WLAN(Wireless Local Area Networks, 无线局域网) 具有安装便捷, 使用灵活, 经济节约和易于扩展等有线网络无法比拟的优点, 因此得到越来越广泛的使用. 但由于 WLAN 信道开放的特点, 使得无线网络很容易受到各种网络威胁的影响, 如冒牌的 AP(Access Point, 无线接入点) 设备, Ad-hoc(无线自组网), 各种针对无线网络的协议攻击等等, 因此安全性成为阻碍 WLAN 发展的重要因素. 如下图所示, 在过去的一年内我们可以看到无线网漏洞, 钓鱼 Wi-Fi 窃取信息事件仍在发生.
图 1: 各种无线网漏洞和攻击的新闻
那么,
面对安全恐慌, 我们应该如何应对?
这些新闻跟无线办公网有关吗?
要如何构建安全稳定的无线办公网?
怎样才能在源头控制住无线网络钓鱼 Wi-Fi 窃取信息呢?
下面我将针对无线网络射频安全 -- 非法设备反制技术进行分享, 主要实现方式是在无线接入阶段进行安全控制. 传统无线反制技术中 Rogue AP(非法 AP) 反制可以分为三个步骤: 1,Rogue AP 的检测; 2,Rogue AP 的判定; 3,Rogue AP 反制. 在传统反制技术实现过程中也存在一定局限性, 例如无法做到 Rogue AP 定位等功能. 本文将针对传统反制技术和 Rogue AP 定位技术进行简述, 希望可以给大家在无线办公网安全方案设计中带来一些帮助.
Rogue AP 检测技术
无线网络环境中进行 Rogue AP 检测技术, 主要通过一台专用探测 AP 或者混合形式 AP 捕捉空气介质中的无线信标帧来进行分辨. 实现流程是探测 AP 会发送广播探查报文, 收到探查请求报文的设备将进行响应, 探测 AP 根据空气中捕获的报文以及响应报文就可以分辨周围的设备类型. 此外, 探测 AP 还可制定非法设备检测规则, 对周围无线网络环境进行实时监控.
目前可以识别出的设备类型有 AP,STA(Station, 无线终端), 无线网桥和 Ad-hoc 设备. AP 识别设备类型的方法是通过监测收集回来的所有 802.11 报文, 根据数据报文的 DS 域来判断究竟是哪种设备类型:
设备类型
|
802.11 MAC 帧的 Frame Control 字段
| |
To DS
|
From DS
| |
AP
|
0
|
1
|
STA
|
1
|
0
|
无线网桥
|
1
|
1
|
Ad-hoc 设备
|
0
|
0
|
图 2: 设备类型表
图 3:DS 值 0x00, 设备类型为 AD-HOC
图 4:DS 值为 0x01, 设备类型为 STA
Rogue AP 判断流程
AP 将收集到的设备信息定期上报 AC(Access Controller, 无线控制器).AC 通过监测结果判断该设备是否为非法设备, 主要识别分类可以归纳为接入点和无线终端两大类. 下面使用两个流程图分别说明非法接入点和非法终端的判定规则:
图 5:Rogue AP 判断规则流程
图 6:Rogue station 判断规则流程
Rogue AP 反制技术
经过以上两个步骤确认该无线设备为 Rogue AP 后, 无线控制器根据开启对应反制模式进行反制, 反制动作就是探测 AP 在检测到 Rogue AP 设备信息后, 探测 AP 模拟非法 AP 的射频卡 BSSID(Basic Service Set Identifier, 基本服务单元标识符) 地址发送解认证或者解关联报文. 关联到非法 AP 上的无线终端收到这些报文后, 认为是非法 AP 要主动断开连接, 无线终端经过几次反制后就不再关联到非法 AP 设备上了. 具体流程如下图:
图 7: 反制过程图例
反制模式可以基于信道, 设备类型, SSID 名称和手动配置指定 BSSID 或 MAC 等方式, 根据无线网络实际环境及实际需求进行选择定义.
反制效果进阶方案
传统无线反制技术可以满足一部分非法信号反制, 但也存在一些局限性, 无法做到 Rogue AP 或者非法用户定位, 只能通过探测 AP 布放位置进行大概评估范围, 给办公网运维带来很大不便. 同时随着技术发展, 部分员工出于自己使用方便或建私网的目的, 可能将普通家用路由器插入到公司内网有线网口中并释放私设 Wi-Fi 信号; 另一方面, 当前市面上 360Wi-Fi, 猎豹 Wi-Fi 等第三方软 AP 非常普遍, 员工不经意间可能就将内网共享出去了. 这些行为无疑将暴露公司内网, 攻击者很可能连上私设 Wi-Fi 信号, 并扫描内网服务器端口, 窃取内网信息.
图 8: 员工造成内网泄露
针对以上传统无线反制技术的局限性, 可通过无线安全雷达功能, 配合创新性硬件架构, 完成 24 小时全方位射频安全检测和保护, 通过精细化信号分类算法, 让客户无线网络环境清晰可见, 无线安全尽在掌握.
图 9: 无线安全雷达功能
针对解决普通家用路由器插入到公司内网有线口中并释放私设 Wi-Fi 信号的问题, 无线安全雷达可通过采集无线网络中的 Wi-Fi 信号, 结合大数据分析, 实时构建私设 Wi-Fi 的信号画像, 再通过 SNMP(Simple Network Management Protocol, 简单网络管理协议) 协议调取交换机上 MAC 地址等信息进行比对, 可以准确定位出该信号是由哪个交换机端口的无线路由器所释放, 再配合告警功能完成非法无线 AP 及时告警及去除.
针对解决第三方软 AP 释放信号的问题, 安全雷达先采集无线网络中的 Wi-Fi 信号, 根据非法 BSSID 值与现网中所有终端无线网卡 MAC 地址进行大数据分析, 对比出类似 MAC, 再配合认证系统中注册的用户名密码匹配的 MAC, 对非法第三方软 AP 释放出的人员信息进行定位.
因此在传统无线反制基础上增加针对 Rogue 设备的定位技术, 给 IT 人员提供了很好的私设 Wi-Fi 定位管理方法, 大大降低因员工不经意间搭建的私设 Wi-Fi 而导致内网暴露的安全风险, 同时对于恶意攻击者也起到了很好的攻击举证, 风险管控和震慑效果.
以上就是无线 AP 反制 Rogue AP 的技术实现机制. 俗话说, 三分靠技术, 七分靠管理, 只有从管理角度制定好更合理的无线接入方式以及更合理的无线管理流程, 稍加辅以一些新技术, 就能让无线网络更加安全, 可靠, 健全.
目前锐捷网络针对办公网推出无线 NEW 办公解决方案, 对传统的射频防御方案进行了精进, 从扫描, 识别, 告警和防御 4 个方面重新设计无线安全, 做到 24 小时全方位射频防御多种攻击, 智能安全分析, 办公网络安全可视可知.
来源: http://www.51cto.com/art/201805/572290.htm