WLAN認(rèn)證系統(tǒng)的安全性研究

曲勁光, 柳向前, 王新中

（中國移動(dòng)通信集團(tuán)寧夏有限公司，銀川 750011）

WLAN認(rèn)證系統(tǒng)的安全性研究

曲勁光, 柳向前, 王新中

（中國移動(dòng)通信集團(tuán)寧夏有限公司，銀川 750011）

本文簡要介紹了WLAN認(rèn)證系統(tǒng)的安全性研究，主要涉及安全組網(wǎng)、Web安全、設(shè)備自身安全、業(yè)務(wù)邏輯安全及日常審計(jì)及安全應(yīng)急響應(yīng)等。

WLAN；認(rèn)證；安全

1 背景

通過近3年的大規(guī)模建設(shè)，WLAN全國AP數(shù)量已超過500萬，開戶數(shù)和活躍用戶數(shù)大幅增加，不少省份WLAN分流手機(jī)流量超過30%，有效實(shí)現(xiàn)了分流熱點(diǎn)區(qū)域流量，增加用戶使用粘性。在WLAN業(yè)務(wù)發(fā)展過程中，一些安全問題也逐漸體現(xiàn)出來，尤其是WLAN Portal直接面向公網(wǎng)之后安全風(fēng)險(xiǎn)更加突出。

針對WLAN Portal的DDoS攻擊，會(huì)造成較短時(shí)間內(nèi)大量惡意訪問消耗該系統(tǒng)資源，導(dǎo)致系統(tǒng)無法處理正常用戶的業(yè)務(wù)請求，以用戶口令猜測為主要目的的認(rèn)證請求又存在用戶賬號(hào)被盜風(fēng)險(xiǎn)。面對以上網(wǎng)絡(luò)安全威脅，WLAN認(rèn)證系統(tǒng)的安全性。本文主要從設(shè)備安全、安全組網(wǎng)、Web安全和應(yīng)用安全等幾個(gè)方面闡述WLAN認(rèn)證系統(tǒng)涉及的安全問題及解決方案。

2 對策

2.1 安全組網(wǎng)

針對WLAN業(yè)務(wù)系統(tǒng)日益復(fù)雜、安全防護(hù)要求不斷提高的現(xiàn)狀，以及向云計(jì)算方式演進(jìn)的趨勢，按照等級(jí)保護(hù)和集中化要求，WLAN應(yīng)以省網(wǎng)為單位統(tǒng)一規(guī)劃系統(tǒng)組網(wǎng)，實(shí)施安全域劃分和邊界整合的基本原則。

WLAN業(yè)務(wù)系統(tǒng)安全域劃分和邊界整合，首先根據(jù)統(tǒng)一的安全域劃分原則，在各數(shù)據(jù)業(yè)務(wù)系統(tǒng)的內(nèi)部劃分核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)和核心交換區(qū)等4類安全子域。在此基礎(chǔ)上，依據(jù)域間互聯(lián)安全要求以及安全防護(hù)的需求，設(shè)置相應(yīng)的訪問控制策略和集中部署防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、異常流量檢測和過濾設(shè)備、網(wǎng)絡(luò)安全管控平臺(tái)等安全防護(hù)手段，節(jié)點(diǎn)內(nèi)的各數(shù)據(jù)業(yè)務(wù)系統(tǒng)共享上述技術(shù)手段。

根據(jù)組網(wǎng)基本架構(gòu)，WLAN業(yè)務(wù)系統(tǒng)可劃分4類主要的安全子域：核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)。

（1） 核心生產(chǎn)區(qū)：本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。

（2） 內(nèi)部互聯(lián)接口區(qū)：本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)。

（3） 互聯(lián)網(wǎng)接口區(qū)：本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。

圖1 數(shù)據(jù)業(yè)務(wù)系統(tǒng)組網(wǎng)的基本架構(gòu)示意圖

（4） 核心交換區(qū)：負(fù)責(zé)連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

2.2 WLAN認(rèn)證系統(tǒng)主要設(shè)備自身安全功能與配置要求

WLAN由多種設(shè)備構(gòu)成，其中AC、AP、Web Portal和RADIUS暴露在公網(wǎng)上，必然遭受各種類攻擊的困擾。除常見的互連網(wǎng)絡(luò)攻擊、無線網(wǎng)絡(luò)攻擊外，針對應(yīng)用賬號(hào)的暴力破解和盜用，將損害合法用戶的權(quán)益，并嚴(yán)重影響WLAN業(yè)務(wù)的正常運(yùn)行，造成經(jīng)濟(jì)損失和不良社會(huì)影響。

