1、无线安全技术白皮书-无线风险管理 威胁一体防御-启明星辰Beijing Venustech Cybervision Co., Ltd.2013 年 7 月无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ i版 权 声 明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻
2、译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦 邮编:100193电话:010-82779088传真:010-82779000您可以访问启明星辰网站: 获得最新技术和产品信息。无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ ii目 录1 概
3、述 .32 发展史 .42.1 无线对传统安全的挑战 .42.2 为什么需要无线安全 .52.3 无线安全常见误区 .73 产品综述 .93.1 产品综述 .93.2 特点说明 .93.3 产品系列简介 .114 体系架构说明 .124.1 产品构成 .124.2 软件结构 .124.3 管理结构 .135 关键技术 .145.1 基于无线网络架构的自动学习技术 .145.2 高效的无线攻击检测技术 .165.3 一体化的关联分析技术 .195.4 基于射频的精确阻断技术 .216 典型组网 .266.1 有线无线一体化 IDS .266.2 有线无线一体化 USG.276.3 有线无线一体化
4、防火墙 .286.4 有线无线一体化 IPS.296.5 有线无线一体化审计 .316.6 有线无线一体化扫描 .327 产品资质 .338 服务支持 .33无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 31 概述IDC 报告显示,2010 年全球 WLAN 市场收入创纪录地突破了 50 亿美元,较上一年增长 25%。WLAN 作为企业基础网络设施之一,已成为不可逆转的趋势。 小型企业、家用办公(Soho)方面的销售超过了 30 亿美元。 企业无线局域网方面的销售超过了 20 亿美元,为近 5 年来最大增幅。 在企业无线局域网中,教育和医疗两个垂直行业占据最大的市场份额。
5、 IDC 报告显示,2010 年国内 WLAN 市场收入超过 23 亿元(不含 Soho产品) 。国内 WLAN 市场持续多年保持亚太地区最快的增长率,得益于智能终端的普及和行业无线局域网的快速发展。 其中运营商建设的热点以及由其推动的行业无线网络超过 16 亿元,预计 2011 年这部分销售额将达到 25 亿元,同比增长超过 150。国内三大运营商已经明确了把 WLAN 网络作为 3G 网络有益补充这一战略,因此 WLAN 设备在各大运营商的采购量和建设量都在逐年大幅度增加,中国移动和中国电信都计划三年内建设 100 万 WLAN 热点,而中国联通仅 2010 年就招标了 20 万台 WLA
6、N 设备。 中小企业(不含 Soho)销售超过了 7 亿元,相对于运营商主导的WLAN 市场,企业无线网络份额不到一半,但保持着较高的利润水平。 在国内 WLAN 市场中,教育、制造业、政府、医疗等行业占据了近一半的份额。然而,WLAN 网络建设热潮构成鲜明对比的是,WLAN 网络安全防护设备在组网方案中的普遍缺失。随着人们对 WLAN 网络安全担忧的加剧,目前在欧美等国家,已经出台了 WLAN 安全相关法规和技术管理办法,一些重要的场合已经考虑了隐藏在开放空间中的 WLAN 安全威胁,或部署 WLAN 安全防护产品,或定期进行 WLAN 安全检查。而在我国,WLAN 网络作为一个新兴应用,与
7、其对应的相关安全防护法律、法规还相对空白,相关技术和产品也处于刚刚起步的状态。无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 4即便如此,现实问题是,我们已经建设完成或正在兴建的大量的 WLAN 网络,如何有效的进行安全防护,是每一个安全厂商和 WLAN 设备供应商,应该共同面对的问题。针对这种现状,作为国内信息安全的领航者,启明星辰率先推出了无线安全引擎 WSE,通过将该引擎集成到现有的天清系列、天阗系列、天镜系列、天玥系列等有线安全防护产品中,形成有线无线一体化的统一安全解决方案。2 发展史2.1 无线对传统安全的挑战有线网络安全设备主要部署在网络出口,防范来自互联网的
