王自亮, 李祥軍, 劉松森

（1 中國(guó)移動(dòng)通信集團(tuán)山東有限公司，山東 250001; 2 中國(guó)移動(dòng)通信集團(tuán)公司，北京 100032）

無(wú)線局域網(wǎng)（WLAN）是利用無(wú)線技術(shù)實(shí)現(xiàn)快速接入以太網(wǎng)的技術(shù)，是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物，它以無(wú)線信道作為傳輸媒介，提供了傳統(tǒng)有線局域網(wǎng)的功能，并具備有線網(wǎng)絡(luò)無(wú)法相比的可移動(dòng)、漫游等特性，能夠使用戶真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的訪問(wèn)寬帶網(wǎng)絡(luò)。無(wú)線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE定義的802.11系列標(biāo)準(zhǔn)，早期應(yīng)用定位于家庭、企業(yè)內(nèi)部以及運(yùn)營(yíng)商鋪設(shè)的熱點(diǎn)地區(qū)，比如機(jī)場(chǎng)、咖啡廳等。隨著技術(shù)的成熟以及移動(dòng)互聯(lián)網(wǎng)應(yīng)用的發(fā)展，WLAN作為一種高速無(wú)線寬帶接入技術(shù)，成為各大運(yùn)營(yíng)商2G/3G網(wǎng)絡(luò)的重要補(bǔ)充，有力提升客戶網(wǎng)絡(luò)接入體驗(yàn)并開(kāi)始帶來(lái)穩(wěn)定的業(yè)務(wù)收入，WLAN已與傳統(tǒng)的ADSL、LAN等接入方式一起在寬帶數(shù)據(jù)網(wǎng)接入層形成三足鼎立的局面。但在WLAN業(yè)務(wù)系統(tǒng)日益壯大的同時(shí)，也不斷暴露出各種安全問(wèn)題，本文從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對(duì)移動(dòng)WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進(jìn)行分析，并對(duì)部分業(yè)務(wù)安全問(wèn)題提出了目前的解決方案。

1 WLAN網(wǎng)絡(luò)架構(gòu)

WLAN網(wǎng)絡(luò)包括AP、熱點(diǎn)交換機(jī)、匯聚交換機(jī)、AC、BRAS（認(rèn)證AC）、RADIUS服務(wù)器、Portal服務(wù)器等設(shè)備。無(wú)線接入點(diǎn)(AP)也稱無(wú)線網(wǎng)橋、無(wú)線網(wǎng)關(guān)，負(fù)責(zé)在無(wú)線局域網(wǎng)中接收和傳送數(shù)據(jù)。AC接入控制器是WLAN的接入控制設(shè)備，負(fù)責(zé)把來(lái)自不同AP的數(shù)據(jù)進(jìn)行匯聚并接入網(wǎng)絡(luò)，同時(shí)完成AP設(shè)備的配置管理。BRAS寬帶接入服務(wù)器主要完成無(wú)線用戶控制與管理功能。Portal主要負(fù)責(zé)密碼認(rèn)證、用戶自服務(wù)以及下線通知。RADIUS負(fù)責(zé)用戶信息管理及計(jì)費(fèi)功能?；臼疽鈭D如圖1所示。

2 WLAN系統(tǒng)當(dāng)前面臨的主要安全風(fēng)險(xiǎn)和問(wèn)題

圖1 WLAN業(yè)務(wù)系統(tǒng)示意圖

WLAN在給我們帶來(lái)極大方便的同時(shí)，也帶來(lái)了一些安全問(wèn)題。WLAN的快速發(fā)展，使得供應(yīng)商和運(yùn)營(yíng)商都未能跟上他們的快速發(fā)展。根據(jù)威脅所處業(yè)務(wù)系統(tǒng)的層次，WLAN系統(tǒng)當(dāng)前主要面臨如下安全風(fēng)險(xiǎn)和問(wèn)題。

