WLAN安全合規(guī)性檢查工具

1、成果上報申請書成果名稱wlan網(wǎng)絡(luò)安全合規(guī)性檢查工具成果申報單位中國移動天津公司成果承擔(dān)部門/分公司網(wǎng)絡(luò)部項目負(fù)責(zé)人姓名曹立冬項目負(fù)責(zé)人聯(lián)系電話和emaiaolidong成果專業(yè)類別*數(shù)據(jù)業(yè)務(wù)所屬專業(yè)部門*網(wǎng)絡(luò)線條成果研究類別*相關(guān)網(wǎng)絡(luò)解決方案省內(nèi)評審結(jié)果*優(yōu)秀關(guān)鍵詞索引（35個）wlan、無線城市、安全規(guī)范、合規(guī)、安全漏洞應(yīng)用投資30萬元產(chǎn)品版權(quán)歸屬單位中國移動天津公司對企業(yè)現(xiàn)有標(biāo)準(zhǔn)規(guī)范的符合度： 中國移動wlan設(shè)備通用安全功能和配置規(guī)范v2中國移動wlan設(shè)備通用安全功能測試規(guī)范v2如果該成果來源于研發(fā)項目，請?zhí)顚懷邪l(fā)項目的年度、名稱和類型（類型包括：集團(tuán)重點研

2、發(fā)項目、集團(tuán)聯(lián)合研發(fā)項目、省公司重點研發(fā)項目、其他研發(fā)項目），可填寫多個：成果簡介： wlan安全合規(guī)性檢查工具是一套針對wlan業(yè)務(wù)系統(tǒng)安全配置和安全漏洞檢查的專業(yè)安全系統(tǒng)，它填補(bǔ)了國內(nèi)wlan業(yè)務(wù)層面安全風(fēng)險識別的空白。wlan安全合規(guī)性檢查工具在全面識別傳統(tǒng)網(wǎng)元設(shè)備安全脆弱性的基礎(chǔ)上，增加了對wlan系統(tǒng)專有協(xié)議、專有設(shè)備、專有應(yīng)用的漏洞檢測和合規(guī)檢查。系統(tǒng)主要包含以下四個核心功能模塊：wlan業(yè)務(wù)安全漏洞檢測、wlan專有設(shè)備合規(guī)性檢查、wlan應(yīng)用安全漏洞檢測、通用網(wǎng)元設(shè)備合規(guī)性檢查。使用該系統(tǒng)實施安全檢查識別并處置相關(guān)安全風(fēng)險，為用戶提供安全可靠的wlan網(wǎng)絡(luò)，避免了免認(rèn)證登錄、網(wǎng)

3、絡(luò)攻擊造成業(yè)務(wù)無法使用等情況，將有效為公司挽回安全事件導(dǎo)致的經(jīng)濟(jì)損失。另一方面，優(yōu)質(zhì)、安全的網(wǎng)絡(luò)也將吸引更多集團(tuán)、大眾客戶的使用，為公司贏得經(jīng)濟(jì)和社會效益。依靠該工具主要發(fā)現(xiàn)的各類安全問題及，將對天津公司無線城市建設(shè)具有重要的安全保障作用。省內(nèi)試運(yùn)行效果：使用wlan安全合規(guī)性檢查工具通過對現(xiàn)網(wǎng)和待入網(wǎng)設(shè)備、系統(tǒng)模塊進(jìn)行檢查，分別發(fā)現(xiàn)了網(wǎng)絡(luò)不可用、業(yè)務(wù)濫用盜用、侵害用戶利益、系統(tǒng)和設(shè)備被攻擊等四大類風(fēng)險，其中依靠該工具發(fā)現(xiàn)的“傲天動聯(lián)無線控制器繞過驗證下載配置文件漏洞”被cncert（國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）編號為cnvd-2011-04873；總部網(wǎng)絡(luò)部通過”jt-001-110

