WLAN安全風險及組網介紹

WLAN安全風險與組網介紹WLAN安全風險1WLAN設備組網要求2目錄3241wlan認證計費系統(tǒng)明文傳送用戶賬號信息維護人員投訴處理獲得用戶賬號信息WLAN安全風險用戶密碼生成機制不嚴謹偽AP/Portal釣魚獲得用戶賬號信息維護人員投訴處理獲得用戶賬號信息維護人員在處理用戶投訴時，通過Radius系統(tǒng)工具可以得到用戶賬號密碼等信息。防范方法：對Radius數(shù)據(jù)庫本地存儲的賬號、密碼保管，采用金庫模式進行維護，加密保存；嚴禁所有人員未經合理授權增加、刪除、修改、查看WLAN系統(tǒng)設備中保存的客戶賬號、密碼，以及涉及客戶上網話單等信息。1.盜用賬號、密碼wlan認證計費系統(tǒng)明文傳送用戶賬號信息Wlan的Radius系統(tǒng)存儲大量WLAN用戶賬號、密碼信息，在與其他賬號生成系統(tǒng)傳遞用戶賬號信息時，存在明文情況。數(shù)據(jù)包如果遭遇竊聽，將導致用戶賬號信息泄露。防范方法：對Radius數(shù)據(jù)庫本地存儲的賬號、密碼保管，采用金庫模式進行維護，加密保存。偽AP/Portal釣魚獲得用戶賬號信息不法分子能夠通過自行架設AP，利用偽造SSID為CMCC的WLANAP和Portal頁面進行釣魚，盜取用戶賬號密碼。防范方法：開啟WLAN系統(tǒng)的非法AP檢測和定位功能，及時發(fā)現(xiàn)偽AP。1.盜用賬號、密碼用戶密碼生成機制不嚴謹WLAN用戶密碼生成機制不嚴謹，生成、下發(fā)弱密碼，如WLAN用戶每次重置密碼，返回相同密碼，且存在弱密碼“111111”，若被不法分子惡意按號段進行密碼嘗試，可盜取大量用戶賬戶密碼。防范方法：增強WLAN用戶密碼生成機制的安全性，避免WLAN系統(tǒng)重置密碼是默認弱口令。3241利用設備地址無認證訪問互聯(lián)網利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網WLAN安全風險利用設備地址無認證（無計費）訪問互聯(lián)網

原因分析 WLAN用戶和Wlan網絡設備在無線側是通過共同的網絡設備向上訪問，兩個地址段屬于不同的Vlan，但互相之間無法做隔離

因此，非法用戶在獲得AP、AC、交換機等WLAN系統(tǒng)設備地址后，可將自己的終端設置為相同地址段IP，則可能實現(xiàn)免費上網解決手段：

限制設備地址段訪問互聯(lián)網，從而抑制黑客使用設備地址進行非法攻擊的可能

設置無需訪問公網的設備（如AP、交換機等）地址為私網地址。2.網絡濫用利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網原因分析 WLAN用戶在未通過網絡認證時也需要進行DNS解析，因此目前AC會無條件放行所有來自用戶的DNS解析請求（即目標端口為UDP53的數(shù)據(jù)包）

