[信息与通信]WLAN设备安全配置规范 30.ppt

WLAN设备安全配置规范 v3.0 安全服务与培训部 姚一国 2012年5月 大纲 1. WLAN设备应用安全管理 2. WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 4. WLAN安全配置基线实用案例 大纲 1. WLAN设备应用安全管理 1.1安全管理概述 1.2设备初始化管理 1.3日志安全管理 1.4设备授权访问管理 1.5配置管理 1.6设备冗余管理 2. WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 4. WLAN安全配置基线实用案例 1.1 安全管理概述（1） 有效保护系统安全的核心是进行持续、科学的风险管理。 WLAN设备安全管理不仅是安全技术的实施，而应是将良好的安全意识、安全规范融入到日常的维护工作中。 1.1 安全管理概述（1） 为了做好安全管理工作，不同岗位工作职责在网络规划、建设、运维三个阶段的关系如下： 1.1 安全管理概述（2） 1.2 设备初始化管理（1） 为确保设备的使用安全，WLAN设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置，其中应重点关注如下三个方面。 端口及服务最小化 安全补丁及时加载 包过滤规则设定 1.2 设备初始化管理（2） 端口及服务最小化 未使用的设备端口应及时关闭。 WLAN设备除了提供Telnet远程登录服务外，还提供很多二层、三层的服务。WLAN设备运行的服务越多，安全隐患就越大。很多服务WLAN设备通常是不需要的，应该根据各种服务的用途，实现服务最小化，关闭WLAN设备上不必要的服务，减少安全隐患。 1.2 设备初始化管理（3） 常见WLAN设备服务功能以及应对措施 服务名称 服务功能 建议措施 HTTP server 允许管理员通过Web页面远程管理路由器 关闭 IP directed broadcast 允许AC转发其他网段的直接广播包 关闭 SNMP 远程网管使用、数据集采、状态采集 根据实际情况，缺省使用，及时更改SNMP口令 IP source-route 允许路由器处理带源路由选项标记的流 关闭 1.2 设备初始化管理（4） 安全补丁 曾经在某IT杂志上公布，C公司宣布其WLAN设备所有xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入WLAN设备的TCP数据。 显而易见，该漏洞影响是广泛的，属于严重隐患，由于C公司及时发布了安全版本，所以几乎没有用户因此受到攻击。 因此，建议如无特殊情况在设备启用时，WLAN设备应当尽量采用厂家的最新版本，并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进行补丁加载，始终保持最新版本。 1.2 设备初始化管理（5） 包过滤规则 在WLAN设备启用前，应当根据当时的网络环境制定合理的包过滤规则，对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。 1.3 日志安全管理（1） 日志安全管理 对网络维护者而言，日志是设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据.因此在日常的维护中应注意开启设备的重要日志功能。 AC作为WLAN组网的重要的网络设备，其安全性至关重要，因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查，可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。 操作日志 登陆日志：异常分析 命令操作日志：分析异常操作 标准系统日志：非法攻击留下的日志痕迹 运行状态 CPU资源监控 内存占用监控 磁盘空间监控 系统日志 端口状态 异常路由交互信息 ……. 1.3 日志安全管理（2） 1.3 日志安全管理（3） 为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、存放等日常安全管理是必须的。 对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并对备份介质进行妥善保管。 由于AC设备内存有限，一些日志信息存储后掉电就会丢失，有条件的情况下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息，轻松掌握网络情况。 1.3 日志安全管理（4） 建立日志服务器之后，同时应当对服务器自身进行安全加固，例如：安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等，来保障日志安全。 1.4 设备授权访问管理（1） 设备授权访问管理包括： 账号口令管理 应当对AC系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段，提高帐号口令管理效能。