4、402-00013”工單發(fā)布“關(guān)于緊急防范傲天及其oem產(chǎn)品wlan ac安全漏洞威脅的緊急預(yù)警信息公告”，要求全網(wǎng)進(jìn)行緊急規(guī)避處理。通過公司各部門與評估廠商的積極商討，得出有效的漏洞修復(fù)方案，并已對其中絕大部分安全漏洞完成集中修復(fù)，wlan網(wǎng)絡(luò)整體安全水平得到明顯提升，通用入侵手段已無法對網(wǎng)絡(luò)造成威脅。研究成果可在中國移動各省和全國其他wlan運(yùn)營商范圍推廣使用，從而指導(dǎo)更多省公司關(guān)注和完善wlan網(wǎng)絡(luò)安全建設(shè)工作。首先使用wlan安全合規(guī)性檢查工具對wlan系統(tǒng)進(jìn)行全面安全檢查，然后結(jié)合當(dāng)?shù)鼐W(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)實現(xiàn)方式，進(jìn)行本地化wlan業(yè)務(wù)安全評估和修復(fù)工作。工具可通過ap無線側(cè)、有線側(cè)接入w

5、lan網(wǎng)絡(luò)，并通過電腦終端軟件安裝或固化至檢測設(shè)備兩種方式，方便接入和使用，有利于大規(guī)模推廣應(yīng)用。文章主體 一、項目背景國家十二五規(guī)劃提出建設(shè)寬帶無線城市、中國移動全國范圍內(nèi)wlan無線城市建設(shè)也在如火如荼的進(jìn)行當(dāng)中，同時wlan業(yè)務(wù)也是中國移動天津公司在面對全業(yè)務(wù)發(fā)展競爭的趨勢，保持在互聯(lián)網(wǎng)寬帶移動領(lǐng)域的優(yōu)勢，積極進(jìn)入競爭對手的傳統(tǒng)領(lǐng)域，而大力發(fā)展的業(yè)務(wù)。根據(jù)集團(tuán)公司要求，作為重要網(wǎng)絡(luò)資源，wlan網(wǎng)絡(luò)建設(shè)應(yīng)該走在業(yè)務(wù)發(fā)展之前，要加大網(wǎng)絡(luò)規(guī)劃力度，迅速形成規(guī)模經(jīng)營，推動市場快速發(fā)展。wlan網(wǎng)絡(luò)建設(shè)的主要目的為：分流2/3g網(wǎng)絡(luò)的數(shù)據(jù)流量，擴(kuò)大網(wǎng)絡(luò)覆蓋，支持業(yè)務(wù)發(fā)展，并作為家庭寬帶接入的重要

6、手段。隨著天津移動wlan網(wǎng)絡(luò)建設(shè)工作的逐步開展，通過wlan業(yè)務(wù)進(jìn)行無線網(wǎng)絡(luò)分流，擴(kuò)大業(yè)務(wù)覆蓋范圍以及靈活的組網(wǎng)和資費，開始為公司帶來穩(wěn)定的業(yè)務(wù)收入。但與此同時，越來越多的安全威脅被引入到全ip化的wlan網(wǎng)絡(luò)中來。隨著黑客攻擊技術(shù)的不斷發(fā)展，針對wlan攻擊技術(shù)也層出不窮。根據(jù)集團(tuán)公司和互聯(lián)網(wǎng)發(fā)布，wlan網(wǎng)絡(luò)不斷出現(xiàn)遠(yuǎn)程控制漏洞、免認(rèn)證登錄漏洞、網(wǎng)絡(luò)干擾、網(wǎng)絡(luò)破解、拒絕服務(wù)攻擊、竊取用戶信息以及借助wlan網(wǎng)絡(luò)攻擊核心網(wǎng)元的安全問題。原有的安全防護(hù)及針對單純的基礎(chǔ)it設(shè)備的安全檢查手段，開展的安全檢查大部分僅停留在系統(tǒng)和通用設(shè)備安全配置上，缺乏對應(yīng)用層、通信業(yè)務(wù)的全面安全檢查和加固手段，

