系统管理员网络安全培训课程教材WLAN讲解.pptVIP

WLAN系统管理员培训教材 培训对象与人员能力要求： WLAN系统维护人员 已掌握TCP/IP基础知识、WLAN基础知识、网络设备配置基础知识 课时安排： 培训目标： WLAN认证过程 - WEB认证方式 拒绝服务攻击 - 物理层和链路层 RF干扰 主要对2.4GHz频段进行干扰 微波炉、无绳电话等也可能造成无意干扰 Duration攻击 利用802.11的冲突避免机制，攻击者通过修改无线报文参数（NAV，Duration字段），大量抢占空口时间，使正常AP/终端无法收发报文 Beacon Flood 向无线信道中发送大量虚假的SSID，来充斥客户端的无线信号列表，使客户端找不到真实的AP,这样即影响到了正常的无线业务的运行 拒绝服务攻击 - 物理层和链路层 - 防护手段 无有效手段预防 加强巡检和故障响应，遭受攻击时通过仪器仪表仪表等手段快速定位攻击源 拒绝服务攻击 - ARP广播包 攻击者发起洪泛ARP广播请求，致使AC向各AP转发大量数据，造成网络拥塞 拒绝服务攻击 - ARP广播包 - 防护手段 AC严格划分VLAN，减小广播域，并严禁VLAN间互通 开启AC的用户隔离功能 禁止AP向与其关联的所有终端广播ARP报文 开启接入交换机的端口隔离功能 开启网络设备DHCP Snooping功能 拒绝服务攻击 - ARP广播包 - 防护手段 拒绝服务攻击 - 针对AP STA与AP连接过程 发生在用户身份认证开始之前 STA的三个状态 拒绝服务攻击 - 针对AP 攻击方式 Authentication Flood Association Flood 认证洪水攻击和关联洪水攻击 伪装客户端向AP发送大量的认证或者关联请求，使目标AP过载或者关联表填满，无法响应正常请求，也可能导致已连接用户断线 De-authentication Flood De-association Flood 取消认证洪水攻击和取消关联洪水攻击 发送大量取消认证或者取消关联请求，使已连接的用户强制断线 拒绝服务攻击 - 针对AP - 防护手段 协议弱点，无有效手段预防 开启无线拒绝服务攻击检测告警功能 加强巡检和故障响应，遭受攻击时通过仪器仪表仪表等手段快速定位攻击源 拒绝服务攻击 - 针对AC DHCP地址耗尽攻击 攻击者发送大量虚假的DHCP请求，耗尽地址池中地址，导致AC无法为新合法用户分配IP 拒绝服务攻击 - 针对AC WEB服务攻击 AC多采用WEB方式管理，自身运行httpd等web服务，可能遭受针对WEB服务的DoS攻击，造成设备负荷过高 案例：2011年某省公司AC遭受SYN FLOOD攻击，造成CPU负荷过高，业务中断 拒绝服务攻击 - 针对AC - 防护手段 DHCP地址耗尽攻击 开启网络设备DHCP Snooping功能 WEB服务攻击 AC上配置ACL等手段，限制有限地址作为访问源，拒绝非授权IP访问AC 拒绝服务攻击 - 其它 Portal风险 Portal完全暴露在公网提供WEB服务，存在遭受DOS/DDOS攻击的风险 Radius风险 Portal、Radius多存在于一个安全域内，而且Web Portal必须对所有用户可见，因此Radius的安全性很低，存在遭受DoS及DDoS攻击的风险 拒绝服务攻击 - 其它 - 防护手段 WLAN系统严格划分安全区域 Portal与Radius隔离在两个不同等级安全域内，且Radius安全域等级应高于Web Portal域安全等级 在Portal前部署防火墙、防DDOS、网页防篡改等安全防护系统，确保高安全强度 网络滥用 - DNS漏洞绕开计费 WLAN认证过程回顾 1. 用户连接CMCC的无线接入点 2. 终端分配到IP地址，进入WLAN的认证前域。此时认证前域配置了访问控制策略，用户只能访问AC、DNS和Portal等地址 3. 用户随意在浏览器中输入一个URL，由DNS解析到网站实际IP地址 4. WLAN AC将用户对该网站的请求修改为对Portal服务器的访问请求，要求用户强制认证 5. 用户在Portal上通过认证，由AC配置进入认证后域 网络滥用 - DNS漏洞绕开计费 漏洞原理 AC在认证过程第3步时未对用户终端发起的域名解析请求作目的地址限制，用户终端不仅可以访问AC通过DHCP分配的DNS服务器的UDP 53端口，也可以访问其它外网IP地址的相同端口 漏洞利用方法 恶意人员可以在公网建立一台VPN服务器，使用UDP 53端口提供VPN服务。用户终端不经过用户身份认证，就可以通过VPN软件客户端建立起与外网VPN服务器的VPN连接，将该VPN服务器作为代理服务器，将正常的上网流量封装在DNS协议报文中发送到互联网