2.1 設(shè)備安全漏洞或配置缺陷

WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性，可被利用控制操縱WLAN設(shè)備，進(jìn)而影響WLAN業(yè)務(wù)的正常使用。目前AC、Portal、RADIUS等設(shè)備采用公網(wǎng)地址，AP、GPON傳輸設(shè)備一般采用私網(wǎng)地址。但維護(hù)人員出于維護(hù)的需要，一般將私網(wǎng)地址在城域網(wǎng)中發(fā)布，如果未采用詳細(xì)的訪問(wèn)策略進(jìn)行控制的話，用戶在接入WLAN網(wǎng)絡(luò)后，可訪問(wèn)這些設(shè)備。一般AP、GPON設(shè)備安全防護(hù)較差，若存在弱口令或缺省口令，被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備，導(dǎo)致設(shè)備無(wú)法正常使用。AC等設(shè)備存在的一些漏洞（比如任意配置文件下載漏洞）也可導(dǎo)致賬號(hào)密碼、IP路由等信息泄露，進(jìn)而影響系統(tǒng)的安全運(yùn)行。

WLAN 對(duì)外認(rèn)證Portal頁(yè)面，密碼登錄部分未設(shè)置驗(yàn)證碼等機(jī)制，規(guī)避密碼暴力破解；在線開(kāi)戶及套餐訂購(gòu)頁(yè)面中的訂購(gòu)部分雖然表面上需輸入驗(yàn)證碼，但后臺(tái)并不對(duì)驗(yàn)證碼進(jìn)行驗(yàn)證，可假冒給任意手機(jī)發(fā)送大量訂購(gòu)請(qǐng)求，導(dǎo)致手機(jī)收到大量垃圾信息。

2.2 網(wǎng)絡(luò)攻擊

圖2 利用訂購(gòu)短信限制不當(dāng)可向任意手機(jī)發(fā)送大量垃圾訂購(gòu)短信

WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離。存在公網(wǎng)與私網(wǎng)互通或者公網(wǎng)管理地址未細(xì)化嚴(yán)格限制，導(dǎo)致WLAN設(shè)備易被攻擊控制，比如AC可從任意地址登錄，攻擊者可利用掃描軟件對(duì)設(shè)備進(jìn)行暴力密碼掃描。

AC作為用戶分配IP地址的DHCP Server，易遭受DHCP泛洪DoS攻擊。當(dāng)某一個(gè)終端在某一點(diǎn)接入WLAN網(wǎng)絡(luò)，得到系統(tǒng)分配的IP地址后，不斷的進(jìn)行DHCP地址申請(qǐng)（可以用虛擬MAC地址的方式獲取），使AC的IP地址池資源被耗盡，正常用戶無(wú)法獲得IP地址上網(wǎng)，造成業(yè)務(wù)無(wú)法正常使用。

AC針對(duì)不同AP的VLAN劃分不嚴(yán)格，易使網(wǎng)絡(luò)遭受攻擊者的ARP泛洪攻擊，致使AC向各AP轉(zhuǎn)發(fā)大量數(shù)據(jù)，造成網(wǎng)絡(luò)帶寬擁塞，設(shè)備性能癱瘓，導(dǎo)致大量AP掉線，影響WLAN業(yè)務(wù)的正常運(yùn)行。

此外，對(duì)于使用公網(wǎng)IP地址的WLAN設(shè)備，比如Portal服務(wù)器，惡意攻擊者可采用網(wǎng)頁(yè)篡改、拒絕服務(wù)攻擊等手段使得系統(tǒng)無(wú)法正常對(duì)外提供服務(wù)，從而使得局部或整個(gè)WLAN系統(tǒng)業(yè)務(wù)中斷。

2.3 業(yè)務(wù)缺陷

WLAN AC對(duì)外訪問(wèn)策略控制不嚴(yán)格，DNS端口可被利用實(shí)現(xiàn)免費(fèi)上網(wǎng)。WLAN用戶正常訪問(wèn)的數(shù)據(jù)交互如圖3所示。