7、且檢查范圍有限，不能全面發(fā)現(xiàn)漏洞，無法應(yīng)對日新月異的業(yè)務(wù)系統(tǒng)安全威脅，不能滿足全ip化的趨勢及應(yīng)對wlan網(wǎng)絡(luò)具有電信特色的攻擊技術(shù)。集團(tuán)總部下發(fā)的wlan設(shè)備安全規(guī)范指導(dǎo)了wlan安全檢查和防護(hù)工作的開展，但在實際安全工作運(yùn)用中仍存在規(guī)范可操作性不強(qiáng)、安全建議不具體和無法應(yīng)對利用業(yè)務(wù)層面未知安全漏洞攻擊等不足之處。因此，如何全面深入檢查wlan網(wǎng)絡(luò)現(xiàn)有安全漏洞問題，是本系統(tǒng)實現(xiàn)的重點目標(biāo)。二、技術(shù)方案詳細(xì)介紹（一）概述wlan安全合規(guī)性檢查工具是一套針對wlan業(yè)務(wù)系統(tǒng)安全配置和安全漏洞檢查的專業(yè)安全子系統(tǒng)，它填補(bǔ)了wlan業(yè)務(wù)層面安全風(fēng)險識別的空白。wlan安全合規(guī)性檢查工具在全面識別傳統(tǒng)

8、it網(wǎng)元設(shè)備安全配置脆弱性的基礎(chǔ)之上增加了對wlan系統(tǒng)專有協(xié)議、專有設(shè)備、專有系統(tǒng)模塊的安全配置分析和安全漏洞檢測，系統(tǒng)合規(guī)性檢查功能劃分為以下四個功能模塊：wlan業(yè)務(wù)安全漏洞檢測、wlan專有設(shè)備合規(guī)性檢查、wlan應(yīng)用安全漏洞檢測、通用網(wǎng)元設(shè)備合規(guī)性檢查。使用該系統(tǒng)實施安全檢查識別并處置相關(guān)安全風(fēng)險使為用戶提供的各類wlan網(wǎng)絡(luò)安全可靠，避免了免認(rèn)證登錄、網(wǎng)絡(luò)攻擊造成業(yè)務(wù)無法使用等情況，將有效為公司挽回安全事件導(dǎo)致的經(jīng)濟(jì)損失。另一方面，優(yōu)質(zhì)、安全的網(wǎng)絡(luò)也將吸引更多集團(tuán)、大眾客戶的使用，為公司贏得經(jīng)濟(jì)和社會效益。（二）系統(tǒng)功能1、wlan業(yè)務(wù)安全漏洞檢測l 流量盜用漏洞檢測正常使用wla

9、n業(yè)務(wù)提供的互聯(lián)網(wǎng)服務(wù)需要經(jīng)過認(rèn)證鑒權(quán)流程的檢驗，通過驗證方能使用互聯(lián)網(wǎng)服務(wù)。由于認(rèn)證流程等方面的安全漏洞存在，通過某些特殊技術(shù)手段是可以繞過認(rèn)證流程，免費使用wlan服務(wù)的。對于此類可能造成業(yè)務(wù)營收損失的安全漏洞wlan安全合規(guī)性檢查工具對整個wlan系統(tǒng)中各關(guān)鍵組件、設(shè)備進(jìn)行檢查來發(fā)現(xiàn)可能引起漏洞危害的相關(guān)特征信息。l 認(rèn)證鑒權(quán)流程漏洞檢測根據(jù)梳理的wlan業(yè)務(wù)系統(tǒng)中認(rèn)證鑒權(quán)實現(xiàn)流程，分析web認(rèn)證系統(tǒng)結(jié)構(gòu)、web用戶接入流程、web用戶下線流程、定期自動認(rèn)證流程和用戶在線沖突處理流程是否規(guī)范，是否存在安全風(fēng)險。l 業(yè)務(wù)可用性漏洞檢測wlan系統(tǒng)網(wǎng)絡(luò)、設(shè)備、應(yīng)用程序的持續(xù)穩(wěn)定運(yùn)行是中國移動

