《无线安全引擎技术白皮书》由会员分享,可在线阅读,更多相关《无线安全引擎技术白皮书(35页珍藏版)》请在金锄头文库上搜索。
1、天清汉马USG一体化安全网关产品技术红皮书无线安全技术白皮书-无线风险管理 威胁一体防御-启明星辰Beijing Venustech Cybervision Co., Ltd.2013 年 7月北京启明星辰信息技术有限公司http:/i无线安全技术白皮书版 权 声 明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复
2、制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编:100193电话:010-82779088传真:010-82779000您可以访问启明星辰网站:获得最新技术和产品信息。目 录1概述32发展史42.1无线对传统安全的挑战42.2为什么
3、需要无线安全52.3无线安全常见误区73产品综述93.1产品综述93.2特点说明93.3产品系列简介114体系架构说明124.1产品构成124.2软件结构124.3管理结构135关键技术145.1基于无线网络架构的自动学习技术145.2高效的无线攻击检测技术165.3一体化的关联分析技术195.4基于射频的精确阻断技术216典型组网266.1有线无线一体化IDS266.2有线无线一体化USG276.3有线无线一体化防火墙286.4有线无线一体化IPS296.5有线无线一体化审计316.6有线无线一体化扫描327产品资质338服务支持33启明星辰 无线风险管理 威胁一体防御http:/ii1 概
4、述IDC报告显示,2010年全球WLAN市场收入创纪录地突破了50亿美元,较上一年增长25%。WLAN作为企业基础网络设施之一,已成为不可逆转的趋势。 小型企业、家用办公(Soho)方面的销售超过了30亿美元。 企业无线局域网方面的销售超过了20亿美元,为近5年来最大增幅。 在企业无线局域网中,教育和医疗两个垂直行业占据最大的市场份额。 IDC报告显示,2010年国内WLAN市场收入超过23亿元(不含Soho产品)。国内WLAN市场持续多年保持亚太地区最快的增长率,得益于智能终端的普及和行业无线局域网的快速发展。 其中运营商建设的热点以及由其推动的行业无线网络超过16亿元,预计2011年这部分
5、销售额将达到25亿元,同比增长超过150。国内三大运营商已经明确了把WLAN网络作为3G网络有益补充这一战略,因此WLAN设备在各大运营商的采购量和建设量都在逐年大幅度增加,中国移动和中国电信都计划三年内建设100万WLAN热点,而中国联通仅2010年就招标了20万台WLAN设备。 中小企业(不含Soho)销售超过了7亿元,相对于运营商主导的WLAN市场,企业无线网络份额不到一半,但保持着较高的利润水平。 在国内WLAN市场中,教育、制造业、政府、医疗等行业占据了近一半的份额。然而,WLAN网络建设热潮构成鲜明对比的是,WLAN网络安全防护设备在组网方案中的普遍缺失。随着人们对WLAN网络安全
6、担忧的加剧,目前在欧美等国家,已经出台了WLAN安全相关法规和技术管理办法,一些重要的场合已经考虑了隐藏在开放空间中的WLAN安全威胁,或部署WLAN安全防护产品,或定期进行WLAN安全检查。而在我国,WLAN网络作为一个新兴应用,与其对应的相关安全防护法律、法规还相对空白,相关技术和产品也处于刚刚起步的状态。即便如此,现实问题是,我们已经建设完成或正在兴建的大量的WLAN网络,如何有效的进行安全防护,是每一个安全厂商和WLAN设备供应商,应该共同面对的问题。针对这种现状,作为国内信息安全的领航者,启明星辰率先推出了无线安全引擎WSE,通过将该引擎集成到现有的天清系列、天阗系列、天镜系列、天玥
7、系列等有线安全防护产品中,形成有线无线一体化的统一安全解决方案。2 发展史2.1 无线对传统安全的挑战有线网络安全设备主要部署在网络出口,防范来自互联网的安全威胁,由于网络位置及防护技术的限制, 在应对WLAN无线安全威胁时往往力不从心。使用传统防火墙防护无线网络,只能在有线网络出口阻止非法无线客户端,无法阻止无线客户端通过射频信号接入AP,而一旦非法无线客户端接入AP,相当于进入企业内网,信息泄露的大门已经打开。 Internet防火墙构造的有线网络安全边界形同虚设无线网络使网络物理边界模糊、消失图1. 传统安全面临的挑战传统安全方案,无法阻止流氓AP(例如员工私自接入有线网络的AP),而一
8、旦接入不符合安全策略的流氓AP,内网数据的安全将无法得到保障。基于有线的安全网关,对于无线扫描、无线欺骗、无线破解、无线DoS等攻击更是鞭长莫及,无法防护。无线MAC采用共享机制,效率较低,带宽和时延也随之变差,在承载视频、语音等实时业务时,会面临更大的挑战。而基于无线网络的多种应用共存时,情况会更复杂化,如何有效管理无线网络应用,提升用户使用体验?用户无法了解射频开放空间中的无线网络状况,谁在使用无线网络?有没有非法无线客户端接入?是否存在无线网络攻击?这些问题,传统的有线安全手段均无法解决。2.2 为什么需要无线安全Gartner数据显示,在众多网络安全威胁中,WLAN所面临的安全威胁处于