目前，WLAN Web方式認(rèn)證在WLAN平臺(tái)采用Portal預(yù)認(rèn)證策略，降低平臺(tái)對無效請求的處理負(fù)荷；而PEAP等認(rèn)證方式通過直接向RADIUS發(fā)起請求進(jìn)行認(rèn)證。因此對WLAN認(rèn)證平臺(tái)的防暴力破解解決方案需要在Portal和RADIUS設(shè)備協(xié)調(diào)實(shí)現(xiàn)，以下防護(hù)方案要求能夠同時(shí)滿足，共同提高WLAN系統(tǒng)對賬號(hào)暴力破解攻擊的防范能力。

目前，中國移動(dòng)WLAN用戶認(rèn)證支持4種方式，Web、客戶端、PEAP、EAP-SIM，前兩種本質(zhì)上都是Web方式，通過Portal進(jìn)行訪問，業(yè)務(wù)流程基本相同；PEAP方式直接訪問RADIUS設(shè)備，而SIM認(rèn)證方式訪問HLR/AuC。其中，Web方式上網(wǎng)流程如下。

基于Web認(rèn)證方式的用戶被AC強(qiáng)制指向Portal服務(wù)器，由后者推送認(rèn)證頁面并接收用戶輸入的認(rèn)證信息，并向AC提出認(rèn)證請求，AC指向RADIUS進(jìn)行認(rèn)證。RADIUS將認(rèn)證結(jié)果通知AC，AC通知Portal，Portal以門戶網(wǎng)站頁面推送的方式通知用戶，并提供更多的信息。

用戶上網(wǎng)結(jié)束后，可以使用Portal功能通知AC用戶下線；當(dāng)AC偵測到用戶下線或者主動(dòng)切斷用戶連接時(shí)，也能告知Portal服務(wù)器。

圖2 WLAN業(yè)務(wù)系統(tǒng)組網(wǎng)的基本架構(gòu)示意圖

2.2.1 Portal系統(tǒng)防護(hù)方案

重點(diǎn)針對Portal頁面的攻擊防護(hù)，針對以用戶口令猜測為主要目的的惡意認(rèn)證請求進(jìn)行安全防護(hù)，通過識(shí)別特定條件的認(rèn)證請求，強(qiáng)制對滿足條件的請求彈出驗(yàn)證碼，提高黑客暴力破解攻擊的技術(shù)難度，達(dá)到防止系統(tǒng)資源過度消耗，降低用戶賬號(hào)被盜風(fēng)險(xiǎn)的目的。

WLAN認(rèn)證系統(tǒng)需要通過認(rèn)證請求識(shí)別方案，以用戶來源IP地址（HTTP客戶端的IP地址）作為判斷標(biāo)識(shí)或以AC重定向的參數(shù)wlanuserip和wlanacname組合作為終端判斷標(biāo)識(shí)?；蛘咄ㄟ^圖形驗(yàn)證碼生成獲取驗(yàn)證提高認(rèn)證系統(tǒng)的安全性。

2.2.2 RADIUS系統(tǒng)防護(hù)方案

圖3 WLAN Web Portal認(rèn)證流程

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server），任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或者UNIX登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。

由于RADIUS系統(tǒng)是認(rèn)證計(jì)費(fèi)的核心設(shè)備，安全防護(hù)方案通過識(shí)別特定條件的認(rèn)證消息，強(qiáng)制丟棄滿足條件的認(rèn)證請求，從而達(dá)到防止系統(tǒng)資源過度消耗，降低用戶賬號(hào)被盜風(fēng)險(xiǎn)的目的。具體識(shí)別策略如下：以Calling-Station-Id，Called-Station-Id，F(xiàn)ramed-IP-Address，NAS-IP-Address作為判斷標(biāo)識(shí)，4種標(biāo)識(shí)可任意組合成多種判斷條件，且各條件可同時(shí)生效。

2.3 現(xiàn)網(wǎng)WLAN認(rèn)證平臺(tái)其它安全問題

2.3.1 將自服務(wù)Web服務(wù)器放置在DMZ區(qū)