10、提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的基本要求，業(yè)務(wù)可用性安全檢測主要分析無線網(wǎng)絡(luò)層面、ac和ap設(shè)備、會話管理等方面可能導(dǎo)致業(yè)務(wù)無法向用戶提供的的安全風(fēng)險。l 客戶信息泄露漏洞檢測用戶使用wlan業(yè)務(wù)訪問互聯(lián)網(wǎng)會傳輸各種應(yīng)用數(shù)據(jù)，其中可能包括網(wǎng)銀、網(wǎng)上營業(yè)廳等涉及敏感信息的業(yè)務(wù)，沒經(jīng)過安全加固和配置wlan系統(tǒng)存在泄露用戶敏感數(shù)據(jù)的風(fēng)險。在該檢測項目中重點檢查wlan portal的認(rèn)證頁面是否使用https加密傳輸涉及用戶名、密碼等敏感信息。2、wlan專有設(shè)備合規(guī)性檢查l wlan專有設(shè)備漏洞檢測在中國移動wlan組網(wǎng)結(jié)構(gòu)中ac、ap等專有設(shè)備承載著wlan業(yè)務(wù)的核心功能，專有設(shè)備自身由于廠商開發(fā)過程及代

11、碼編寫不安全等原因存在不同嚴(yán)重程度的安全漏洞。但由于其不開放性導(dǎo)致很多安全漏洞不為大多數(shù)人所知，在wlan安全合規(guī)性檢查工具中整合了若干此類安全問題的集合，在檢查中可以發(fā)現(xiàn)專有設(shè)備自身的安全漏洞。l wlan專有設(shè)備集團(tuán)規(guī)范合規(guī)性檢查wlan安全合規(guī)性檢查工具將集團(tuán)總部下發(fā)的安全配置、功能規(guī)范無一遺漏的梳理到合規(guī)檢查規(guī)則庫，系統(tǒng)自動登錄指定設(shè)備進(jìn)行配置信息的采集及分析。并將分析結(jié)果按照不同重要性權(quán)重、針對不同設(shè)備進(jìn)行安全水平打分，以量化分?jǐn)?shù)的形式展現(xiàn)各專有設(shè)備的安全規(guī)范符合度。l wlan專有設(shè)備安全增強(qiáng)項合規(guī)性檢查集團(tuán)總部下發(fā)的wlan設(shè)備安全規(guī)范指導(dǎo)了wlan安全檢查和防護(hù)工作的開展，但在

12、實際安全工作運(yùn)用中仍存在規(guī)范可操作性不強(qiáng)、安全建議不具體和無法應(yīng)對利用業(yè)務(wù)層面未知安全漏洞攻擊等不足之處。wlan安全合規(guī)性檢查工具在集團(tuán)總部下發(fā)規(guī)范基礎(chǔ)之上進(jìn)行了細(xì)化解讀，從最大化有利于實際安全工作的角度出發(fā)在檢查項目、深度和解讀角度方面進(jìn)行了補(bǔ)充。l 配置項加固整改建議全面檢查專有設(shè)備安全規(guī)范配置不當(dāng)?shù)淖罱K目的是執(zhí)行切實整改，確保wlan系統(tǒng)及其中專有設(shè)備安全穩(wěn)定運(yùn)行。wlan安全合規(guī)性檢查工具在提出配置脆弱性的同時也會一并給出具體命令級的安全加固整改建議，幫助wlan系統(tǒng)相關(guān)人員盡快、獨立完成安全加固工作。3、wlan應(yīng)用安全漏洞檢測wlan應(yīng)用系統(tǒng)安全檢查主要從輸入驗證、身份驗證、授權(quán)

