WIDS和WIPS無線WLAN技術(shù)深度解析

1、WIDS和WIPS無線WLAN技術(shù)深度解析目錄WIDS&WIPS應(yīng)用場(chǎng)景WIDS&WIPS簡(jiǎn)介WIDS&WIPS WEB配置1234WIDS&WIPS原理WIDS&WIPS發(fā)展背景 隨著黑客技術(shù)的提高，無線局域網(wǎng)(WLANs)受到越來越多的威脅。配置無線基站(WAPs)的失誤導(dǎo)致會(huì)話劫持以及拒絕服務(wù)攻擊(DoS)都象瘟疫一般影響著無線局域網(wǎng)的安全。無線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于國(guó)際電氣和電子工程師協(xié)會(huì) (IEEE) 發(fā)行802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。 802.11網(wǎng)絡(luò)很容易受到未授權(quán)AP、Ad-hoc 網(wǎng)絡(luò)、DDos拒絕服務(wù)攻擊等網(wǎng)絡(luò)威

2、脅 ，其中Rogue設(shè)備對(duì)無線網(wǎng)絡(luò)安全影響尤其嚴(yán)重。為了更好的檢測(cè)和防御這些潛在的威脅，無線局域網(wǎng)引入WIDS&WIPS技術(shù) ，可對(duì)惡意用戶攻擊和入侵無線網(wǎng)絡(luò)行為進(jìn)行早期檢測(cè)，幫助網(wǎng)絡(luò)管理者主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的隱患，在第一時(shí)間對(duì)無線攻擊者進(jìn)行主動(dòng)防御和預(yù)警。WIDS&WIPS功能概述WIDS(Wireless Intrusion Detection System) 無線入侵檢測(cè)系統(tǒng)，依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，分析用戶的活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)。WIPS(Wireless Intrusion Prevention System) 無線入侵防預(yù)系統(tǒng)，通過對(duì)無線

3、網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)，對(duì)于檢測(cè)到的入侵事情，攻擊行為進(jìn)行主動(dòng)防御和預(yù)警。 無線局域網(wǎng)的安全威脅安全威脅DOS拒絕服務(wù)攻擊數(shù)據(jù)易被獲取地址欺騙攻擊安全協(xié)議WEP脆弱Rogue設(shè)備入侵Rogue設(shè)備攻擊InternetAd-HocRogue APRogue Client無線網(wǎng)橋eSight非法測(cè)聽、weak iV、flood、spoof攻擊、暴力破解等空口識(shí)別ACMonitor AP數(shù)據(jù)非法共享,通信無安全設(shè)置，數(shù)據(jù)易泄露易實(shí)施測(cè)聽，可發(fā)起中間人攻擊私自接入AP安全性低攻擊者AP，中斷合法用戶鏈接，誘惑關(guān)聯(lián)并獲取信息其它常見攻擊類型泛洪攻擊欺騙攻擊Weak IV（弱向量）攻擊暴力破解攻擊攻擊者短時(shí)間內(nèi)發(fā)

4、送大量同類型的報(bào)文，導(dǎo)致WLAN設(shè)備被泛洪報(bào)文淹沒而無法處理合法用戶請(qǐng)求。也稱為中間人攻擊，指攻擊者（惡意AP或惡意用戶）冒充合法設(shè)備向STA發(fā)送欺騙攻擊報(bào)文導(dǎo)致STA無法上線。采用WEP加密方式時(shí)，在發(fā)送每個(gè)報(bào)文前都會(huì)使用一個(gè)3字節(jié)的初始向量IV（Initialization Vector）和固定的共享密鑰一起加密報(bào)文，使相同的共享密鑰產(chǎn)生不同的加密效果。當(dāng)AP使用弱IV（初始向量IV的第一個(gè)字節(jié)取值為315，第二個(gè)字節(jié)取值為255時(shí)，即為弱IV），STA發(fā)送報(bào)文時(shí)IV作為報(bào)文頭的一部分被明文發(fā)送，攻擊者很容易暴力破解出共享密鑰后訪問網(wǎng)絡(luò)資源又稱為窮舉法，一種密碼破譯方法，將密碼進(jìn)行逐個(gè)推算

