由中国通信企业协会通信网络安全专业委员会主办、北京安氏领信科技发展有限公司承办的2011年“通信网络安全防护技术及标准”系列沙龙活动运营商WLAN安全建设技术沙龙，于2011年11月11日，在北京唯实国际文化交流中心成功举办。本期主题聚焦于运营商WLAN安全建设现状和经验分享这一热点，着力探讨面临WLAN业务快速发展，运营商如何保障WLAN建设的安全性问题。

作为本次沙龙唯一企业方主办单位，安氏领信技术副总裁李宗洋为大会致辞，他介绍了安氏领信多年来在WLAN建设与安全研究实践方面的历程：从2008年奥运会开始承建WLAN系统建设以来，安氏领信五年来一直坚持WLAN安全的探索，狠抓两条线：一条是建设线，另一条是安全线。经过大量的WLAN安全服务项目的经验积累，安氏领信总结出了专门面向运营商的WLAN安全解决方案，用以全力支持三大运营商的WLAN安全建设工作。

安氏领信在WLAN安全领域的领先性有目共睹，作为本次专栏的最终篇，也是重中之重，希望详实的内容对大家能有实质性的帮助。

WLAN概述

国家十二五规划提出要建设宽带无线城市、各电信运营商全国范围内WLAN无线城市建设也在如火如荼的进行当中，WLAN网络建设的主要目的为：分流2/3G网络的数据流量，扩大网络覆盖，支持业务发展，并作为家庭宽带接入的重要手段。随着WLAN网络建设工作的逐步开展，通过WLAN业务进行无线网络分流，扩大业务覆盖范围以及灵活的组网和资费，开始为电信运营商带来稳定的业务收入。但与此同时，越来越多的安全威胁被引入到全IP化的WLAN网络中来。

WLAN网络逻辑系统结构如下：

安氏领信对WLAN安全风险分析

WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发WLAN系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度，安氏领信对WLAN面临的安全风险进行了分类如下：

1、业务滥用，流量盗用风险：

在大量的WLAN系统中，都存在绕过验证portal认证机制免费使用WLAN流量上网的问题。

同时部分用户的上网认证密码非常简单，也可能导致盗用上网的风险存在。在实际的网络当中，还存在重置密码过于简单的问题导致盗用上网的风险存在。

通过欺骗及非授权攻击，前一用户离开后，后一用户采用修改MAC及IP地址的方法继续访问网络。并伪造DHCP续租盗用上网。

基于session hijacking的盗取服务攻击。

2、网络服务不可用风险：

WLAN系统是指应用无线通信技术为用户提供极速而稳定的无线连接，保障网络的可用性至关重要。在实际的系统当中可能存在以下问题都会致使网络不可用，这里主要包括恶意的或非恶意的拒绝服务攻击。

恶意的拒绝服务攻击包括：

BeaconFlood无线SSID干扰攻击

Authentication DoSDHCP地址耗尽攻击

Deauthentication/Disassociation Amok 指定用户断线攻击。

无恶意的拒绝服务攻击主要指WLAN客户端被攻击者利用或者感染病毒后，对WLAN核心网发动的拒绝服务攻击等。

在AC运营过程中，可能会遭受网络环路，而产生大量的广播报文对AC形成威胁，这将直接导致AC所管理的AP全部掉线。

对于AC的攻击，由于我们的网络是无线的，任何人都可以很轻松的接入网络，一台AC通常管理1000—2000个AP，一旦AC被攻破，那么将直接导致所有AP全部掉线。因此对AC的攻击威胁较大。

3、用户信息被盗用风险:

由于在无线环境下中间人攻击、钓鱼攻击、sniffer会变得更为容易，对于AP及用户的攻击除会造成用户无法接入网络以外，用户的数据也得不到安全保证，特别是用户登录无线网络的认证信息。用户在使用无线网络的时候,存在以下安全威胁都可能导致用户的重要信息被获取，包括

无线钓鱼，获取敏感信息

无线网络监听、无线网络嗅探攻击

无线破解攻击：WEP的破解、WPA的破解

4、专有设备被利用风险:

AP、AC设备由于配置不严格，存在弱口令或者其他安全隐患都有可能导致设备被非法控制，从而出现断网的风险。

同时portal系统也可能存在sql 注入漏洞、web上传漏洞等常见的web漏洞致使系统被攻击的风险。

安氏领信WLAN安全防护体系框架

安氏领信基于相关的安全理论模型：总结了对WLAN建设工作的经验教训的理解；借鉴目前IT行业的系统分层结构；我们提出了安氏领信WLAN安全防护体系框架，用以指导WLAN建设工作。

