WLAN業(yè)務(wù)安全研究

王自亮, 李祥軍, 劉松森

（1 中國移動通信集團山東有限公司，山東 250001; 2 中國移動通信集團公司，北京 100032）

無線局域網(wǎng)（WLAN）是利用無線技術(shù)實現(xiàn)快速接入以太網(wǎng)的技術(shù)，是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，它以無線信道作為傳輸媒介，提供了傳統(tǒng)有線局域網(wǎng)的功能，并具備有線網(wǎng)絡(luò)無法相比的可移動、漫游等特性，能夠使用戶真正實現(xiàn)隨時、隨地、隨意的訪問寬帶網(wǎng)絡(luò)。無線局域網(wǎng)最通用的標準是IEEE定義的802.11系列標準，早期應(yīng)用定位于家庭、企業(yè)內(nèi)部以及運營商鋪設(shè)的熱點地區(qū)，比如機場、咖啡廳等。隨著技術(shù)的成熟以及移動互聯(lián)網(wǎng)應(yīng)用的發(fā)展，WLAN作為一種高速無線寬帶接入技術(shù)，成為各大運營商2G/3G網(wǎng)絡(luò)的重要補充，有力提升客戶網(wǎng)絡(luò)接入體驗并開始帶來穩(wěn)定的業(yè)務(wù)收入，WLAN已與傳統(tǒng)的ADSL、LAN等接入方式一起在寬帶數(shù)據(jù)網(wǎng)接入層形成三足鼎立的局面。但在WLAN業(yè)務(wù)系統(tǒng)日益壯大的同時，也不斷暴露出各種安全問題，本文從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對移動WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進行分析，并對部分業(yè)務(wù)安全問題提出了目前的解決方案。

1 WLAN網(wǎng)絡(luò)架構(gòu)

WLAN網(wǎng)絡(luò)包括AP、熱點交換機、匯聚交換機、AC、BRAS（認證AC）、RADIUS服務(wù)器、Portal服務(wù)器等設(shè)備。無線接入點(AP)也稱無線網(wǎng)橋、無線網(wǎng)關(guān)，負責在無線局域網(wǎng)中接收和傳送數(shù)據(jù)。AC接入控制器是WLAN的接入控制設(shè)備，負責把來自不同AP的數(shù)據(jù)進行匯聚并接入網(wǎng)絡(luò)，同時完成AP設(shè)備的配置管理。BRAS寬帶接入服務(wù)器主要完成無線用戶控制與管理功能。Portal主要負責密碼認證、用戶自服務(wù)以及下線通知。RADIUS負責用戶信息管理及計費功能?；臼疽鈭D如圖1所示。

2 WLAN系統(tǒng)當前面臨的主要安全風險和問題

圖1 WLAN業(yè)務(wù)系統(tǒng)示意圖

WLAN在給我們帶來極大方便的同時，也帶來了一些安全問題。WLAN的快速發(fā)展，使得供應(yīng)商和運營商都未能跟上他們的快速發(fā)展。根據(jù)威脅所處業(yè)務(wù)系統(tǒng)的層次，WLAN系統(tǒng)當前主要面臨如下安全風險和問題。

2.1 設(shè)備安全漏洞或配置缺陷

WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性，可被利用控制操縱WLAN設(shè)備，進而影響WLAN業(yè)務(wù)的正常使用。目前AC、Portal、RADIUS等設(shè)備采用公網(wǎng)地址，AP、GPON傳輸設(shè)備一般采用私網(wǎng)地址。但維護人員出于維護的需要，一般將私網(wǎng)地址在城域網(wǎng)中發(fā)布，如果未采用詳細的訪問策略進行控制的話，用戶在接入WLAN網(wǎng)絡(luò)后，可訪問這些設(shè)備。一般AP、GPON設(shè)備安全防護較差，若存在弱口令或缺省口令，被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備，導(dǎo)致設(shè)備無法正常使用。AC等設(shè)備存在的一些漏洞（比如任意配置文件下載漏洞）也可導(dǎo)致賬號密碼、IP路由等信息泄露，進而影響系統(tǒng)的安全運行。

