WLAN安全问题交流详解.ppt

* * * * * * 可以根据业务需要在网络接入节点部署网络安全设备。网络安全设备需要具备强大的攻击防范的能力以及良好的攻击溯源能力；这些设备可以保证城域网的接入安全，同时提供对网络的安全事件进行监控的手段。网络安全设备还应该提供良好的DoS（拒绝式服务）攻击防范能力，当网络因为病毒等意外情况导致流量突然增大时，可以对用户流量进行带宽限制或有害流量分流以保证网络设备的正常工作和网络的可靠运行。 内外网隔离及访问控制：在内外部网络之间设置防火墙，实现内部网络的访问控制。根据防范的方式和侧重点的不同，可以选择分组过滤或应用代理等不同类型的防火墙。 内部网不同安全域的隔离及访问控制：采用防火墙技术实现内部网不同安全域的隔离及访问控制。 * * 可以根据业务需要在网络接入节点部署网络安全设备。网络安全设备需要具备强大的攻击防范的能力以及良好的攻击溯源能力；这些设备可以保证城域网的接入安全，同时提供对网络的安全事件进行监控的手段。网络安全设备还应该提供良好的DoS（拒绝式服务）攻击防范能力，当网络因为病毒等意外情况导致流量突然增大时，可以对用户流量进行带宽限制或有害流量分流以保证网络设备的正常工作和网络的可靠运行。 内外网隔离及访问控制：在内外部网络之间设置防火墙，实现内部网络的访问控制。根据防范的方式和侧重点的不同，可以选择分组过滤或应用代理等不同类型的防火墙。 内部网不同安全域的隔离及访问控制：采用防火墙技术实现内部网不同安全域的隔离及访问控制。 * * 可以根据业务需要在网络接入节点部署网络安全设备。网络安全设备需要具备强大的攻击防范的能力以及良好的攻击溯源能力；这些设备可以保证城域网的接入安全，同时提供对网络的安全事件进行监控的手段。网络安全设备还应该提供良好的DoS（拒绝式服务）攻击防范能力，当网络因为病毒等意外情况导致流量突然增大时，可以对用户流量进行带宽限制或有害流量分流以保证网络设备的正常工作和网络的可靠运行。 内外网隔离及访问控制：在内外部网络之间设置防火墙，实现内部网络的访问控制。根据防范的方式和侧重点的不同，可以选择分组过滤或应用代理等不同类型的防火墙。 内部网不同安全域的隔离及访问控制：采用防火墙技术实现内部网不同安全域的隔离及访问控制。 * * 可以根据业务需要在网络接入节点部署网络安全设备。网络安全设备需要具备强大的攻击防范的能力以及良好的攻击溯源能力；这些设备可以保证城域网的接入安全，同时提供对网络的安全事件进行监控的手段。网络安全设备还应该提供良好的DoS（拒绝式服务）攻击防范能力，当网络因为病毒等意外情况导致流量突然增大时，可以对用户流量进行带宽限制或有害流量分流以保证网络设备的正常工作和网络的可靠运行。 内外网隔离及访问控制：在内外部网络之间设置防火墙，实现内部网络的访问控制。根据防范的方式和侧重点的不同，可以选择分组过滤或应用代理等不同类型的防火墙。 内部网不同安全域的隔离及访问控制：采用防火墙技术实现内部网不同安全域的隔离及访问控制。 * 网络滥用 - DNS漏洞绕开计费 实现工具 OpenVPN，一款开源的VPN软件 危害 免认证计费，并且避免了运营商网络中的监控和审计和溯源措施 网络滥用 - DNS漏洞绕开计费 - 防护手段 在AC上设置DNS白名单或实施ACL控制，限定认证前域的终端可访问的DNS为特定地址和特定端口 敏感信息泄露 - 网络窃听 在WLAN环境中，由于其开放的传输介质，使得攻击者可以非常容易地实施窃听攻击 明文协议(HTTP,POP3和FTP等)都可以被窃听 可能泄露用户在网站、邮箱以及BBS上的帐号口令以及访问记录 敏感信息泄露 - 网络窃听 - 防护手段 Portal认证中，账号密码传输采用SSL加密，泄露可能性较低 数据加密 空口加密：WPA2 VPN 应用层加密：HTTPS/FTPS… 敏感信息泄露 - 伪AP 私设SSID为CMCC/CMCC-EDU的AP，诱使用户连接到此AP，收集用户的WLAN账号密码 攻击者在伪AP后自设WEB服务器，伪造出登录页面 记录用户输入的账号密码信息 合法AP 假CMCC AP 用户（终端） 攻击者 Radius服务器 敏感信息泄露 - 伪AP - 防护手段 开启非法AP检测和定位功能，及时发现伪CMCC AP 取消WLAN手机用户的静态密码登录方式，采用动态密码下发方式 敏感信息泄露 - 伪DHCP服务器 攻击步骤 发动DHCP地址耗尽攻击，使AC地址池耗尽，无法向合法用户分配IP 攻击者冒充DHCP服务器，响应用户DHCP请求并分配伪IP地址给用户 网关一般设置为攻击者的地址，从而窃听用户流量，获得未加密的敏感信息 敏感信息泄露 - 伪DHCP服务器 更进一步 伪DHCP服务器下发的DHCP配