13、、配置管理、敏感數(shù)據(jù)保護(hù)、會話管理、加密、異常管理等角度分析應(yīng)用系統(tǒng)的安全功能設(shè)計以及存在的安全隱患。主要涉及以下方面： 輸入驗證應(yīng)用程序如果沒有設(shè)定輸入數(shù)據(jù)的類型、長度、格式或者范圍，輸入驗證就成為了一個安全問題。這種漏洞是最常見的web漏洞，這種漏洞是由于程序沒有對用戶輸入進(jìn)行必要的檢查和過濾，導(dǎo)致惡意攻擊者利用該漏洞可以進(jìn)行一些非授權(quán)的訪問或存取。如畸形注冊問題、泄漏系統(tǒng)文件文件、變量傳遞漏洞、執(zhí)行系統(tǒng)指令、文本分解符攻擊等，非常流行的跨站點腳本漏洞和sql injection漏洞都屬于這個范圍。 身份驗證這部分主要測試用戶或者進(jìn)程如何進(jìn)行身份認(rèn)證。首先應(yīng)該識別出應(yīng)用系統(tǒng)中所有涉及認(rèn)證和

14、鑒別的行為，然后對它們逐個進(jìn)行測試。檢測系統(tǒng)是否采用足夠強(qiáng)度的身份認(rèn)證手段，包括對失敗的登錄行為進(jìn)行記錄和限制。 授權(quán)根據(jù)用戶的身份和角色成員身份，對特殊的資源或者服務(wù)進(jìn)行授權(quán)，檢查是否存在越權(quán)、提高特權(quán)等問題。如果未授權(quán)用戶可以查看敏感數(shù)據(jù)，就會發(fā)生機(jī)密數(shù)據(jù)泄漏的問題。未經(jīng)授權(quán)就更改數(shù)據(jù)造成的影響會更大。 配置管理許多應(yīng)用程序支持配置管理界面和功能，以允許操作者和管理員更改配置參數(shù)，更新web站點的內(nèi)容，以及進(jìn)行日常的維護(hù)。未經(jīng)授權(quán)訪問管理界面、未經(jīng)授權(quán)訪問配置存儲區(qū)等都會對系統(tǒng)造成嚴(yán)重影響。 敏感數(shù)據(jù)本部分主要檢查數(shù)據(jù)在存貯、傳輸過程中的安全性，主要是讀寫權(quán)限、加密算法的問題。 會話管理w

15、eb應(yīng)用程序的會話管理是應(yīng)用程序?qū)拥囊豁椔氊?zé)。會話的安全性對于應(yīng)用程序的整體安全性非常重要。 加密技術(shù)檢查應(yīng)用程序?qū)γ舾袛?shù)據(jù)的加密技術(shù)，確保它的私密性并不被更改。如果加密技術(shù)被破解或者很容易被強(qiáng)力破解，加密算法就不具有安全性。如果沒有經(jīng)過測試，自定義的算法特別容易受到攻擊。 異常管理檢查應(yīng)用軟件對異常信息的處理，異常管理可以泄漏內(nèi)部實現(xiàn)的詳細(xì)資料，它對最終用戶沒有意義，但對攻擊者卻非常有用。 審核和日志記錄使用審核和日志記錄來幫助發(fā)現(xiàn)可疑的活動，例如足跡或者真正攻擊之前的可能破解密碼企圖。檢查是否通過審核來有效防范用戶否認(rèn)執(zhí)行過某項操作。是否通過系統(tǒng)和應(yīng)用程序級審核，以確保未漏掉可疑的活動。4