未經過認證的用戶應用Socket代理、openvpn之類的vpn軟件或者端口重定向工具，模擬DNS數(shù)據(jù)流，將訪問流量定向到互聯(lián)網特定服務器的UDP53端口進行轉發(fā)，從而實現(xiàn)免費訪問互聯(lián)網2.網絡濫用Page9登陸過程介紹用戶連接CMCC的無線接入點終端分配到IP地址,進入WLAN的認證前域.此時認證前域配置了訪問控制策略,用戶只能訪問AC,DNS和Portal等地址用戶隨意在瀏覽器中輸入一個URL，由DNS解析到網站實際IP地址。WLANAC將用戶對該網站的請求修改為對Portal服務器的訪問請求，要求用戶強制認證。用戶在Portal上通過認證,由AC配置進入認證后域.圖中標示紅色字體的部分為導致漏洞發(fā)生的關鍵步驟.存在問題開放DNS服務。造成了潛在的漏洞。由于用戶的終端存在DNS的緩存，不能通過修改DNS回應的方式強制用戶訪問Portal,因此在WLAN用戶的認證前域中必須允許用戶向DNS服務器發(fā)起正常的請求并接受回應報文。2.網絡濫用利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網-210配置條件如果認證前域的配置相對寬松,開放了所有的DNS服務,而并沒有明確DNS服務器的地址,那么用戶理論上可以連接到任何互聯(lián)網地址的53端口.漏洞利用方法用戶終端可以通過VPN軟件客戶端,將正常的上網流量封裝在DNS協(xié)議報文中,發(fā)送到互聯(lián)網上用戶指定的VPN服務器.逃過AC的訪問控制策略檢查.VPN服務器端作為代理,再將HTTP,FTP,SMTP等應用訪問的回應報文發(fā)送回來.漏洞利用工具

OpenVPN是一種免費開源的VPN軟件，并且提供服務器和使用帳號，可以用于突破WLAN的認證封鎖。此種方式在電信和移動網內都有被利用的紀錄.可以不通過運營商DNS服務器,對DNS系統(tǒng)沒有影響.

2.網絡濫用利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網-311配置條件如果認證前域的配置嚴格,只明確開放DNS服務器的地址和服務,那么用戶只能連接到運營商的DNS服務器.漏洞利用方法用戶終端可以通過將正常的上網流量封裝在DNS請求協(xié)議報文中,有DNS服務器轉發(fā)到特定的服務器.同樣可以逃過AC的訪問控制策略檢查.特定服務器端作為代理,再將HTTP,FTP,SMTP等應用訪問的回應報文封裝在DNS回應報文中發(fā)送回終端.漏洞利用工具LOOPC是一種定制的軟件，提供服務器和使用帳號（收費），專門用于突破WLAN的認證封鎖。在移動和電信網內都有專門的服務器。在淘寶上還有網店出售帳號和點卡。