5、直到找出真正密碼為止。理論上利用該方法可以破解任何一種密碼，問題只在于如何縮短破解時(shí)間。當(dāng)采用WPA/WPA2-PSK，WAPI-PSK，WEP-Share-Key時(shí)，攻擊者可利用暴力破解法來破解密碼。目錄WIDS&WIPS應(yīng)用場(chǎng)景WIDS&WIPS簡(jiǎn)介WIDS&WIPS WEB配置1234WIDS&WIPS原理802.11 管理幀介紹802.11 MAC Header中Frame Control域如下所示：Frame Control的Type域?yàn)?0時(shí)表明是管理幀，再根據(jù)Subtype域判斷管理幀類型：0000：Association Request(關(guān)聯(lián)請(qǐng)求)0001：Associatio

6、n Response(關(guān)聯(lián)響應(yīng))0010：Reassociation Request(重關(guān)聯(lián)請(qǐng)求)0011：Reassociation Response(重關(guān)聯(lián)響應(yīng))0100：Probe Request(探測(cè)請(qǐng)求)0101：Probe Response(探測(cè)響應(yīng))1000：Beacon(信標(biāo)幀)1010：Disassociation(解除關(guān)聯(lián))1011：Authentication(身份驗(yàn)證)1100：Deauthentication(解除身份驗(yàn)證)802.11數(shù)據(jù)幀介紹Frame Control 的Type域?yàn)?0時(shí)表明該幀為數(shù)據(jù)幀，根據(jù)To DS和From DS域來指示幀的目的地是否為分步

7、式系統(tǒng)。To DSFrom DS意義00非基礎(chǔ)型網(wǎng)絡(luò)的數(shù)據(jù)幀，即網(wǎng)絡(luò)主機(jī)間傳輸?shù)臄?shù)據(jù)幀01基礎(chǔ)網(wǎng)絡(luò)里無線工作站（如AP)所發(fā)送的數(shù)據(jù)幀10基礎(chǔ)網(wǎng)絡(luò)里無線工作站（如AP)所收到的數(shù)據(jù)幀 11無線橋接器上的數(shù)據(jù)幀 ，如WDS網(wǎng)絡(luò)中AP之間的數(shù)據(jù)幀To DS和From DS域意義：無線網(wǎng)絡(luò)設(shè)備識(shí)別管理幀：根據(jù)802.11 MAC幀F(xiàn)rame Body中網(wǎng)絡(luò)類型來識(shí)別：To DSFrom DS設(shè)備類型00Ad-hoc設(shè)備01AP10STA11無線網(wǎng)橋管理幀類型網(wǎng)絡(luò)類型設(shè)備類型Probe Request、Association RequestReassociation Request獨(dú)立型網(wǎng)絡(luò)Ad-ho

8、c設(shè)備基礎(chǔ)型網(wǎng)絡(luò) STABeacon、Probe Response、Association Response和Reassociation Response獨(dú)立型網(wǎng)絡(luò) Ad-hoc設(shè)備基礎(chǔ)型網(wǎng)絡(luò) AP數(shù)據(jù)幀：根據(jù)To DS&From DS域來識(shí)別：AP工作模式接入模式AP僅傳輸WLAN用戶的數(shù)據(jù)，不進(jìn)行任何監(jiān)測(cè)。說明：如果使能背景鄰居探測(cè)功能進(jìn)行信道調(diào)優(yōu)時(shí)，AP是可以測(cè)聽802.11幀和掃描無線網(wǎng)絡(luò)設(shè)備。 監(jiān)測(cè)模式AP僅實(shí)現(xiàn)監(jiān)測(cè)功能，不提供無線接入服務(wù)。 AP依次掃描所有無線信道，測(cè)聽信道中所有802.11幀，監(jiān)測(cè)無線網(wǎng)絡(luò)中設(shè)備?；旌夏Ｊ紸P進(jìn)行工作信道的鄰頻和同頻掃描監(jiān)測(cè)無線網(wǎng)絡(luò)中設(shè)備，同時(shí)也