16、、通用網(wǎng)元設(shè)備合規(guī)性檢測經(jīng)驗數(shù)據(jù)表明新業(yè)務(wù)系統(tǒng)發(fā)生的安全事件中80%以上仍由傳統(tǒng)it安全問題導(dǎo)致，所以說在重視業(yè)務(wù)安全漏洞、配置問題的同時也不能忽視通用網(wǎng)元設(shè)備的安全配置合規(guī)性管理。wlan安全合規(guī)性檢查工具依據(jù)集團(tuán)總部下發(fā)的安全配置規(guī)范包含對常見操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全合規(guī)性檢查功能。5、資產(chǎn)管理中國移動各省公司建設(shè)的wlan業(yè)務(wù)系統(tǒng)普遍的特點是覆蓋廣、規(guī)模大，系統(tǒng)中包含大量的ac、ap等設(shè)備。該檢查系統(tǒng)為提高工作效率向使用者提供了逐一添加待檢查目標(biāo)設(shè)備資產(chǎn)和批量統(tǒng)一導(dǎo)入資產(chǎn)列表的兩種不同方式，批量導(dǎo)入方式使用者按照檢查系統(tǒng)規(guī)定格式調(diào)整既有資產(chǎn)清單即可快速導(dǎo)入待檢查

17、目標(biāo)。6、任務(wù)管理針對wlan系統(tǒng)的安全合規(guī)性檢查不是一次性工作，長期、高頻度執(zhí)行安全檢查工作才能保證wlan系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。該安全檢查系統(tǒng)提供即時執(zhí)行式、預(yù)約執(zhí)行式和定期重復(fù)執(zhí)行式的不同檢查任務(wù)管理功能。三 重要安全檢查成果及整改建議（一）ac配置非法獲取漏洞（1）漏洞發(fā)現(xiàn)及上報通過應(yīng)用本工具，首先發(fā)現(xiàn)了傲天動聯(lián)及oem傲天的ac設(shè)備，由于通過網(wǎng)頁方式對配置文件進(jìn)行導(dǎo)出時存在業(yè)務(wù)漏洞，攻擊者可以通過構(gòu)造特殊的鏈接地址，使得任意用戶不通過驗證即可下載無線控制器的配置文件。進(jìn)而破解包含在配置文件中的管理員密碼，進(jìn)而獲得對ac的完全控制權(quán)。示意圖如下：存在漏洞的ac設(shè)備wlan用戶互聯(lián)網(wǎng)ap熱

18、點交換機(jī)ap非法獲取的ac配置文件3月30日發(fā)現(xiàn)此漏洞后，網(wǎng)絡(luò)部當(dāng)日立即通過關(guān)于天津公司上報傲天動聯(lián)、京信wlan ac安全漏洞的報告（津移網(wǎng)絡(luò)發(fā)2011114號）文件將漏洞情況緊急上報總部網(wǎng)絡(luò)部。集團(tuán)公司對此漏洞極為重視，于4月2日通過”jt-001-110402-00013”工單發(fā)布“關(guān)于緊急防范傲天及其oem產(chǎn)品wlan ac安全漏洞威脅的緊急預(yù)警信息公告”，要求全網(wǎng)進(jìn)行緊急規(guī)避處理。針對此漏洞，工信部國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(cncert)將“傲天動聯(lián)無線控制器繞過驗證下載配置文件漏洞”進(jìn)行編號，為cnvd-2011-04873。（2）漏洞危害攻擊者利用ac的控制權(quán)限,通過篡

19、改portal頁面地址，可以隨意向訪問用戶推送釣魚頁面,或者政治敏感頁面，帶來極壞影響。此外，攻擊者獲得ac控制權(quán)后，還可以利用此漏洞，實現(xiàn)以下攻擊行為： 經(jīng)濟(jì)方面：取消用戶認(rèn)證界面和radius認(rèn)證流程,使得大批量用戶可以免費使用wlan業(yè)務(wù)，從而給我公司帶來大量業(yè)務(wù)損失。 網(wǎng)絡(luò)方面：控制ap,可以將cmcc的wlan網(wǎng)絡(luò)資源轉(zhuǎn)換為自己的資源；可以修改ssid和ap信息,接管整個wlan網(wǎng)絡(luò)系統(tǒng)；可以隨意停用ap,造成wlan系統(tǒng)不可用；利用無線控制器的控制權(quán)限,可以使用無線控制器作為跳板,攻擊認(rèn)證服務(wù)器,造成核心數(shù)據(jù)的丟失或者損壞。 法律方面：用戶免認(rèn)證登錄后，相關(guān)言論不可控，無法回溯 政