WLAN 對外認證Portal頁面，密碼登錄部分未設(shè)置驗證碼等機制，規(guī)避密碼暴力破解；在線開戶及套餐訂購頁面中的訂購部分雖然表面上需輸入驗證碼，但后臺并不對驗證碼進行驗證，可假冒給任意手機發(fā)送大量訂購請求，導(dǎo)致手機收到大量垃圾信息。

2.2 網(wǎng)絡(luò)攻擊

圖2 利用訂購短信限制不當可向任意手機發(fā)送大量垃圾訂購短信

WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離。存在公網(wǎng)與私網(wǎng)互通或者公網(wǎng)管理地址未細化嚴格限制，導(dǎo)致WLAN設(shè)備易被攻擊控制，比如AC可從任意地址登錄，攻擊者可利用掃描軟件對設(shè)備進行暴力密碼掃描。

AC作為用戶分配IP地址的DHCP Server，易遭受DHCP泛洪DoS攻擊。當某一個終端在某一點接入WLAN網(wǎng)絡(luò)，得到系統(tǒng)分配的IP地址后，不斷的進行DHCP地址申請（可以用虛擬MAC地址的方式獲?。?，使AC的IP地址池資源被耗盡，正常用戶無法獲得IP地址上網(wǎng)，造成業(yè)務(wù)無法正常使用。

AC針對不同AP的VLAN劃分不嚴格，易使網(wǎng)絡(luò)遭受攻擊者的ARP泛洪攻擊，致使AC向各AP轉(zhuǎn)發(fā)大量數(shù)據(jù)，造成網(wǎng)絡(luò)帶寬擁塞，設(shè)備性能癱瘓，導(dǎo)致大量AP掉線，影響WLAN業(yè)務(wù)的正常運行。

此外，對于使用公網(wǎng)IP地址的WLAN設(shè)備，比如Portal服務(wù)器，惡意攻擊者可采用網(wǎng)頁篡改、拒絕服務(wù)攻擊等手段使得系統(tǒng)無法正常對外提供服務(wù)，從而使得局部或整個WLAN系統(tǒng)業(yè)務(wù)中斷。

2.3 業(yè)務(wù)缺陷

WLAN AC對外訪問策略控制不嚴格，DNS端口可被利用實現(xiàn)免費上網(wǎng)。WLAN用戶正常訪問的數(shù)據(jù)交互如圖3所示。

WLAN認證設(shè)計是：用戶連接WLAN熱點獲取IP地址后，需要登陸Portal頁面進行認證，而登陸網(wǎng)址并打開網(wǎng)頁需要事先對該域名進行DNS請求查詢。這必然使得WLAN系統(tǒng)在用戶認證前必須能讓DNS請求和應(yīng)答通過，即UDP數(shù)據(jù)都能“自由地”來回于BRAS，不受限制，即存在一條可能的“免費通道”。

圖3 WLAN正常數(shù)據(jù)交互

如果能讓DNS服務(wù)器將這個數(shù)據(jù)發(fā)送到指定的地方，就可建立一條免費隧道。如圖4所示：如此即可構(gòu)建一個免費的VPN通道，用戶可以通過BRAS和DNS Server，將數(shù)據(jù)發(fā)送到VPN服務(wù)器。

具體過程為，WLAN用戶利用VPN軟件（如網(wǎng)上已出現(xiàn)的Loopcvpn）

客戶端將要發(fā)送的數(shù)據(jù)包特殊編碼，將報文發(fā)送給BRAS，由于該報文為合法的DNS請求，BRAS將之轉(zhuǎn)發(fā)給DNS服務(wù)器，DNS服務(wù)器查詢記錄發(fā)現(xiàn)無對應(yīng)緩存記錄，于是發(fā)起遞歸請求，于是將數(shù)據(jù)包轉(zhuǎn)發(fā)給VPN服務(wù)器，VPN服務(wù)器解碼得到正常數(shù)據(jù)。隨后，VPN服務(wù)器將應(yīng)答數(shù)據(jù)發(fā)給BRAS，報文的源IP地址為VPN服務(wù)器的IP地址，目標IP地址為用戶IP地址，源端口和目的端口均為53。BRAS收到源端口或目的端口為53的UDP報文，認為是DNS應(yīng)答報文，于是予以放行，轉(zhuǎn)發(fā)給用戶，用戶客戶端接受數(shù)據(jù)，解碼得到應(yīng)答報文。通過多個DNS請求與應(yīng)答，將訪問流量封裝在DNS數(shù)據(jù)流中，利用外部服務(wù)器非法上網(wǎng)，繞過身份認證及計費環(huán)節(jié)，實現(xiàn)免費使用WLAN業(yè)務(wù)。