WLAN認(rèn)證設(shè)計(jì)是：用戶連接WLAN熱點(diǎn)獲取IP地址后，需要登陸Portal頁(yè)面進(jìn)行認(rèn)證，而登陸網(wǎng)址并打開(kāi)網(wǎng)頁(yè)需要事先對(duì)該域名進(jìn)行DNS請(qǐng)求查詢。這必然使得WLAN系統(tǒng)在用戶認(rèn)證前必須能讓DNS請(qǐng)求和應(yīng)答通過(guò)，即UDP數(shù)據(jù)都能“自由地”來(lái)回于BRAS，不受限制，即存在一條可能的“免費(fèi)通道”。

圖3 WLAN正常數(shù)據(jù)交互

如果能讓DNS服務(wù)器將這個(gè)數(shù)據(jù)發(fā)送到指定的地方，就可建立一條免費(fèi)隧道。如圖4所示：如此即可構(gòu)建一個(gè)免費(fèi)的VPN通道，用戶可以通過(guò)BRAS和DNS Server，將數(shù)據(jù)發(fā)送到VPN服務(wù)器。

具體過(guò)程為，WLAN用戶利用VPN軟件（如網(wǎng)上已出現(xiàn)的Loopcvpn）

客戶端將要發(fā)送的數(shù)據(jù)包特殊編碼，將報(bào)文發(fā)送給BRAS，由于該報(bào)文為合法的DNS請(qǐng)求，BRAS將之轉(zhuǎn)發(fā)給DNS服務(wù)器，DNS服務(wù)器查詢記錄發(fā)現(xiàn)無(wú)對(duì)應(yīng)緩存記錄，于是發(fā)起遞歸請(qǐng)求，于是將數(shù)據(jù)包轉(zhuǎn)發(fā)給VPN服務(wù)器，VPN服務(wù)器解碼得到正常數(shù)據(jù)。隨后，VPN服務(wù)器將應(yīng)答數(shù)據(jù)發(fā)給BRAS，報(bào)文的源IP地址為VPN服務(wù)器的IP地址，目標(biāo)IP地址為用戶IP地址，源端口和目的端口均為53。BRAS收到源端口或目的端口為53的UDP報(bào)文，認(rèn)為是DNS應(yīng)答報(bào)文，于是予以放行，轉(zhuǎn)發(fā)給用戶，用戶客戶端接受數(shù)據(jù)，解碼得到應(yīng)答報(bào)文。通過(guò)多個(gè)DNS請(qǐng)求與應(yīng)答，將訪問(wèn)流量封裝在DNS數(shù)據(jù)流中，利用外部服務(wù)器非法上網(wǎng)，繞過(guò)身份認(rèn)證及計(jì)費(fèi)環(huán)節(jié)，實(shí)現(xiàn)免費(fèi)使用WLAN業(yè)務(wù)。