8、安全威胁,由于网络位置及防护技术的限制, 在应对 WLAN 无线安全威胁时往往力不从心。使用传统防火墙防护无线网络,只能在有线网络出口阻止非法无线客户端,无法阻止无线客户端通过射频信号接入 AP,而一旦非法无线客户端接入 AP,相当于进入企业内网,信息泄露的大门已经打开。Internet防火墙构造的有线网络安全边界形同虚设无线网络使网络物理边界模糊、消失图 1.传统安全面临的挑战传统安全方案,无法阻止流氓 AP(例如员工私自接入有线网络的 AP),而一旦接入不符合安全策略的流氓 AP,内网数据的安全将无法得到保障。基于有线的安全网关,对于无线扫描、无线欺骗、无线破解、无线 DoS 等攻击更是鞭
9、长莫及,无法防护。无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 5无线 MAC 采用共享机制,效率较低,带宽和时延也随之变差,在承载视频、语音等实时业务时,会面临更大的挑战。而基于无线网络的多种应用共存时,情况会更复杂化,如何有效管理无线网络应用,提升用户使用体验?用户无法了解射频开放空间中的无线网络状况,谁在使用无线网络?有没有非法无线客户端接入?是否存在无线网络攻击?这些问题,传统的有线安全手段均无法解决。2.2 为什么需要无线安全Gartner 数据显示,在众多网络安全威胁中,WLAN 所面临的安全威胁处于最高风险等级,形势迫在眉睫。图 2.传统安全面临的挑战针对
10、WLAN 的攻击方法、工具层出不穷 流氓 AP Ad Hoc 连接 无线 DOS 攻击无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 6 无线破解 无线中间人攻击 无线钓鱼 无线扫描与探测 Windows7 无线风险 等等图 3.无线网络面临的风险合规性要求,美国已有相关法规,国内暂时空白 DISA(美国数据交换标准协会)要求美国国防部网络,无论是否部署了 WLAN 设备,必须部署 WIDS/WIPS 设备,724 小时不间断监测网络。 PCI DSS(支付卡行业与数据安全标准)要求每季度对所有支付卡场所进行一次无线扫描,无论该场所是否部署了无线设备。无线安全技术白皮书启明
11、星辰 无线风险管理 威胁一体防御http:/ 7图 4.美国无线安全相关法规2.3 无线安全常见误区无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 8 无线安全常见误区及分析 WLAN 安全关键问题 防火墙、UTM 等有线安全设备是否能防护 WLAN 网络,阻止WLAN 网络攻击? 对于没有部署 WLAN 的网络,如何确定真的没有人使用无线? 对于部署了 WLAN 的网络,管理员能否清晰的了解无线网络状态和面临的威胁(Who 、When、Where、How)? 当员工大量使用无线智能终端时,如何确定企业数据没有泄露的风险? 如果企业不允许上外网,如何确定员工没有通过隔壁的
12、WLAN 网络或无线热点连接外网? 针对不断上升的 WLAN 风险,安全和无线厂商也在不断推出相应的解决方案,先后出现过物理层干扰、链路层防护、网络层加密、应用层发现等无线安全解决方法。 在多种 WLAN 安全方案中,无线入侵防御逐渐成为一种被认可的主流WLAN 安全解决方案。无线安全技术白皮书启明星辰 无线风险管理 威胁一体防御http:/ 93 产品综述3.1 产品综述启明星辰无线安全引擎的主要特性包括:无线防火墙,结合射频信号及 802.11 特点,提供创新的无线防火墙安全策略,可根据 AP 或 Station 的安全属性定制无线网络准入规则,通过射频信号阻止非法用户接入,建立射频安全区
13、,提供具有物理安全、可信的无线网络。无线入侵防御,提供包括无线扫描、欺骗、DoS、破解等多个大类数十种无线攻击的检测、告警、阻断功能,同时提供多种类型流氓 AP 的检测与阻断,彻底杜绝内网机密通过无线网络向外泄露。丰富的报表统计,提供无线网络实时拓扑、雷达图、柱状图、饼状图、攻击排名等多种丰富统计,无线安全状态一目了然。3.2 特点说明 无线防火墙完全兼容用户原有无线网络 支持有线网络旁路接入 防护所有类型 WLAN 设备,提供最大兼容性 无线防火墙提供完善的安全策略 用户可根据自己 WLAN 资产的属性设定无线安全策略 支持 WLAN 资产的分类对象定义,例如以设备厂家区分 建立具有物理安全特性的射频安全区 无线防火墙提供可靠的射频阻断 对于违反无线安全策略的 WLAN 设备,无线安全引擎通过射频信号将其阻断,使其无法接入到指定无线网络 射频阻断及时、可靠,保证无线网络的物理安全,安全等级提升至有线网络水平