圖4 DNS數(shù)據(jù)流及VPN通道示意圖

用戶未隔離。WLAN相鄰用戶隔離能夠減少AP無線接口二層報文數(shù)量，提高網(wǎng)絡(luò)性能，并避免未認證用戶之間互訪浪費網(wǎng)絡(luò)資源。但部分設(shè)備未嚴格按要求進行用戶隔離配置。在用戶互訪不嚴格隔離的情況下，未認證用戶可利用認證客戶搭建的代理服務(wù)器訪問免費外網(wǎng)。更嚴重的是，如果用戶未嚴格隔離，惡意用戶可將正常用戶踢下線，假冒正常認證用戶訪問網(wǎng)絡(luò)并將費用記到正常用戶賬戶上。用戶獲得IP地址后第一次訪問網(wǎng)絡(luò)時彈出的Portal正常URL地址為：http://xxx.xxx.xxx.xxx:8001/showlogin.do?wlanuserip=xxx.xxx.xxx.xxx&wlanacname=xxxx.xxxx.xxx.xx&wlanparameter=xxxxxx，其中包括wlanuserip、wlanacname、wlanparameter等，加上實際頁面中的username、password、acip等信息，將這些信息傳到RADIUS服務(wù)器確認后即完成了對WLAN用戶的認證，在用戶完成認證后的數(shù)據(jù)訪問則暢通無阻。若同一AC下用戶可互訪，則存在IP盜用的可能。具體過程為，一正常用戶A在獲得IP地址a.a.a.a并認證通過，另一惡意用戶B獲得IP地址b.b.b.b但未通過認證，由于用戶未隔離，則B可掃描本網(wǎng)段的在線用戶，使用Arp欺騙包將a.a.a.a淹沒，欺騙網(wǎng)關(guān)自己就是該IP，然后將自己的IP地址設(shè)置為IP地址a.a.a.a，即可正常訪問網(wǎng)絡(luò)，如圖5所示。在用戶未正常下線的情況下，一般認證信息會保留一段時間，此時如果有人了解相關(guān)信息，并接管該IP，則也可實現(xiàn)免費上網(wǎng)。

3 WLAN系統(tǒng)安全防護

針對上述安全風險，為確保WLAN系統(tǒng)正常運行，應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流，在各個環(huán)節(jié)、各個層面做好基本安全防護。

3.1 設(shè)備基本安全配置

圖5 攻擊者假冒認證用戶訪問網(wǎng)絡(luò)

基本的安全配置是確保WLAN系統(tǒng)的所有設(shè)備安全運行最基本的保障。AP被控制可能會導(dǎo)致用戶根本無法接入；AC被控制將影響AC所管理的所有AP設(shè)備，導(dǎo)致大量用戶無法正常接入，并有可能將用戶引入攻擊者設(shè)計的Portal頁面；BRAS被控制影響用戶的管理；網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問；RADIUS、Portal出現(xiàn)問題影響用戶的認證與計費；網(wǎng)管設(shè)備出現(xiàn)問題導(dǎo)致被管對象運行異常，甚至會導(dǎo)致攻擊者從外網(wǎng)進入內(nèi)網(wǎng)，進而發(fā)起更深層次的攻擊。因此應(yīng)為相關(guān)設(shè)備設(shè)置復(fù)雜的口令。對于開啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字，除非必要不開啟具有寫權(quán)限的通信字，并對可訪問地址進行嚴格限制。