圖4 DNS數(shù)據(jù)流及VPN通道示意圖

用戶未隔離。WLAN相鄰用戶隔離能夠減少AP無(wú)線接口二層報(bào)文數(shù)量，提高網(wǎng)絡(luò)性能，并避免未認(rèn)證用戶之間互訪浪費(fèi)網(wǎng)絡(luò)資源。但部分設(shè)備未嚴(yán)格按要求進(jìn)行用戶隔離配置。在用戶互訪不嚴(yán)格隔離的情況下，未認(rèn)證用戶可利用認(rèn)證客戶搭建的代理服務(wù)器訪問(wèn)免費(fèi)外網(wǎng)。更嚴(yán)重的是，如果用戶未嚴(yán)格隔離，惡意用戶可將正常用戶踢下線，假冒正常認(rèn)證用戶訪問(wèn)網(wǎng)絡(luò)并將費(fèi)用記到正常用戶賬戶上。用戶獲得IP地址后第一次訪問(wèn)網(wǎng)絡(luò)時(shí)彈出的Portal正常URL地址為：http://xxx.xxx.xxx.xxx:8001/showlogin.do?wlanuserip=xxx.xxx.xxx.xxx&wlanacname=xxxx.xxxx.xxx.xx&wlanparameter=xxxxxx，其中包括wlanuserip、wlanacname、wlanparameter等，加上實(shí)際頁(yè)面中的username、password、acip等信息，將這些信息傳到RADIUS服務(wù)器確認(rèn)后即完成了對(duì)WLAN用戶的認(rèn)證，在用戶完成認(rèn)證后的數(shù)據(jù)訪問(wèn)則暢通無(wú)阻。若同一AC下用戶可互訪，則存在IP盜用的可能。具體過(guò)程為，一正常用戶A在獲得IP地址a.a.a.a并認(rèn)證通過(guò)，另一惡意用戶B獲得IP地址b.b.b.b但未通過(guò)認(rèn)證，由于用戶未隔離，則B可掃描本網(wǎng)段的在線用戶，使用Arp欺騙包將a.a.a.a淹沒(méi)，欺騙網(wǎng)關(guān)自己就是該IP，然后將自己的IP地址設(shè)置為IP地址a.a.a.a，即可正常訪問(wèn)網(wǎng)絡(luò)，如圖5所示。在用戶未正常下線的情況下，一般認(rèn)證信息會(huì)保留一段時(shí)間，此時(shí)如果有人了解相關(guān)信息，并接管該IP，則也可實(shí)現(xiàn)免費(fèi)上網(wǎng)。

3 WLAN系統(tǒng)安全防護(hù)

針對(duì)上述安全風(fēng)險(xiǎn)，為確保WLAN系統(tǒng)正常運(yùn)行，應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流，在各個(gè)環(huán)節(jié)、各個(gè)層面做好基本安全防護(hù)。

3.1 設(shè)備基本安全配置

圖5 攻擊者假冒認(rèn)證用戶訪問(wèn)網(wǎng)絡(luò)

基本的安全配置是確保WLAN系統(tǒng)的所有設(shè)備安全運(yùn)行最基本的保障。AP被控制可能會(huì)導(dǎo)致用戶根本無(wú)法接入；AC被控制將影響AC所管理的所有AP設(shè)備，導(dǎo)致大量用戶無(wú)法正常接入，并有可能將用戶引入攻擊者設(shè)計(jì)的Portal頁(yè)面；BRAS被控制影響用戶的管理；網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問(wèn)；RADIUS、Portal出現(xiàn)問(wèn)題影響用戶的認(rèn)證與計(jì)費(fèi)；網(wǎng)管設(shè)備出現(xiàn)問(wèn)題導(dǎo)致被管對(duì)象運(yùn)行異常，甚至?xí)?dǎo)致攻擊者從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，進(jìn)而發(fā)起更深層次的攻擊。因此應(yīng)為相關(guān)設(shè)備設(shè)置復(fù)雜的口令。對(duì)于開(kāi)啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字，除非必要不開(kāi)啟具有寫(xiě)權(quán)限的通信字，并對(duì)可訪問(wèn)地址進(jìn)行嚴(yán)格限制。

開(kāi)啟日志，并定期查看系統(tǒng)日志。在攻擊者掃描時(shí)一般會(huì)在系統(tǒng)中留下較明顯的日志，如圖6所示即為一AC設(shè)備上的登錄日志，從日志即可看出來(lái)該IP地址對(duì)AC設(shè)備賬號(hào)密碼進(jìn)行了掃描破解。

及時(shí)升級(jí)系統(tǒng)安全補(bǔ)丁，尤其是采用通用Linux或定制Linux，或開(kāi)啟Web維護(hù)管理界面的設(shè)備，在設(shè)備爆出漏洞后應(yīng)及時(shí)升級(jí)補(bǔ)丁。

