无线宽带联盟发布Wi-Fi漫游安全指南

执行摘要

无线宽带联盟（WBA）发布了一套全面的公共Wi-Fi漫游网络安全指南，解决了不同网络运营商处理认证凭证方面的关键缺口。这些指南针对使用Passpoint（Hotspot 2.0）和OpenRoaming技术的网络，不一致的安全实施可能会使用户面临凭证盗窃和中间人攻击的风险。

技术分析

WBA的文件《Wi-Fi Roaming Security Practices for Access Network Providers and Identity Providers》重点介绍了凭证传输过程的端到端安全。当用户漫游到合作伙伴网络时，他们的认证凭证必须穿越多个行政领域。这种传输的安全性在很大程度上取决于链中每个运营商选择的协议和配置。

指南为三个核心领域规定了强制性和推荐性做法：认证、加密和凭证处理。一个主要关注点是使用未加密的RADIUS，这可能会暴露在网络接入点、控制器和认证服务器之间传输的凭证。WBA倡导使用RADIUS over TLS（RadSec）或IPsec来保护这些通信。对于凭证验证，文件强调使用EAP-TLS，它提供了基于证书的双向认证，作为最强大的方法。它还提供了关于如何保护较弱但通常部署的方法，如EAP-TTLS/MSCHAPv2的指导。

此外，指南还涉及身份提供商（IdPs）对凭证的安全存储和传输的需求，以及在漫游联邦基础设施内需要强大的访问控制和日志记录，以检测和调查异常情况。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

在不安全的Wi-Fi漫游架构上的潜在攻击向量与几个MITRE ATT&CK技术一致。对手可能采用：

• 凭证访问（T1555）：嗅探未加密的RADIUS或EAP通信以收集用户凭证。
• 中间人（T1557）：拦截并可能修改用户和认证服务器之间的网络流量，特别是在使用易受攻击的EAP方法的网络上。
• 利用公共面向应用程序（T1190）：针对漫游交换或联邦服务器中的弱点，以未经授权的方式访问凭证数据库。 缺乏标准化的安全允许这些技术在相对较低的复杂性下执行，如果漫游链中的单个运营商有薄弱的控制。

威胁行为者背景

虽然这些指南是预防性的，并不针对特定的活跃活动，但威胁模型涵盖了广泛的行动者。机会主义攻击者可以利用自动化工具在保护不善的公共网络上嗅探凭证。更高级的持续性威胁（APTs）或有组织的网络犯罪集团可能会针对特定电信或酒店提供商的漫游基础设施，以大规模收集凭证，促进进一步的情报收集或金融欺诈。漫游联邦固有的信任使它们成为供应链式攻击的高价值目标。

缓解措施与建议

WBA指南作为主要的缓解框架。对网络运营商和身份提供商的关键建议包括：

1. 强制RADIUS加密：在网络元素之间部署RadSec或IPsec进行所有RADIUS通信，特别是在行政边界之间。
2. 优先使用强大的EAP方法：在可行的情况下实施带有客户端证书的EAP-TLS。对于基于密码的方法，确保EAP-TTLS或PEAP配置有强大的隧道加密，并在客户端强制执行服务器证书验证。
3. 加强联邦基础设施：对所有参与漫游凭证交换的系统应用严格的访问控制、网络分段和全面的审计日志记录。
4. 进行安全审计：定期评估端到端漫游路径，包括可能的合作伙伴基础设施，以验证符合安全基线。
5. 计划后量子密码学：指南指出未来需要过渡到量子抗性算法，建议运营商应开始架构规划。