9、最高风险等级,形势迫在眉睫。图2. 传统安全面临的挑战针对WLAN的攻击方法、工具层出不穷 流氓AP Ad Hoc连接 无线DOS攻击 无线破解 无线中间人攻击 无线钓鱼 无线扫描与探测 Windows7无线风险 等等图3. 无线网络面临的风险合规性要求,美国已有相关法规,国内暂时空白 DISA(美国数据交换标准协会)要求美国国防部网络,无论是否部署了WLAN设备,必须部署WIDS/WIPS设备,724小时不间断监测网络。 PCI DSS(支付卡行业与数据安全标准)要求每季度对所有支付卡场所进行一次无线扫描,无论该场所是否部署了无线设备。图4. 美国无线安全相关法规2.3 无线安全常见误区 无
10、线安全常见误区及分析 WLAN安全关键问题n 防火墙、UTM等有线安全设备是否能防护WLAN网络,阻止WLAN网络攻击?n 对于没有部署WLAN的网络,如何确定真的没有人使用无线?n 对于部署了WLAN的网络,管理员能否清晰的了解无线网络状态和面临的威胁(Who、When、Where、How)?n 当员工大量使用无线智能终端时,如何确定企业数据没有泄露的风险?n 如果企业不允许上外网,如何确定员工没有通过隔壁的WLAN网络或无线热点连接外网? 针对不断上升的WLAN风险,安全和无线厂商也在不断推出相应的解决方案,先后出现过物理层干扰、链路层防护、网络层加密、应用层发现等无线安全解决方法。 在多
11、种WLAN安全方案中,无线入侵防御逐渐成为一种被认可的主流WLAN安全解决方案。3 产品综述3.1 产品综述启明星辰无线安全引擎的主要特性包括:无线防火墙,结合射频信号及802.11特点,提供创新的无线防火墙安全策略,可根据AP或Station的安全属性定制无线网络准入规则,通过射频信号阻止非法用户接入,建立射频安全区,提供具有物理安全、可信的无线网络。无线入侵防御,提供包括无线扫描、欺骗、DoS、破解等多个大类数十种无线攻击的检测、告警、阻断功能,同时提供多种类型流氓AP的检测与阻断,彻底杜绝内网机密通过无线网络向外泄露。丰富的报表统计,提供无线网络实时拓扑、雷达图、柱状图、饼状图、攻击排名
12、等多种丰富统计,无线安全状态一目了然。3.2 特点说明 无线防火墙完全兼容用户原有无线网络 支持有线网络旁路接入 防护所有类型WLAN设备,提供最大兼容性 无线防火墙提供完善的安全策略 用户可根据自己WLAN资产的属性设定无线安全策略 支持WLAN资产的分类对象定义,例如以设备厂家区分 建立具有物理安全特性的射频安全区 无线防火墙提供可靠的射频阻断 对于违反无线安全策略的WLAN设备,无线安全引擎通过射频信号将其阻断,使其无法接入到指定无线网络 射频阻断及时、可靠,保证无线网络的物理安全,安全等级提升至有线网络水平图5. 无线防火墙技术原理 无线入侵防御完全兼容用户原有无线网络n 支持有线网络
13、旁路接入n 防护所有类型WLAN设备,提供最大兼容性 无线入侵检测提供丰富的攻击检测n 包括流氓AP、无线扫描、无线欺骗、无线钓鱼、DoS、破解等6大类无线攻击的检测n 支持几十种主流无线攻击防护,不间断的保证企业无线网络安全 无线入侵检测支持多层次联动机制n 与无线防火墙联动,通过无线防火墙的射频阻断技术,及时阻断无线攻击,使得网络攻击者无从下手n 将来可与有线网络设备联动,即使黑客多次尝试后通过未部署无线安全引擎的无线网络找到漏洞攻入,由于无线安全引擎将其列入黑名单通知有线设备,攻击者依然会被阻断,提高整体网络安全性。图6. 无线入侵防御技术原理 无线安全策略n 无线防火墙规则n 无线入侵
14、检测 无线安全统计n 无线拓扑发现n 无线设备列表n 无线设备分布3.3 产品系列简介无线安全引擎 WS100n 低端无线安全引擎,桌面型设备,支持壁挂安装使用,适用于覆盖面积较小的无线网络,或中大型无线网络分布式组网使用n 可无障碍覆盖500平方米区域n 支持8台内网AP安全防护。 WS200n 低端无线安全引擎,适用于覆盖面积较小的无线网络,或中大型无线网络分布式组网使用n 可无障碍覆盖500平方米区域n 支持8台内网AP安全防护。 WS1000n 中端无线安全引擎,适合覆盖面积较大的中型无线网络使用n 可无障碍覆盖2000平方米区域n 支持32台内网AP安全防护。3.4 产品覆盖方式启明星辰无线安全引擎采用了2.4GHz/5GHz双频、垂直极化、水平360度覆盖的5dB全向天线。其无线电覆盖的模型如下图,以WSE为圆心,呈铁饼形状,因此应该将WSE部署在需防护区域的中心位置,才会取得较好的效果。图7. WSE无线覆盖模型4 体系架构说明4.1 产品构成无线安全引擎主要由以下几部分组成