2.網絡濫用利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網-412安全漏洞分析Web方式的Portal推送是造成此漏洞的根本原因解決方案不采用web推送方式，改用PPPOE的客戶端認證（類似電信的天翼客戶端方式）。配置AC的DNS白名單或ACL，用戶在認證前只允許訪問特定DNS服務器在DNS上封堵類似LOOPC的網站，加入黑名單通過在WLAN的DNS上的7層協(xié)議分析，尋找此類流量的特征，在網絡上進行封堵。2.網絡濫用利用AC的DNS漏洞跳過Portal無認證訪問互聯(lián)網-53241WLAN設備暴露公網，易被攻擊控制管理AC時未采用加密協(xié)議登錄設備自身脆弱性和漏洞WLAN安全風險WLAN設備暴露公網，易被攻擊控制：無線用戶地址可訪問設備地址風險WLAN用戶和Wlan網絡設備在網絡側經過同樣的物理設備，未做有效隔離，因此無線側設備可訪問設備地址，發(fā)起攻擊。防范方法：1、限制用戶地址段訪問設備地址段，斷絕用戶地址與設備地址路由。2、在設備自身上限制用戶網段與設備管理口互訪。3.設備被利用WLAN設備暴露公網，易被攻擊控制：互聯(lián)網可以訪問AC地址風險由于承載網業(yè)務需求，AC設備需配置為公網設備地址，因此如不做安全防護，則互聯(lián)網可直接訪問AC，AC受攻擊可能性很大。防范方法：限制有限地址對AC的訪問，禁止對互聯(lián)網開放訪問規(guī)則管理AC時未采用加密協(xié)議登錄部分AC設備不支持SSH、HTTPS等加密形式登陸，使得維護過程中賬號、口令在互聯(lián)網傳輸存在被竊聽可能防范方法：1、升級登陸接口變?yōu)榭杉用艿膮f(xié)議進行登陸認證，如SSH、HTTPS等2、限制有限地址源作為有效訪問源，拒絕非授權IP訪問WLAN設備3.設備被利用設備自身脆弱性及漏洞-1WLAN設備如AC、Radius等多基于Unix/Linux等通用操作系統(tǒng)。如果設備自身存在安全漏洞，且互聯(lián)網可達，則易被攻擊并成為肉雞案例介紹：2010年中國移動某省公司的AC地址被國際發(fā)垃圾郵件組織加入SBL列表，經排查，屬于AC被攻擊后被植入惡意進程，并啟用本地880端口為外部提供代理服務。防范方法：1、提升AC等網絡設備自身安全性，消除安全漏洞，提升密碼安全、復雜度2、限制有限地址源作為有效訪問源，拒絕非授權IP訪問WLAN設備3.設備被利用設備自身脆弱性及漏洞-2某些AC設備應用層存在漏洞，如未對Cookies或者Session做判斷,可能造成任意用戶在不通過驗證的情況下下載設備配置文件，進而破解管理員密碼，獲得AC的控制權防范方法：1、提升AC等網絡設備自身安全性，消除安全漏洞，提升密碼安全、復雜度2、限制有限地址源作為有效訪問源，拒絕非授權IP訪問AC3.設備被利用3142WlanPortal易被攻擊、篡改AC易遭受針對WEB服務的DoS攻擊AC易遭受DHCP泛洪DoS攻擊WLAN網絡易遭受ARP泛濫攻擊WLAN安全風險問題描述WLAN的WebPortal由于在公網上能夠訪問，存在網頁篡改、拒絕服務攻擊等網站安全威脅。網頁篡改信息竊取拒絕服務非法入侵攻擊者網站防篡改DDOS防護應對措施：鑒于WebPortal對全國WLAN用戶登錄的重要性，要求在WebPortal前部署防火墻、防DDOS、網頁防篡改等安全防護系統(tǒng)，確保高安全強度WLANPortalWLANPortal易被攻擊、篡改4.網絡不可用AC易成為DoS攻擊對象風險分析由于AC是用戶訪問互聯(lián)網的控制節(jié)點，因此AC將成為吸引黑客的重要對象。AC面臨的DoS攻擊威脅主要有兩類：基于DHCP的DoS攻擊針對WEB服務的DoS攻擊安全管理中心熱點AACFITAPCmnet熱點BFITAPOLT/匯聚交換機ONU分光器件接入交換機4.網絡不可用AC遭受針對WEB服務的DoS攻擊應對措施：在AC上配置ACL等手段，限制有限地址作為訪問源，拒絕非授權IP訪問AC4.網絡不可用問題描述AC多采用WEB方式管理，自身運行httpd等web服務，可能遭受針對WEB服務的DoS攻擊，造成設備負荷過高攻擊者拒絕服務WLANACAC遭受基于DHCP的DoS攻擊問題描述在正常用戶發(fā)送DHCP廣播請求后，攻擊者冒充DHCP服務器，響應用戶并分配偽IP地址給用戶應對措施：AC配置DHCP信任端口，只信任網絡側接口發(fā)來的DHCP響應報文，開啟DHCPSnooping開啟AC的用戶隔離功能4.