天融信WLAN安全管理
解决方案
V1.2
天融信
TOPSEC
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-8008105119
http://www.topsec.com.cn
WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发Wlan系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。
一、WLAN安全管理解决方案简介
天融信WLAN安全管理解决方案是通过WLAN安全评估与WLAN安全管理系统双效结合来全面解决WLAN安全问。WLAN安全管理系统,可快速分析各项无线网络指标和提取的海量数据,揭示相关趋向,预判或查明无线网络安全问题。同时,通过设定性能标准并进行监控,可实现无线网络安全管理的智能化,实现全面保护和提升。
二、需求场景及功能说明
需求场景(1):涉密等网络通常不允许WLAN网络信号及设备接入。国家保密局国保发[2006]3号明确规定涉密计算机信息系统严禁使用有无线功能的计算机、无线互联功能的网络设 备、无线键盘和鼠标等无线互联外围设备。
功能说明:该系统无需与涉密网连接,即可实时检测无线信息,一旦发现无线信号可快速告警、定位、阻断。
技术实现:
1、目前可实现告警。
2、定位的功能可以通过类似“微信三点定位”可确定非法AP的位置,人工处理。
3、对于非法AP,也可以通过发离线包先把连接的终端断线,然后通过信号干扰等方式致使其无法工作。然后通过人工彻底清除。
需求场景(2):在允许有WLAN网络区域中,能够识别出区域的合法AP、流氓AP(钓鱼AP)、外部AP,并对流氓AP等进行定位、阻断。
功能说明:
可自动学习覆盖区域内AP、终端,并智能对设备进行分类管理,区分内部AP、邻居AP以及内网私接的流氓AP,辅以手工调整,帮助用户轻松部署。
在所防护区域内,可通过定制的无线安全策略(黑名单、白名单),在WLAN链路层上杜绝未经授权的AP。
需求场景(3):对合法的AP,,能够识别合法的、非法的连接终端,并将非法的终端其阻断。
功能说明:
――可通过定制的无线安全策略(黑名单、白名单),发现非法连接的终端,并通过发送离线数据包将其踢下线。
――可发现该产品覆盖区域中的AP、终端,并可识别常见设备的生产商等信息,同时也可发现终端与AP的连接信息、加密方式、安全设置等。
需求场景(4):对于移动办公区域中,保障用户设置的无线密码不遭到破解。
功能说明:
可通过检测无线密码的口令强度,保障用户口令不会被破解。
可通过检测无线用户的连接行为判断用户是否为恶意用户,在实施破解前,阻断用户的操作。
需求场景(5):在金融交易场所中,需要定期进行网络安全扫描。Gartner的统计报告显 示,WLAN所面临的安全威胁,在众多的安全风险类型当中属于最高等级,所以在金融行业里已经出台了相应的法规。美国的PCI DSS法规中专门针对金融行业无线接入提出了明确的安全要求:对于所有有支付卡的场所,必须在每个季度对它进行一次无线网络安全扫描,无论这个场所是否已经部署了无线设备。
功能说明:
通过探针在热点区域实时监控,讲数据反馈到WLAN安全管理平台,实现实时的WLAN安全监控。
WLAN系统安全评估
WLAN网络系统评估是传统安全评估的延伸和发展,侧重于评估业务层面的安全风险,即关注于无线网络架构设计、无线网络设备配置的安全性。同时也关注于业务恶用、滥用、盗用、欺诈威胁和风险等。安全评估以业务为中心,遵循业务风险导向的安全评估。
WLAN网络系统安全评估,包括基础设施安全评估、通信服务安全评估、业务应用安全评估等,并包含整体风险分析结果及风险规避措施。
同时也包含对于无线网络现状的分析如下:
列出接入点:
查找配置和信号覆盖问题以及恶意接入点。查看侦听到的所有物理接入点或接入指定接入点客户端的列表,包括如下信息:
l信道
l信号级别
l接入点名称或 MAC 地址
lSSID 名称(或虚拟接入点的 SSID 的数量)
l安全/加密
l网络类型
列出网络:
查找安全问题、恶意接入点和信号覆盖问题,查看侦听到的所有无线网络的列表。查看每个网络的以下项目:
l信号级别
l安全/加密
l网络中接入点的数量
lSSID 名称
l网络类型
AP 授权状态
验证经过授权的设备,并确定您的网络中是否存在恶意设备。
定位接入点和客户端
通过绘制一段时间内的信号强度图形,或通过使用声音提示(可静音),可以快速跟踪恶意接入点(未经授权)和其它接入点。
接入点详情
识别接入点配置问题。查看每个物理接入点的以下信息:
l信号/信噪/信噪比(当前和最大)
lSSID 和 BSSID
lACL 状态
l安全/加密
l连接的客户端
配置文件
配置文件包括以下设置:
l网络配置设置,包括 IP 寻址和安全/加密
l连接测试设置,包括目标测试设备
l对所有设置进行密码保护
l为了增强安全性,配置文件受密码保护并对设置进行加密。
WLAN安全管理系统产品功能
nWLAN信号管理
支持IEEE 802.11a/b/g/n系列协议;支持2.4G、5.8G双频段;支持2.4G& 5.8G宽频全向桨状天线,增益5dBi,无障碍空间覆盖面积达500m2(低端型号)、2000m2(高端型号)。
可发现该产品覆盖区域中的AP、终端,并可识别常见设备的生产商等信息,同时也可发现终端与AP的连接信息、加密方式、安全设置等。
nWLAN风险管理
可以检测包括钓鱼AP、无线监听、无线Spoof、无线DoS攻击、无线破解等各类型无线协议攻击,并根据预定义的无线安全策略实现告警、反制等功能。
无线钓鱼AP检测,通过伪造信息来搭设钓鱼AP,用于仿冒内网合法AP,欺骗无线用户与其关联,从而获得合法用户的信息,包括用户名、密码等,在所防护区域内,可通过定制的无线安全策略(黑名单、白名单),在WLAN链路层上杜绝未经授权的AP和终端接入。
私接AP检测。流氓AP通常是内部员工有意或无意在内部私接AP,从而使外部非法终端接入内网,造成内部资料外泄。
内部终端的非法外联检测,内部人员可通过WLAN连接其在内网周围私架的AP,从而将内部信息外泄。
无线网络扫描。扫描是攻击的前期行为,是安全隐患。
nWLAN安全管理
天融信WLAN安全管理系统特色功能是可根据用户场景功能,自动配置防护策略,目前支持建立涉密安全区、射频安全区、热点运营管理区、无线网络安全区等四种管理模式。
部署方式
天融信WLAN安全管理系统主要分为无线探针(WSensor)和管理平台两个部分,WSensor主要负责在热点区域采集现场信息、检测无线攻击、实施无线安全防护手段等功能。探针采集到的信息可通过有线或者无线等方式将数据回传至管理平台进行处理。管理平台主要负责数据的集中呈现和处理,同时负责下发防护策略及统一管理无线探针使用。
在无线探针产品实际部署过程中会受到很多因素干扰。如不能够提供POE供电,没有有线网络进行回传,产品外形不能让人感觉到具有辐射量等。产品可采用灵活多变的部署方法,灵活的供电方式,多路备份的回传数据方式,人性化的设备形态。
物理部署方式如下: