天融信WLAN安全管理
解決方案
V1.2
天融信
TOPSEC
北京市海淀區上地東路1號華控大廈100085
電話:+8610-82776666
傳真:+8610-82776677
服務熱線:+8610-8008105119
WLAN系統面臨的風險包括資源耗盡風險、無AP關聯認證風險、無加密的空中信息傳輸泄密風險、來自客戶端的***等各類可能引發Wlan系統不可用風險、系統服務質量下降、無線頻譜干擾風險、空中中間人***風險、非法廣播信息風險、客戶信息泄密風險等。
一、WLAN安全管理解決方案簡介
天融信WLAN安全管理解決方案是通過WLAN安全評估與WLAN安全管理系統雙效結合來全面解決WLAN安全問。WLAN安全管理系統,可快速分析各項無線網絡指標和提取的海量數據,揭示相關趨向,預判或查明無線網絡安全問題。同時,通過設定性能標準並進行監控,可實現無線網絡安全管理的智能化,實現全面保護和提升。
二、需求場景及功能說明
需求場景(1):涉密等網絡通常不允許WLAN網絡信號及設備接入。國家保密局國保發[2006]3號明確規定涉密計算機信息系統嚴禁使用有無線功能的計算機、無線互聯功能的網絡設 備、無線鍵盤和鼠標等無線互聯外圍設備。
功能說明:該系統無需與涉密網連接,即可實時檢測無線信息,一旦發現無線信號可快速告警、定位、阻斷。
技術實現:
1、目前可實現告警。
2、定位的功能可以通過類似“微信三點定位”可確定非法AP的位置,人工處理。
3、對於非法AP,也可以通過發離線包先把連接的終端斷線,然後通過信號干擾等方式致使其無法工作。然後通過人工徹底清除。
需求場景(2):在允許有WLAN網絡區域中,能夠識別出區域的合法AP、流氓AP(釣魚AP)、外部AP,並對流氓AP等進行定位、阻斷。
功能說明:
可自動學習覆蓋區域內AP、終端,並智能對設備進行分類管理,區分內部AP、鄰居AP以及內網私接的流氓AP,輔以手工調整,幫助用戶輕鬆部署。
在所防護區域內,可通過定製的無線安全策略(黑名單、白名單),在WLAN鏈路層上杜絕未經授權的AP。
需求場景(3):對合法的AP,,能夠識別合法的、非法的連接終端,並將非法的終端其阻斷。
功能說明:
——可通過定製的無線安全策略(黑名單、白名單),發現非法連接的終端,並通過發送離線數據包將其踢下線。
——可發現該產品覆蓋區域中的AP、終端,並可識別常見設備的生產商等信息,同時也可發現終端與AP的連接信息、加密方式、安全設置等。
需求場景(4):對於移動辦公區域中,保障用戶設置的無線密碼不遭到破解。
功能說明:
可通過檢測無線密碼的口令強度,保障用戶口令不會被破解。
可通過檢測無線用戶的連接行爲判斷用戶是否爲惡意用戶,在實施破解前,阻斷用戶的操作。
需求場景(5):在金融交易場所中,需要定期進行網絡安全掃描。Gartner的統計報告顯 示,WLAN所面臨的安全威脅,在衆多的安全風險類型當中屬於最高等級,所以在金融行業裏已經出臺了相應的法規。美國的PCI DSS法規中專門針對金融行業無線接入提出了明確的安全要求:對於所有有支付卡的場所,必須在每個季度對它進行一次無線網絡安全掃描,無論這個場所是否已經部署了無線設備。
功能說明:
通過探針在熱點區域實時監控,講數據反饋到WLAN安全管理平臺,實現實時的WLAN安全監控。
WLAN系統安全評估
WLAN網絡系統評估是傳統安全評估的延伸和發展,側重於評估業務層面的安全風險,即關注於無線網絡架構設計、無線網絡設備配置的安全性。同時也關注於業務惡用、濫用、盜用、欺詐威脅和風險等。安全評估以業務爲中心,遵循業務風險導向的安全評估。
WLAN網絡系統安全評估,包括基礎設施安全評估、通信服務安全評估、業務應用安全評估等,幷包含整體風險分析結果及風險規避措施。
同時也包含對於無線網絡現狀的分析如下:
列出接入點:
查找配置和信號覆蓋問題以及惡意接入點。查看偵聽到的所有物理接入點或接入指定接入點客戶端的列表,包括如下信息:
l信道
l信號級別
l接入點名稱或 MAC 地址
lSSID 名稱(或虛擬接入點的 SSID 的數量)
l安全/加密
l網絡類型
列出網絡:
查找安全問題、惡意接入點和信號覆蓋問題,查看偵聽到的所有無線網絡的列表。查看每個網絡的以下項目:
l信號級別
l安全/加密
l網絡中接入點的數量
lSSID 名稱
l網絡類型
AP 授權狀態
驗證經過授權的設備,並確定您的網絡中是否存在惡意設備。
定位接入點和客戶端
通過繪製一段時間內的信號強度圖形,或通過使用聲音提示(可靜音),可以快速跟蹤惡意接入點(未經授權)和其它接入點。
接入點詳情
識別接入點配置問題。查看每個物理接入點的以下信息:
l信號/信噪/信噪比(當前和最大)
lSSID 和 BSSID
lACL 狀態
l安全/加密
l連接的客戶端
配置文件
配置文件包括以下設置:
l網絡配置設置,包括 IP 尋址和安全/加密
l連接測試設置,包括目標測試設備
l對所有設置進行密碼保護
l爲了增強安全性,配置文件受密碼保護並對設置進行加密。
WLAN安全管理系統產品功能
nWLAN信號管理
支持IEEE 802.11a/b/g/n系列協議;支持2.4G、5.8G雙頻段;支持2.4G& 5.8G寬頻全向槳狀天線,增益5dBi,無障礙空間覆蓋面積達500m2(低端型號)、2000m2(高端型號)。
可發現該產品覆蓋區域中的AP、終端,並可識別常見設備的生產商等信息,同時也可發現終端與AP的連接信息、加密方式、安全設置等。
nWLAN風險管理
可以檢測包括釣魚AP、無線監聽、無線Spoof、無線DoS***、無線破解等各類型無線協議***,並根據預定義的無線安全策略實現告警、反制等功能。
無線釣魚AP檢測,通過僞造信息來搭設釣魚AP,用於仿冒內網合法AP,欺騙無線用戶與其關聯,從而獲得合法用戶的信息,包括用戶名、密碼等,在所防護區域內,可通過定製的無線安全策略(黑名單、白名單),在WLAN鏈路層上杜絕未經授權的AP和終端接入。
私接AP檢測。流氓AP通常是內部員工有意或無意在內部私接AP,從而使外部非法終端接入內網,造成內部資料外泄。
內部終端的非法外聯檢測,內部人員可通過WLAN連接其在內網周圍私架的AP,從而將內部信息外泄。
無線網絡掃描。掃描是***的前期行爲,是安全隱患。
nWLAN安全管理
天融信WLAN安全管理系統特色功能是可根據用戶場景功能,自動配置防護策略,目前支持建立涉密安全區、射頻安全區、熱點運營管理區、無線網絡安全區等四種管理模式。
部署方式
天融信WLAN安全管理系統主要分爲無線探針(WSensor)和管理平臺兩個部分,WSensor主要負責在熱點區域採集現場信息、檢測無線***、實施無線安全防護手段等功能。探針採集到的信息可通過有線或者無線等方式將數據回傳至管理平臺進行處理。管理平臺主要負責數據的集中呈現和處理,同時負責下發防護策略及統一管理無線探針使用。
在無線探針產品實際部署過程中會受到很多因素干擾。如不能夠提供POE供電,沒有有線網絡進行回傳,產品外形不能讓人感覺到具有輻射量等。產品可採用靈活多變的部署方法,靈活的供電方式,多路備份的回傳數據方式,人性化的設備形態。
物理部署方式如下: