搜索
WLAN安全问题交流2目录WLAN系统的网络安全管理要求2WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆3WLAN认证过程-WEB认证方式APWLANACPortalServerRadiusIP城域网APAP2.发起HTTP请求访问Internet业务应用1.关联WLAN,获取IP地址3.第一次访问,AC强制到Portal,推送登录页面4.认证成功,返回认证结果,AC将IP/MAC地址与MSISDN对应关系加入会话列表MAC-IP-MSISDNXXX-192.168.x.1–139xxxxxxxxXXX-192.168.x.2–138xxxxxxxx5.推送认证成功页面4WLAN安全威胁分析WLAN业务系统风险分分布视图5畅无线-免费的午餐“畅无线”公共WLAN连接和认证工具。无需账号密码,快速连接公共WLAN。通过它可以轻松接入全国三大运营商(中国移动、中国电信、中国联通)的WLAN、以及其他无线运营商、高校、商家的WLAN。当周边发现可以连接的公共WLAN后,你只要打开畅无线,选择一个就能轻松接入。6软件使用过程使用畅无线连接CMCC此时提示需要移动网络辅助通过移动网络辅助过程软件提示正在认证。通过认证后,提示已经在线,可以访问互联网。7问题分析•进入认证前,需要手机连接GPRS网络,通过GPRS网络向WLAN认证系统发起请求,获得电子密码卡。认证前•认证时客户端软件使用随e行客户端和获取到的电子密码卡,进行认证。认证时•认证系统获取到认证信息,验证电子密码卡信息,通过认证。认证完成8认证前首先软件会通过gprs网络连接互联网,去获取一个软件更新的查询。去获取cmcc的电子卡信息,然后返回给软件,然后再把相关信息去给cmcc的portal做验证来通过wlan网络的验证。9认证过程在认证过程中使用的是随e行的客户端进行通信的。所以认证过程是符合中国移动WLAN业务系统的业务规范。10认证成功认证成功之后,在AC上发现该用户认证使用的是电子密码卡的账号。11总结手机安装客户端软件通过GPRS流量获得电子密码卡使用WLAN网络进行认证认证成功手机安装客户端软件通过GPRS流量获得密码认证电子卡,该电子卡是从畅无线网站中获取到的。客户端软件向畅无线网站发送一个请求,系统就返回WLAN系统的认证电子卡。然后再使用随e行客户端和电子卡的用户名和密码进行认证,最终认证成功。整个认证流程都符合中国移动的要求,不是漏洞造成的。12设备漏洞认证鉴权SQL注入跨站、目录遍历13无线控制器漏洞描述(1)无线控制器Web管理界面鉴权功能实现有疏漏,对无线控制器进行帐号操作时,未对Cookies或者Session做判断,造成任意用户可以通过HTTPPOST数据添加管理员帐户。攻击者可以利用该漏洞直接添加管理员,并最终获得无线控制器的控制权,对WLAN系统网络造成巨大的影响。14无线控制器漏洞描述(2)通过Web应用方式对无线控制器的配置文件进行导出时,Cookies或者Session做严格判断,通过构造特殊的url,使得任意用户不通过验证即可下载无线控制器的配置文件。攻击者可以利用该漏洞破解包含在配置文件中的管理员密码。最终获得无线控制器的控制权,对WLAN系统网络造成巨大的影响。15无线控制器漏洞描述(3)无线控制器AC的Web应用未过滤特殊字符,对无线控制器AC进行帐号操作时,未对Cookies或者Session做判断,造成任意用户可以通过注入攻击添加管理员帐户。攻击者可以利用该漏洞直接添加管理员,并最终获得无线控制器AC的控制权,对WLAN系统网络造成巨大的影响。16危害和风险17网络滥用-DNS漏洞绕开计费WLAN认证过程回顾–1.用户连接CMCC的无线接入点–2.终端分配到IP地址,进入WLAN的认证前域。此时认证前域配置了访问控制策略,用户只能访问AC、DNS和Portal等地址–3.用户随意在浏览器中输入一个URL,由DNS解析到网站实际IP地址–4.WLANAC将用户对该网站的请求修改为对Portal服务器的访问请求,要求用户强制认证–5.用户在Portal上通过认证,由AC配置进入认证后域18网络滥用-DNS漏洞绕开计费漏洞原理–AC在认证过程第3步时未对用户终端发起的域名解析请求作目的地址限制,用户终端不仅可以访问AC通过DHCP分配的DNS服务器的UDP53端口,也可以访问其它外网IP地址的相同端口漏洞利用方法–恶意人员可以在公网建立一台VPN服务器,使用UDP53端口提供VPN服务。用户终端不经过用户身份认证,就可以通过VPN软件客户端建立起与外网VPN服务器的VPN连接,将该VPN服务器作为代理服务器,将正常的上网流量封装在DNS协议报文中发送到互联网上,实现对公网的访问。