對外提供服務(wù)的自服務(wù)Web服務(wù)器，應(yīng)放在DMZ區(qū)，通過防火墻與內(nèi)網(wǎng)進(jìn)行安全隔離。目前WLAN自服務(wù)頁面放置在內(nèi)網(wǎng)，若被攻擊，可直接導(dǎo)致主要服務(wù)器被控制，造成業(yè)務(wù)癱瘓、頁面篡改、盜號(hào)等問題。

2.3.2 將數(shù)據(jù)庫配置文件等相關(guān)信息加密保存

部分設(shè)備測試腳本中明文存放數(shù)據(jù)庫配置信息，數(shù)據(jù)庫密碼存在泄露的風(fēng)險(xiǎn)，進(jìn)而導(dǎo)致業(yè)務(wù)敏感數(shù)據(jù)泄露、篡改等。應(yīng)將數(shù)據(jù)庫配置文件等相關(guān)信息加密保存，刪除無關(guān)敏感信息。

2.3.3 避免頁面操作產(chǎn)生垃圾短信

購買WLAN時(shí)長功能頁面，可向指定用戶批量發(fā)送垃圾短信。應(yīng)確保所有具備下發(fā)短信驗(yàn)證碼功能的頁面配置有效時(shí)長、以及再次下發(fā)時(shí)間間隔功能，以防止被盜用戶下發(fā)垃圾短信。

2.3.4 修復(fù)Web安全漏洞

目前WLAN系統(tǒng)Web頁面未對用戶輸入的數(shù)據(jù)進(jìn)行有效過濾，存在跨站腳本漏洞，可導(dǎo)致頁面篡改，或客戶信息被盜用。應(yīng)對Web安全漏洞進(jìn)行修復(fù)。

2.3.5 避免系統(tǒng)日志中存儲(chǔ)用戶明文密碼等敏感信息

用戶在自服務(wù)頁面進(jìn)行密碼重置等操作后，或通過認(rèn)證后，密碼明文保存在后臺(tái)日志文件中。若被不法分子利用，易導(dǎo)致WLAN盜號(hào)和客戶投訴等問題。應(yīng)通過改造將頁面日志中的賬號(hào)、密碼信息采用密文存儲(chǔ)。

2.4 網(wǎng)絡(luò)和設(shè)備安全

WLAN認(rèn)證系統(tǒng)需要滿足《中國移動(dòng)WLAN設(shè)備通用安全功能和配置規(guī)范》要求，主要包括WLAN設(shè)備通用安全功能和配置要求，其中主要有賬號(hào)管理及認(rèn)證授權(quán)要求、賬號(hào)安全要求、口令安全要求、授權(quán)安全要求、日志安全要求、IP安全要求、4A管控安全要求、設(shè)備其它安全要求。

關(guān)于WLAN設(shè)備安全功能和配置要求，主要有AC安全要求、AP安全要求、熱點(diǎn)交換機(jī)安全配置要求、PORTAL系統(tǒng)安全功能要求、RADIUS服務(wù)器安全功能要求、OMC安全功能要求等。

WLAN認(rèn)證系統(tǒng)需要梳理認(rèn)證系統(tǒng)防火墻策略，認(rèn)證平臺(tái)訪問外部系統(tǒng)，其它外部系統(tǒng)、WLAN用戶訪問認(rèn)證平臺(tái)都要嚴(yán)格配置訪問控制策略，刪除源、目的地址同時(shí)為any的any to any策略，源端口、目的端口沒有限制的策略，內(nèi)網(wǎng)地址無任何限制地直接訪問公網(wǎng)的x.x.x.x to any策略，以及其它沒有合法業(yè)務(wù)需求與之對應(yīng)的策略。同時(shí)對WLAN認(rèn)證系統(tǒng)進(jìn)行問題排查和加固，提高WLAN認(rèn)證系統(tǒng)設(shè)備自身的安全性，防止設(shè)備被非法訪問，越權(quán)訪問用戶賬號(hào)、密碼等敏感信息。

2.5 日常審計(jì)

針對WLAN認(rèn)證系統(tǒng)核心設(shè)備維護(hù)，包括省公司人員和廠家技術(shù)支持人員，要完全通過管控平臺(tái)，從系統(tǒng)側(cè)限制繞行訪問，并加強(qiáng)繞行審計(jì)。同時(shí)，按照金庫管理模式對數(shù)據(jù)庫數(shù)據(jù)增刪改查嚴(yán)格管理。

