返回
wlan系统安全评估报告

wlan系统安全评估报告

ID:10119294

大小:4.03 MB

页数:88页

时间:2018-06-11

wlan系统安全评估报告_第1页
wlan系统安全评估报告_第2页
wlan系统安全评估报告_第3页
wlan系统安全评估报告_第4页
wlan系统安全评估报告_第5页
资源描述:

《wlan系统安全评估报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、密级:商业秘密文档编号:贵州移动网络与信息安全服务项目WLAN系统风险评估报告V1.0安氏领信科技发展有限公司二〇二一年六月版本控制版本日期参与人员更新说明1.02011-07-28姚一国文档建立分发控制编号读者文档权限与文档的主要关系1安氏项目组创建、修改、读取读者、编辑2贵州移动项目组读取读者、本文档存档目录第1章综述1第2章概述22.1背景22.2目的22.3读者32.4评估范围32.4.1H3C无线控制器32.4.2傲天动联无线控制器32.4.3国人无线控制器42.4.4Motorola无线控制器4第3章业务安全评估结果53.1利用DNS漏洞绕过Portal认证访问互联网53.

2、2移动WLANPortal业务订购短信滥用83.3Portal推送地址未做严格限制113.4Portal推送地址包含敏感信息133.5能够通过公网访问portal并通过认证15第4章客户信息视图174.1客户信息流程视图分析174.1.1用户上线认证流程174.1.2用户下线流程204.1.3动态密码申请流程224.1.4用户自服务功能流程23第5章PORTAL应用安全检查结果285.1集团Portal认证系统285.1.1中国移动WLANportal存在缓冲区溢出漏洞285.1.2中国移动WLANprotal存在目录遍历漏洞295.1.3中国移动WLANprotal存在敏感信息泄露3

3、05.1.4移动集团WLANprotal提供与业务不相关服务31第6章网络架构评估结果336.1网络拓扑图336.2网络架构安全分析336.2.1未进行安全域划分346.2.2地址规划方式存在缺陷346.2.3远程管理方式存在风险346.2.4远程管理协议356.2.5日志审计、账号管理问题35第7章系统安全漏洞检测结果367.1无线控制器367.1.1[H3C]218.201.226.138[贵州移动公司]367.1.2[H3C]218.201.203.218[贵阳中医药学院]387.1.3[国人]117.135.211.3[贵阳]417.1.4[国人]117.135.211.5[贵

4、阳]457.1.5[Motorola]218.201.203.203[学校]487.1.6[Motorola]218.201.240.171[学校]517.1.7[傲天]218.201.234.228[铜仁]53第8章安全基线检查结果598.1无线控制器598.1.1[H3C]218.201.226.138[贵州移动公司]598.1.2[H3C]218.201.203.218[贵阳中医药学院]628.1.3[国人]117.135.211.3[贵阳]658.1.4[国人]117.135.211.5[贵阳]688.1.5[Motorola]218.201.203.203[学校]718.1.

5、6[Motorola]218.201.240.171[学校]768.1.7[傲天]218.201.234.228[铜仁]79第1章综述此次WLAN业务系统评估包括了CMCC及CMCC-EDU两套WLAN业务系统。WLAN统评估中主要通过工具检查、人工检查、访谈、应用渗透测试、无线渗透测试、网络抓包分析等方法,对系统的业务流程、网络架构、业务系统、无线专用设备等进行了综合的评估。通过全面的评估,综合分析运算最终得到了WLAN业务系统安全风险的全貌。WLAN业务系统安全风险分布视图,主要呈现评估中,发现的严重的安全风险,在业务流程和系统安全层面上存在的问题比较严重,在评估系统安全中发现无线

6、控制器存在“无线控制器绕过认证下载配置”的高危漏洞。此漏洞危害极大,通过此漏洞可获得AC的控制权限,给WLAN业务系统造成一定的经济损失及政治风险。业务流程评估中发现的严重的安全问题为“DNS绕过计费漏洞”“AC公网访问控制不严”、“存在SNMP默认通行字符串”的问题,AC极易遭受DDOS、Sniffer等攻击,导致密码被窃取,以及设备被恶意利用,这些问题能够给WLAN业务系统造成直接经济损失。下图为抽样中发现的威胁柱形图:83第1章概述1.1背景随着贵州移动网络IP化、终端智能化以及3G业务的逐步开展,移动业务通过IP方式实现降本增效,提高业务灵活性等优势的同时,全IP网络使得越来越

7、多的安全威胁被引入到移动网络中。过去开展的安全风险评估、渗透测试大部分仅停留在系统和设备安全配置上,缺乏对应用层、通信业务的全面评估和加固手段,且评估范围有限,不能全面发现漏洞,无法应对日新月异的业务系统安全威胁。本项目将重点对贵州移动在电信业务方面进行网络安全服务,以提高业务系统的安全水平和安全应急保障能力。1.2目的本次贵州移动网络与信息安全服务项目的主要目标及重点是:l清晰了解中国移动贵州公司业务系统的安全现状,主动发现漏洞与威胁并及时的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。