加強(qiáng)WLAN Portal頁(yè)面代碼編寫(xiě)安全，對(duì)于靜態(tài)密碼增加登錄驗(yàn)證碼，以防范暴力密碼猜測(cè)；限制業(yè)務(wù)訂購(gòu)短信發(fā)送次數(shù)，避免用戶接收大量無(wú)用垃圾訂購(gòu)信息；避免跨站、列目錄、源代碼泄露等常見(jiàn)Web漏洞，確保用戶信息安全，系統(tǒng)運(yùn)行安全。

3.2 網(wǎng)絡(luò)安全管理

根據(jù)設(shè)備網(wǎng)絡(luò)訪問(wèn)需求，合理規(guī)劃網(wǎng)絡(luò)地址。為無(wú)需訪問(wèn)公網(wǎng)的設(shè)備，比如AP、GPON、交換機(jī)等分配私有IP地址，并嚴(yán)格限制路由發(fā)布策略，避免私網(wǎng)地址公網(wǎng)可達(dá)。對(duì)于需要公網(wǎng)IP的設(shè)備，將管理端口與業(yè)務(wù)端口分離，管理端口分配私有IP地址或分配不同地址段的IP地址。

圖6 AC賬號(hào)密碼掃描破解日志

做好用戶隔離，開(kāi)啟AC用戶隔離功能和交換機(jī)端口隔離功能。正常情況下，未認(rèn)證用戶不能訪問(wèn)網(wǎng)絡(luò)內(nèi)其他用戶，認(rèn)證后用戶在同一AP、同一熱點(diǎn)不同AP下不能互通。

根據(jù)需要為AC劃分管理VLAN和用戶VLAN，VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間，以及內(nèi)部不同安全域之間通過(guò)防火墻實(shí)現(xiàn)隔離及訪問(wèn)控制，細(xì)化訪問(wèn)控制策略嚴(yán)格限制可登錄維護(hù)地址范圍與端口。對(duì)于Web Portal與RADIUS應(yīng)隔離在兩個(gè)不同等級(jí)安全域內(nèi)，因RADIUS保存用戶相關(guān)信息，其安全域等級(jí)應(yīng)高于Web Portal域安全等級(jí)。

部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測(cè)系統(tǒng)、防火墻，在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕服務(wù)設(shè)備和網(wǎng)頁(yè)防篡改軟件。

3.3 業(yè)務(wù)安全管理

在AC上啟用DHCP Snooping與DHCP報(bào)文檢查功能，只對(duì)已無(wú)線關(guān)聯(lián)的用戶分配IP地址；將AC中DHCP地址釋放時(shí)長(zhǎng)配置為大于30min。對(duì)于短期內(nèi)大量地址分配請(qǐng)求進(jìn)行告警。在AC上設(shè)置DNS白名單或?qū)嵤〢CL控制，限定指定的DNS為WLAN用戶使用?？煽紤]采用專門(mén)的DNS服務(wù)器，對(duì)異常DNS查詢數(shù)據(jù)分組或單一IP地址頻繁DNS查詢數(shù)據(jù)分組等具有一定特點(diǎn)的DNS查詢數(shù)據(jù)分組進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)及時(shí)進(jìn)行攔截。

RADIUS系統(tǒng)存儲(chǔ)的WLAN用戶賬號(hào)密碼，應(yīng)采用加密方式保存，同時(shí)增強(qiáng)WLAN用戶密碼生成機(jī)制的安全性，避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令。

4 結(jié)束語(yǔ)

WLAN作為數(shù)據(jù)網(wǎng)絡(luò)寬帶接入的重要承載網(wǎng)，是中國(guó)移動(dòng)四網(wǎng)“GSM+TD+LTE+WLAN”協(xié)調(diào)發(fā)展和“無(wú)線+基站光纜延伸+IP+IMS”全業(yè)務(wù)網(wǎng)絡(luò)發(fā)展策略的重要組成部分。WLAN具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn)，但是由于無(wú)線局域網(wǎng)信道開(kāi)放的特點(diǎn)，使得WLAN業(yè)務(wù)系統(tǒng)同時(shí)面臨無(wú)線網(wǎng)絡(luò)威脅和有線網(wǎng)絡(luò)威脅。