網絡不可用AC遭受基于DHCP的DoS攻擊-2應對措施：AC配置開啟DHCPSnooping功能合法終端因為IP地址耗盡所以已經正常接入AC給所有實現(xiàn)無線關聯(lián)的終端分配IP地址非法終端不但浪費了無線鏈路資源，而且輕易獲得了IP地址AC上的IP地址池中地址很快被非法終端耗盡，導致AC無法接入新用戶4.網絡不可用4.網絡不可用問題描述攻擊者發(fā)起洪泛ARP廣播請求，致使AC向各AP轉發(fā)大量數(shù)據(jù)，造成網絡擁塞。應對措施：AC嚴格劃分VLAN，將AP劃分到不同VLAN中，并嚴禁VLAN間互通開啟AC用戶隔離功能和交換機端口隔離功能禁止AP向與其關聯(lián)的所有終端廣播ARP報文ARP泛濫攻擊WLAN安全風險1WLAN設備組網要求2目錄12WLAN設備組網要求WLAN組網-胖/瘦AP架構WLAN組網安全要求802.11b/g胖架構AC瘦架構ACRadius瘦AP胖AP核心網InternetAC包括“用戶接入控制功能”和“無線控制功能”。瘦AP組網方式AC僅包括“用戶接入控制功能”，不含“無線控制功能”。AP實現(xiàn)加密、QoS、切換、移動IP等功能胖AP組網方式Portal射頻資源管理負載均衡AP設備管理AP切換控制安全功能QoS認證功能接入控制計費功能強制Portal認證功能接入控制計費功能強制Portal功能VLAN功能帶寬控制功能天線802.11a/g加密802.1XQoS二層漫游網管1.WLAN組網-胖/瘦AP架構802.11a/b/g天線加密網管、三層漫游,安全802.1x認證,802.11eQOSAP點監(jiān)測用戶防火墻網絡自愈RF管理無線欺騙防護802.11a/b/g網管、二層漫游,安全802.1x認證,802.11eQOS天線加密胖AP瘦AP更易管理的無線解決方案1.WLAN組網-胖/瘦AP架構胖/瘦AP的功能優(yōu)點缺點場點型(AC位于匯聚交換機下)網絡結構簡單，不需改動現(xiàn)網結構；AP可配置私網地址；對BRAS不會造成壓力AC所管理瘦AP的物理區(qū)域有限；個性化場點數(shù)量有限；AC設備數(shù)量多AC旁掛BRAS(路由模式，DNS方式)一臺AC可管理一臺BRAS下聯(lián)任何位置的瘦AP；個性化場點只受AC的VLAN數(shù)限制；對現(xiàn)網改造較少要求AC的接入能力強;需要現(xiàn)網DNS配置AC的域名和地址；在AP上需根據(jù)規(guī)劃可更改AC域名；用戶流量需二次穿越BRAS；若AP配私網地址對BRAS的配置有要求AC位于城域網（DNS方式）一臺AC可管理不同BRAS下同一廠家的瘦AP，布署靈活；AC數(shù)量少AC性能要求高；用戶業(yè)務流量二次穿越城域網；對AC就近接入的BRAS會產生較大的壓力；與現(xiàn)網的網絡層次結構不一致1.WLAN組網-胖/瘦AP架構瘦AP+AC三種組網方案比較胖AP架構瘦AP架構技術模式傳統(tǒng)方案每個AP都是一個單獨的節(jié)點，獨立配置其信道和功率；安裝簡便演進方向，增強了管理能力通過AC對AP群組進行自動信道分配和選擇，及自動調整發(fā)射功率，降低AP之間的互干擾，提高網絡動態(tài)覆蓋特性安全性傳統(tǒng)加密認證方式，普通安全性增加了射頻環(huán)境監(jiān)控，基于用戶位置的安全策略，易實現(xiàn)非法AP檢測和處理，提高了安全性功能分配AP自身功能強大，主要功能都在AP內實現(xiàn)，AP成本較高自身功能弱，主要功能集中在AC上實現(xiàn)，AP成本較低安全配置管理每個AP都需要獨立配置安全策略，如果AP數(shù)量增加，將會給網絡管理、維護及審計帶來較大困難AC統(tǒng)一配置并下發(fā)，維護相對簡單WLAN組網規(guī)模L2漫游，適合小規(guī)模組網L2\L3漫游，拓撲無關性，適合大規(guī)模組網網管很難進行無線網絡質量的優(yōu)化數(shù)據(jù)的采集管理節(jié)點上移后，運維數(shù)據(jù)采集針對AC而非AP，解決了網管系統(tǒng)受限于AP處理能力和性能的問題業(yè)務部署部署需要改變現(xiàn)有網絡，開展新業(yè)務時，需要每個AP都進行重新配置，新增AP時，對每個AP的I