開啟日志，并定期查看系統(tǒng)日志。在攻擊者掃描時一般會在系統(tǒng)中留下較明顯的日志，如圖6所示即為一AC設(shè)備上的登錄日志，從日志即可看出來該IP地址對AC設(shè)備賬號密碼進行了掃描破解。

及時升級系統(tǒng)安全補丁，尤其是采用通用Linux或定制Linux，或開啟Web維護管理界面的設(shè)備，在設(shè)備爆出漏洞后應(yīng)及時升級補丁。

加強WLAN Portal頁面代碼編寫安全，對于靜態(tài)密碼增加登錄驗證碼，以防范暴力密碼猜測；限制業(yè)務(wù)訂購短信發(fā)送次數(shù)，避免用戶接收大量無用垃圾訂購信息；避免跨站、列目錄、源代碼泄露等常見Web漏洞，確保用戶信息安全，系統(tǒng)運行安全。

3.2 網(wǎng)絡(luò)安全管理

根據(jù)設(shè)備網(wǎng)絡(luò)訪問需求，合理規(guī)劃網(wǎng)絡(luò)地址。為無需訪問公網(wǎng)的設(shè)備，比如AP、GPON、交換機等分配私有IP地址，并嚴格限制路由發(fā)布策略，避免私網(wǎng)地址公網(wǎng)可達。對于需要公網(wǎng)IP的設(shè)備，將管理端口與業(yè)務(wù)端口分離，管理端口分配私有IP地址或分配不同地址段的IP地址。

圖6 AC賬號密碼掃描破解日志

做好用戶隔離，開啟AC用戶隔離功能和交換機端口隔離功能。正常情況下，未認證用戶不能訪問網(wǎng)絡(luò)內(nèi)其他用戶，認證后用戶在同一AP、同一熱點不同AP下不能互通。

根據(jù)需要為AC劃分管理VLAN和用戶VLAN，VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間，以及內(nèi)部不同安全域之間通過防火墻實現(xiàn)隔離及訪問控制，細化訪問控制策略嚴格限制可登錄維護地址范圍與端口。對于Web Portal與RADIUS應(yīng)隔離在兩個不同等級安全域內(nèi)，因RADIUS保存用戶相關(guān)信息，其安全域等級應(yīng)高于Web Portal域安全等級。

部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測系統(tǒng)、防火墻，在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕服務(wù)設(shè)備和網(wǎng)頁防篡改軟件。

3.3 業(yè)務(wù)安全管理

在AC上啟用DHCP Snooping與DHCP報文檢查功能，只對已無線關(guān)聯(lián)的用戶分配IP地址；將AC中DHCP地址釋放時長配置為大于30min。對于短期內(nèi)大量地址分配請求進行告警。在AC上設(shè)置DNS白名單或?qū)嵤〢CL控制，限定指定的DNS為WLAN用戶使用。可考慮采用專門的DNS服務(wù)器，對異常DNS查詢數(shù)據(jù)分組或單一IP地址頻繁DNS查詢數(shù)據(jù)分組等具有一定特點的DNS查詢數(shù)據(jù)分組進行監(jiān)控，一旦發(fā)現(xiàn)及時進行攔截。

RADIUS系統(tǒng)存儲的WLAN用戶賬號密碼，應(yīng)采用加密方式保存，同時增強WLAN用戶密碼生成機制的安全性，避免WLAN系統(tǒng)重置密碼是默認弱口令。

4 結(jié)束語

WLAN作為數(shù)據(jù)網(wǎng)絡(luò)寬帶接入的重要承載網(wǎng)，是中國移動四網(wǎng)“GSM+TD+LTE+WLAN”協(xié)調(diào)發(fā)展和“無線+基站光纜延伸+IP+IMS”全業(yè)務(wù)網(wǎng)絡(luò)發(fā)展策略的重要組成部分。WLAN具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點，但是由于無線局域網(wǎng)信道開放的特點，使得WLAN業(yè)務(wù)系統(tǒng)同時面臨無線網(wǎng)絡(luò)威脅和有線網(wǎng)絡(luò)威脅。