20、治方面：利用ac漏洞推送反動頁面，傳播反動言論 客戶方面：利用無線控制器的控制權(quán)限,可以接管無線控制器下通過驗證的用戶，盜取用戶信息（3）漏洞影響范圍據(jù)了解，國內(nèi)存在多個oem傲天動聯(lián)設(shè)備的廠商，包括網(wǎng)件、新郵通、聯(lián)信永益、明華澳漢、大唐電信、京信、虹信等，該漏洞不僅影響傲天動聯(lián)ac，同樣影響oem廠商設(shè)備。大范圍設(shè)備廠商存在嚴(yán)重漏洞，將對全國無線城市的建設(shè)帶來安全威脅。截至2010年底，中國移動“傲天系”wlan ac設(shè)備（包括傲天動聯(lián)、）總量約占全網(wǎng)的21%；天津移動wlan三期工程建設(shè)完成后，傲天設(shè)備將占天津全網(wǎng)的22%，京信設(shè)備將占34%。（4）解決措施建議 天津公司已通過修改ac配置

21、文件，限定遠(yuǎn)程訪問web管理端口的ip地址，防止來自公網(wǎng)的攻擊行為。 此外，傲天動聯(lián)ac設(shè)備，已緊急加載修復(fù)補(bǔ)??；京信設(shè)備尚未提供安全補(bǔ)丁解決方案，在未解決前，建議暫緩入網(wǎng)。 對于全網(wǎng)wlan設(shè)備建設(shè)選項，建議盡可能選擇原廠產(chǎn)品，減少oem廠商份額。 建議通過國家層面對wlan設(shè)備廠商進(jìn)行規(guī)范。（二）繞行免認(rèn)證登錄漏洞（1）漏洞發(fā)現(xiàn)原理方式一：攻擊者利用wlan業(yè)務(wù)邏輯規(guī)定的“用戶在未認(rèn)證情況下必須允許進(jìn)行網(wǎng)址解析”漏洞，如ac未對用戶終端發(fā)起的域名解析請求作目的地址限制，用戶終端可以利用此漏洞，通過與互聯(lián)網(wǎng)上的遠(yuǎn)程代理服務(wù)器建立連接，進(jìn)而繞過身份認(rèn)證及計費環(huán)節(jié)，實現(xiàn)免費使用wlan業(yè)務(wù)。方式

22、二：通過wlan ac進(jìn)行配置，只允許ac訪問本地dns，可有效防止第一種方式繞行登錄行為，但目前又出現(xiàn)另一種繞行方式，攻擊者同樣利用上述wlan業(yè)務(wù)邏輯漏洞，通過與ac相連的本地dns服務(wù)器進(jìn)行轉(zhuǎn)接，最終與互聯(lián)網(wǎng)上的遠(yuǎn)程代理服務(wù)器建立連接，從而實現(xiàn)免認(rèn)證登錄。（2）漏洞危害 經(jīng)濟(jì)方面，該漏洞軟件被公布在互聯(lián)網(wǎng)上供用戶下載，如被大規(guī)模利用，將會造成網(wǎng)絡(luò)資源被免費大量利用，造成高額損失。 網(wǎng)絡(luò)方面，由于此漏洞利用dns作為數(shù)據(jù)轉(zhuǎn)接設(shè)備，而正常情況下dns僅作為域名解析使用，如大規(guī)模轉(zhuǎn)發(fā)數(shù)據(jù)流量，必將對其負(fù)荷帶來嚴(yán)重影響，并最終可能對該dns下掛的全部互聯(lián)網(wǎng)業(yè)務(wù)造成阻斷影響。 法律方面，此外，由于