1、对WLAN进行安全域划分，根据安全域划分原则和网络优化和边界整合策略，经过对业务数据流分析，对WLAN系统的进行安全域划分；

2、WLAN系统自身满足如下四个方面要求：帐号口令、日志审计、数据加密等安全功能要求；口令强度、应用中安全相关用户缺省配置等安全配置要求；避免缓冲区溢出、注入攻击等缺陷的软件代码安全要求；确保业务流程各环节（逻辑）安全的机制要求；

3、在安全域划分的基础上，结合WLAN网络的特定安全需求，有选择的部署WLAN应用防火墙、WLAN IDS、web防护等各类基础安全技术防护手段。为了满足集中运维的需要，各类基础安全技术防护手段应支持集中监控。同时，各类基础安全技术防护手段应具备完成信息安全管理功能所必须的接口；

4、WLAN网络管理应根据“集中监控、集中维护、集中管理”的原则，对异地多厂商环境下的WLAN网元和网络进行集中统一的监控管理与操作维护，对设备性能参数和业务流量进行在线统计和分析，以保证WLAN承载的无线数据业务的有效开展。

WLAN安全解决方案

安氏领信的WLAN安全解决方案在遵循IEEE802.11系列协议和国内相关标准的基础上，主要针对电信运营商典型组网结构，结合安氏领信WLAN安全防护体系框架，首先对WLAN网络进行安全域的划分，在安全域之间部署安全设备及安全应用策略，本方案主要包含的安全设备有防火墙、入侵检测设备、WLAN应用防护系统、Web应用安全防护、安全审计系统、WLAN安全运维平台等。同时本方案也包含了安全评估、安全运维等专业安全服务。通过安全设备、安全服务组成的全面的安全解决方案，确保WLAN网络的安全可靠，为无线城市的建设保驾护航。

1、安全域划分

根据安全域划分原则和网络优化和边界整合策略，经过对业务数据流分析，WLAN认证系统的安全域，可以划分以下安全域，按重要性从高至低分别为：

① 系统认证鉴权区域

认证鉴权区域主要包含radiu服务器,radius做为认证数据库,包含着大量WLAN用户认证信息,是WLAN系统网络的核心,所以安全级别为最高,要求是与外网逻辑上隔离开来,保证数据库的安全性。

② 业务系统接入控制区

认证鉴权区域主要包含Portal认证服务器和无线控制器,由于无线网络的开放性和透明性,接入的无线终端与此区域的设备保持相应的联通性,从安全的角度上来说,应当保证一定的访问控制策略。

③ 热点接入区

热点接入控制区主要包含热点交换机及无线接入点等设备。主要负责用户的接入,从安全的角度上来讲应当在热点接入控制区将无线终端隔离,降低无线侧的安全风险。

2、防火墙部署：

对于网络边界来说，主要是WLAN认证系统与CMNET之间的边界部署防火墙，用来保护portal应用边界。在数据库服务器区域与核心交换机之间的边界部署防火墙，用来保护数据库应用。

3、入侵检测设备部署：

入侵检测系统是对防火墙有益的补充，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护以大幅提高网络的安全性，在接入控制区域、认证权鉴区域必须部署入侵检测探头，统一管理。

4、Web应用安全防护部署：

根据WLAN认证系统的需要，在网络中部署针对WEB应用防护、以及抗DDoS攻击类设备，与网络整体规划手段相结合，形成立体的Web应用防护体系。

5、集中的安全审计系统：

安全审计系统用以对用户接入状态的记录，主要记录用户登录的时间，退出时间，在线的状态和登录的的IP地址。并且对安全事件现场进行取证，对WEB应用系统的日志进行审计，以及对用户的网络行为进行实时监测、报警、记录等。

6、WLAN安全运维平台：

部署集中的事件管理软件，大型的风险管理软件，建立从逻辑上，技术上，管理上实现全网的安全管理。

7、专业安全服务：

安全服务是应用安全建设过程中必不可少的环节之一，作为安全设备的重要补充，为系统的安全运行提供有效的支撑。

安氏领信的优势与特点

1、国内唯一一家既参与WLAN系统建设又参与WLAN安全项目的厂商；

2、发现中国首例WLAN专用设备的高危漏洞，入选CNVD漏洞库；

3、具备丰富的WLAN系统建设、WLAN安全建设项目成功案例；

4、来自实践的理论模型创新“LWAF模型－WLAN安全保障体系框架”；

5、具备按照运营商组网结构搭建的权威的WLAN安全研究实验室；

6、领先的WLAN安全专用检测工具；

7、完备的安全服务资质和荣誉证书。