：SolarWinds等通过Private权限，可对端口进行关闭操作设备被攻击利用-网络设备AC等设备自身漏洞操作系统漏洞WLAN设备如AC、Radius等多基于Unix/Linux等通用操作系统。如果设备自身存在安全漏洞，且互联网可达，则易被攻击并成为肉鸡案例：2010年某省公司的AC地址被国际发垃圾邮件组织加入SBL列表。经排查，属于AC被攻击后被植入恶意进程，并启用本地880端口为外部提供代理服务应用服务漏洞WEB/FTP等服务存在安全漏洞，造成被入侵案例：某厂家AC存在绕过验证下载任意配置文件漏洞设备被攻击利用-网络设备设备弱口令对互联网开放不必要的端口和服务AC登陆协议使用明文传输模式部分AC设备不支持SSH、HTTPS等加密形式登陆，使得维护过程中账号、口令在互联网明文传输，存在被窃听可能设备被攻击利用-网络设备-防护手段账号口令和SNMP团体字复杂度需满足集团安全规范设备管理端口和业务端口分离。在网络设备上配置ACL，限定有限地址段访问和管理设备关闭设备的HTTP/TELNET等明文协议管理方式，采用HTTPS/SSH等加密方式检查WLANAC设备上进程及开放端口列表，确认是否存在恶意程序及非法端口，如存在则手工关闭后清除，并手工恢复被破坏的系统文件使用安全漏洞扫描设备对所有WLAN相关设备进行安全漏洞扫描，检查有无高中风险安全漏洞，如有需尽快修补设备被攻击利用-PortalWLAN的WebPortal由于在公网上能够访问，存在网页篡改、拒绝服务攻击等网站安全威胁网页篡改信息窃取拒绝服务非法入侵攻击者WLANPortal设备被攻击利用-Portal

-防护手段WLAN系统严格划分安全区域在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度攻击者网站防篡改DDOS防护WLANPortal目录WLAN系统的网络安全管理要求2相关技术及安全标准介绍4WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆WLAN系统安全域划分WLAN组网安全要求VLAN隔离与安全域划分要求AP、AC支持VLAN隔离，AC严格划分VLAN，将AP划分到不同VLAN中，并严禁VLAN间互通由于WebPortal需向用户开放且Radius系统的重要性，因此需将WebPortal与Radius隔离在两个不同等级安全域内，且Radius安全域等级应高于WebPortal域安全等级二层隔离要求支持AP下的二层隔离功能；支持用户隔离功能的打开和关闭地址规划要求配置无需访问公网的设备（如AP、交换机等）地址为私网地址AP、AC管理端口和业务端口分开方式一：管理端口分配私有IP地址，业务端口分配公网IP地址方式二：管理端口、业务端口分在不同的IP地址段WLAN系统设备安全验收要求合理分配IP、划分VLAN及安全域网络设备地址尽量配置私网地址划分管理VLAN和业务VLAN细分VLAN，减小广播域高风险区域部署防火墙、防DDOS、IDS等安全设备开启设备防护功能端口隔离用户隔离DHCPSnooping非法AP检测WLAN系统设备安全验收要求严格设置访问控制关闭TELNET/HTTP、仅对维护需要的IP开放特定端口、设置AC的DNS白名单...基线配置检查账号口令、SNMP团体字...安全设备配置检查ACL策略、防火墙策略...系统漏洞扫描，及时修补漏洞WLAN系统安全集团相关要求关于进一步强化WLAN系统安全管理的通知目录WLAN系统的网络安全管理要求2相关技术及安全标准介绍4WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆WLAN系统日常安全检查WLAN日常安全维护作业系统日志安全检查安全设备运行情况检查木马和恶意软件监控重要业务进程及变化监控检查应用系统端口、服务情况检查各防火墙访问控制策略病毒代码更新工作系统配置、账号、文件系统检查更改帐号口令、并审计帐号目录WLAN系统的网络安全管理要求2相关技术及安全标准介绍4WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆DHCPSnooping技术介绍DHCPSnooping——DHCP监听允许将设备某个物理端口设置为信任（Trust）或不信任（Untrust）防止伪DHCP服务器攻击信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃DHCPSnooping技术介绍防止DHCP地址耗尽攻击比较DHCP请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃防止DHCP广播泛滥可以对端口的DHCP报文进行限速，从而阻止短时间大量发送DHCP请求报文造成广播泛滥无线局域网安全标准（1）-WEPWEP——WiredEquivalentPrivacy，有线等效保密协议是一种可选的链路层安全机制，用来提供访问控制，数据加密和安全性检验等无线局域网安全标准（1）-WEP认证机制两种身份认证方法：开放式——工作站使用MAC地址作为身份证明PSK——Pre-SharedKey，预共享密钥，单向认证（AP认证终端）加密机制RC4流加密算法40位/104位密钥+24位IV（初始向量）无线局域网安全标准（1）-WEPWEP脆弱性对RC4算法的使用方式不正确，易被破解IV（初始向量）及密钥长度短，导致IV重复出现次数较高，造成RC4算法的加密强度大幅度下降无完整性机制，数据易被篡改，容易受到重放攻击密钥管理不便，加密、认证使用相同密钥，泄密可能性大无双向认证，可能存在虚假AP无线局域网安全标准（2）-WPAWPA（Wi-FiProtectedAccess）802.11idraft3，为了向下兼容的过渡性解决方案认证机制802.1x或WPA-PSK，认证的同时协商本次会话密钥，将认证与加密机制明确分离加密机制TKIP（TemporalKeyIntegrityProtocol），临时密钥完整性协议RC4流加密算法，48位IV，256位密钥，每帧变换完整性机制Michael信息编码完整性机制，防止重放攻击无线局域网安全标准（3）-IEEE802.11iIEEE802.11iWPA2演进图无线局域网安全标准（3）-IEEE802.11i认证机制802.1x或WPA2-PSK支持双向认证（用户和认证服务器之间）认证的同时协商本次会话密钥，将认证与加密机制明确分离加密机制TKIP，保持向下兼容CCMP（Counter-modeCBC-MACProtocol），带计数的CBC-MAC协议基于AES加密算法完整性机制提供无线局域网安全标准（4）-WAPIWAPI（WLANAuthenticationandPrivacyInfrastructure），无线局域网鉴别与保密基础结构我国2003年