必須由我方人員掌握RADIUS系統(tǒng)尤其是數(shù)據(jù)庫管理權(quán)限，嚴(yán)格限制廠家人員訪問數(shù)據(jù)庫，避免第三方利用可能掌握的數(shù)據(jù)庫加密密鑰和實(shí)際數(shù)據(jù)獲取、修改用戶密碼或者直接增加用戶認(rèn)證數(shù)據(jù)。

根據(jù)日常業(yè)務(wù)系統(tǒng)及SOX法案相關(guān)要求，任何與財(cái)務(wù)報(bào)表相關(guān)的操作均應(yīng)留下記錄，同時(shí)定期進(jìn)行審核，其中包含的內(nèi)容主要有以下幾方面。

（1）主機(jī)操作的審計(jì)，包括系統(tǒng)賬號(hào)和應(yīng)用預(yù)設(shè)賬號(hào)的日志審計(jì)，指的是終端用戶通過系統(tǒng)賬號(hào)或應(yīng)用預(yù)設(shè)賬號(hào)、個(gè)人賬號(hào)登錄主機(jī)，對系統(tǒng)配置文件、文件系統(tǒng)、目錄、文件等進(jìn)行了某種操作（增加、刪除、修改等），審計(jì)主要針對上述行為，檢查其合法性，是否為合法操作。

（2）數(shù)據(jù)庫操作的審計(jì)，包括系統(tǒng)賬號(hào)和應(yīng)用預(yù)設(shè)賬號(hào)的日志審計(jì)，指的是終端用戶通過系統(tǒng)賬號(hào)或應(yīng)用預(yù)設(shè)賬號(hào)、個(gè)人賬號(hào)登錄數(shù)據(jù)庫，對系統(tǒng)配置文件、存儲(chǔ)過程、數(shù)據(jù)庫表等進(jìn)行了某種操作（增加、刪除、修改等），審計(jì)主要針對上述行為，檢查其合法性，是否為合法操作。

（3）程序上線的審計(jì)，是指應(yīng)用系統(tǒng)中程序開發(fā)和修改完成后，通過FTP等方式上傳到主機(jī)和修改數(shù)據(jù)庫配置，中間涉及到程序文件（包括shell）的修改上傳，數(shù)據(jù)庫參數(shù)的修改等，審計(jì)主要針對上述操作，檢查其合法性，是否為合法操作。

（4） 賬號(hào)變更審計(jì)，是指主機(jī)、數(shù)據(jù)庫用戶賬號(hào)的增、刪、改操作進(jìn)行審計(jì)，審計(jì)主要針對上述行為檢查其合法性，是否為合法操作。

（5）應(yīng)用系統(tǒng)操作審計(jì)：所有應(yīng)用系統(tǒng)需對業(yè)務(wù)超級(jí)用戶的用戶賬號(hào)或權(quán)限的增加、變更、刪除操作進(jìn)行審計(jì)，審計(jì)主要針對上述行為檢查其合法性，是否為合法操作。

（6）遠(yuǎn)程接入的審計(jì)，是指廠家維護(hù)人員每次遠(yuǎn)程撥號(hào)登錄系統(tǒng)時(shí)，在系統(tǒng)中所做的操作進(jìn)行審核，檢查其操作是否合法，是否得到需要的授權(quán)。

3 結(jié)束語

2012年以來，全網(wǎng)各種原因引起的WLAN賬號(hào)密碼被盜事件高發(fā)，嚴(yán)重?fù)p害了客戶和公司利益、干擾正常運(yùn)營。為有效控制盜號(hào)風(fēng)險(xiǎn)，迫切要求網(wǎng)絡(luò)維護(hù)部門從安全組網(wǎng)、WLAN主要設(shè)備自身安全功能及配置要求、業(yè)務(wù)層面用戶認(rèn)證功能實(shí)現(xiàn)機(jī)制、防暴力破解等方面，提出了系統(tǒng)化解決方案，啟動(dòng)骨干網(wǎng)及省網(wǎng)的WLAN RADIUS系統(tǒng)安全整改工作。

Research on security of WLAN authentication system

QU Jin-guang, LIU Xiang-qian, WANG Xin-zhong
(China Mobile Group Ningxia Co., Ltd., Yinchuan 750011, China)

The article mainly introduces security mechanism of WLAN authentication system, which refers to security networking, web security, equipment security, service logic security, daily audit and security emergency response.

WLAN; authentication; security

TN918

A

1008-5599（2013）12-0024-04

2013-11-22