此时AC会将所有VPN隧道内的流量视为正常的DNS协议数据予以放行公网用户终端APAC公网VPN服务器1920网络滥用-DNS漏洞绕开计费实现工具–OpenVPN,一款开源的VPN软件危害–免认证计费,并且避免了运营商网络中的监控和审计和溯源措施21网络滥用-DNS漏洞绕开计费-防护手段在AC上设置DNS白名单或实施ACL控制,限定认证前域的终端可访问的DNS为特定地址和特定端口22敏感信息泄露-网络窃听在WLAN环境中,由于其开放的传输介质,使得攻击者可以非常容易地实施窃听攻击–明文协议(HTTP,POP3和FTP等)都可以被窃听–可能泄露用户在网站、邮箱以及BBS上的帐号口令以及访问记录23敏感信息泄露-网络窃听-防护手段Portal认证中,账号密码传输采用SSL加密,泄露可能性较低数据加密–空口加密:WPA2–VPN–应用层加密:HTTPS/FTPS…24敏感信息泄露-伪AP私设SSID为CMCC/CMCC-EDU的AP,诱使用户连接到此AP,收集用户的WLAN账号密码–攻击者在伪AP后自设WEB服务器,伪造出登录页面–记录用户输入的账号密码信息合法AP假CMCCAP用户(终端)攻击者Radius服务器25敏感信息泄露-伪AP-防护手段开启非法AP检测和定位功能,及时发现伪CMCCAP取消WLAN手机用户的静态密码登录方式,采用动态密码下发方式26敏感信息泄露-伪DHCP服务器攻击步骤–发动DHCP地址耗尽攻击,使AC地址池耗尽,无法向合法用户分配IP–攻击者冒充DHCP服务器,响应用户DHCP请求并分配伪IP地址给用户‐网关一般设置为攻击者的地址,从而窃听用户流量,获得未加密的敏感信息27敏感信息泄露-伪DHCP服务器更进一步–伪DHCP服务器下发的DHCP配置中,DNS服务器地址设置为攻击者控制的虚假DNS服务器–收到用户对重要网站(银行、证券系统等)的域名解析请求,返回钓鱼网站IP地址–用户被定向到钓鱼网站,泄露帐号密码等敏感信息28敏感信息泄露-伪DHCP服务器-防护手段开启网络设备DHCPSnooping功能开启接入交换机的端口隔离功能开启AC的用户隔离功能29设备被攻击利用-PortalWLAN的WebPortal由于在公网上能够访问,存在网页篡改、拒绝服务攻击等网站安全威胁网页篡改信息窃取拒绝服务非法入侵攻击者WLANPortal30设备被攻击利用-Portal-防护手段WLAN系统严格划分安全区域在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统,确保高安全强度攻击者网站防篡改DDOS防护WLANPortal31目录WLAN系统的网络安全管理要求2WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆32WLAN系统安全域划分APAPACSTAINTERNET流量监控及清洗系统Portal防篡改系统IDS防DOS系统RadiusDBPortal服务器区Radius及数据库区热点接入区接入控制区认证鉴权区33WLAN组网安全要求VLAN隔离与安全域划分要求–AP、AC支持VLAN隔离,AC严格划分VLAN,将AP划分到不同VLAN中,并严禁VLAN间互通–由于WebPortal需向用户开放且Radius系统的重要性,因此需将WebPortal与Radius隔离在两个不同等级安全域内,且Radius安全域等级应高于WebPortal域安全等级–二层隔离要求‐支持AP下的二层隔离功能;支持用户隔离功能的打开和关闭地址规划要求–配置无需访问公网的设备(如AP、交换机等)地址为私网地址–AP、AC管理端口和业务端口分开‐方式一:管理端口分配私有IP地址,业务端口分配公网IP地址‐方式二:管理端口、业务端口分在不同的IP地址段34WLAN系统设备安全验收要求合理分配IP、划分VLAN及安全域–网络设备地址尽量配置私网地址–划分管理VLAN和业务VLAN–细分VLAN,减小广播域–高风险区域部署防火墙、防DDOS、IDS等安全设备开启设备防护功能–端口隔离–用户隔离–DHCPSnooping–非法AP检测35WLAN系统设备安全验收要求严格设置访问控制–关闭TELNET/HTTP、仅对维护需要的IP开放特定端口、设置AC的DNS白名单...基线配置检查–账号口令、SNMP团体字...安全设备配置检查–ACL策略、防火墙策略...系统漏洞扫描,及时修补漏洞36WLAN系统安全集团相关要求关于进一步强化WLAN系统安全管理的通知37目录WLAN系统的网络安全管理要求2WLAN系统日常安全检查33WLAN系统面临的安全风险及防护手段31◆38WLAN系统日常安全检查WLAN日常安全维护作业–系统日志安全检查–安全设备运行情况检查–木马和恶意软件监控–重要业务进程及变化监控–检查应用系统端口、服务情况–检查各防火墙访问控制策略–病毒代码更新工作–系统配置、账号、文件系统检查–更改帐号口令、并审计帐号39谢谢