23、該類訪問未經(jīng)過認(rèn)證流程，如用戶發(fā)送非法言論，散播不良信息，我公司亦無法正?；厮莸骄唧w人員，帶來法律層面風(fēng)險。（3）漏洞影響范圍由于這種方式利用了用戶在未認(rèn)證情況下可進(jìn)行dns查詢的業(yè)務(wù)邏輯漏洞，因此很可能全網(wǎng)設(shè)備都將面臨該威脅。（4）解決措施建議 針對第一種方式，通過對wlan ac設(shè)備的配置，禁止面向互聯(lián)網(wǎng)開放dns解析端口，僅面向本省dns地址開放解析服務(wù)，防止用戶與遠(yuǎn)程服務(wù)器直接建立隧道連接，可以有效防止該類繞行行為。 針對第二種方式，由于wlan業(yè)務(wù)邏輯規(guī)定ac必須在用戶未認(rèn)證情況下允許其訪問本地dns，因此通過ac配置無法實現(xiàn)封堵。本地dns可通過限制非法的查詢地址、限制非法查詢類型

24、，對免認(rèn)證繞行登錄的數(shù)據(jù)包進(jìn)行過濾，使非法用戶無法完成網(wǎng)絡(luò)訪問。由于解決此類問題相對復(fù)雜，目前天津公司wlan專業(yè)和dns專業(yè)正在共同研究適合現(xiàn)網(wǎng)的解決方案，實施成功后將向總部提出全網(wǎng)改造建議。（三）wlan網(wǎng)絡(luò)漏洞分布依據(jù)wlan網(wǎng)絡(luò)結(jié)構(gòu)，出現(xiàn)在ap側(cè)、ac側(cè)、網(wǎng)絡(luò)設(shè)備側(cè)、aaa（包括portal和radius設(shè)備）側(cè)易出現(xiàn)的問題共分為四大類： 網(wǎng)絡(luò)不可用 業(yè)務(wù)被濫用、盜用上網(wǎng) 侵害用戶利益 系統(tǒng)及設(shè)備被攻擊風(fēng)險目前已發(fā)現(xiàn)的wlan系統(tǒng)安全漏洞如下表，這些問題將對我公司無線城市建設(shè)帶來極大安全隱患：威脅類型威脅內(nèi)容針對漏洞的攻擊方式漏洞重要性網(wǎng)絡(luò)不可用惡意拒絕服務(wù)攻擊網(wǎng)絡(luò)標(biāo)識(ssid)干擾、地址池耗盡、指定用戶下線嚴(yán)重?zé)o意識攻擊對核心網(wǎng)攻擊、散播病毒一般ac下ap被強(qiáng)制下線ac被攻破，實施惡意操作嚴(yán)重業(yè)務(wù)被濫用、盜用上網(wǎng)免認(rèn)證繞行登錄漏洞用戶免費上網(wǎng)嚴(yán)重盜用驗證用戶ip上網(wǎng)竊取用戶信息一般重置用戶密碼漏洞竊取用戶信息重要侵害用戶利益無線釣魚敏感信息竊聽一般無線網(wǎng)絡(luò)監(jiān)聽無線網(wǎng)絡(luò)監(jiān)聽、嗅探一般無線破解攻擊破解用戶登錄密碼、網(wǎng)絡(luò)密碼一般系統(tǒng)及設(shè)備被攻擊風(fēng)險對ac弱點攻擊竊取ac口令，實施惡意操作嚴(yán)重對登錄頁面服務(wù)器攻擊利用頁面漏洞注入或上傳木馬，竊取信息，修改頁面內(nèi)容嚴(yán)重wlan網(wǎng)絡(luò)目前存在大量網(wǎng)絡(luò)、應(yīng)用漏洞，且面向互聯(lián)網(wǎng)開放，易被互聯(lián)網(wǎng)黑客所利用。wlan網(wǎng)絡(luò)的重要性與當(dāng)前安