9、提供無線接入服務(wù)。AP信道掃描方式ap工作模式鄰居探測(cè)WIDS信道掃描方式monitor開開全信道掃描monitor開關(guān)全信道掃描monitor關(guān)開全信道掃描monitor關(guān)關(guān)不掃描hybrid開開全信道掃描（在工作信道和鄰居信道反復(fù)切換）hybrid開關(guān)全信道掃描（在工作信道和鄰居信道反復(fù)切換）hybrid關(guān)開本信道（工作信道）掃描hybrid關(guān)關(guān)不掃描normal開-全信道掃描（normal模式下也會(huì)限制開wids）normal開關(guān)全信道掃描normal關(guān)-不掃描（normal模式下也會(huì)限制開wids）normal關(guān)關(guān)不掃描非法AP檢測(cè)流程非法客戶端檢測(cè)流程Rogue設(shè)備監(jiān)測(cè)識(shí)別AP工作在

10、混合模式或監(jiān)測(cè)模式時(shí)進(jìn)行信道掃描，測(cè)聽周邊無線設(shè)備發(fā)送的所有802.11幀，根據(jù)802.11 MAC幀類型識(shí)別出周邊的無線設(shè)備類型，根據(jù)非法AP&客戶端檢測(cè)流程識(shí)別出Rogue設(shè)備。主要監(jiān)測(cè)設(shè)備：Rogue APRogue ClientAd hoc終端無線網(wǎng)橋InternetAd-HocRogue APRogue 終端無線網(wǎng)橋eSight監(jiān)測(cè)識(shí)別空口識(shí)別ACMonitor APRogue設(shè)備防范反制Rogue設(shè)備防范：針對(duì)Rogue設(shè)備配置黑名單功能來限制AP或者Client接入Rogue AP反制功能：監(jiān)測(cè)AP使用Rogue AP的MAC地址發(fā)送假?gòu)V播解除認(rèn)證幀或單播解除認(rèn)證幀，抑制無線用戶

11、和非法AP建立鏈接。Rogue Client、Ad hoc設(shè)備反制功能：監(jiān)測(cè)AP使用Rogue Client或Ad hoc設(shè)備的BSSID、MAC地址發(fā)送假單播解除認(rèn)證幀進(jìn)行反制，防止Rogue Client接入AP或斷開Ad-Hoc連接監(jiān)測(cè)AP根據(jù)自身的探測(cè)模式周期性對(duì)Rogue設(shè)備進(jìn)行反制。防范反制Rogue APeSightInternet無線用戶假解除認(rèn)證幀ACMonitor AP合法APRogue 終端假解除認(rèn)證幀假解除認(rèn)證幀Ad-HocWIDS泛洪攻擊檢測(cè)防范原理：AP持續(xù)監(jiān)控每個(gè)STA的流量，當(dāng)流量超出設(shè)置的閥值時(shí)，該STA被認(rèn)為正在網(wǎng)絡(luò)內(nèi)泛洪，AP上報(bào)告警信息給AC。使能動(dòng)態(tài)黑

12、名單時(shí)攻擊設(shè)備被加入動(dòng)態(tài)黑名單，AP丟棄該攻擊設(shè)備所有報(bào)文，以防對(duì)無線網(wǎng)絡(luò)造成沖擊。AP支持以報(bào)文進(jìn)行泛洪攻擊檢測(cè) 認(rèn)證請(qǐng)求幀Authentication Request 去認(rèn)證幀Deauthentication 關(guān)聯(lián)請(qǐng)求幀Association Request 去關(guān)聯(lián)幀Disassociation 探測(cè)幀Probe Request Action幀 EAPOL Start EAPOL-Logoff PS-Poll 802.11 Null數(shù)據(jù)幀InterneteSight網(wǎng)管平臺(tái)AC攻擊者合法終端上報(bào)告警Flood攻擊動(dòng)態(tài)黑名單正常業(yè)務(wù)請(qǐng)求無法處理1AP檢測(cè)Flood攻擊2WIDS Spoof攻

13、擊檢測(cè)欺騙報(bào)文類型：廣播型去關(guān)聯(lián)幀Disassociation廣播型去認(rèn)證幀Deauthentication檢測(cè)原理：當(dāng)AP接收到上述兩種報(bào)文，AP檢測(cè)報(bào)文源地址是否為AP自身MAC地址，如果是，則表示W(wǎng)LAN網(wǎng)絡(luò)受到解除認(rèn)證報(bào)文或解除關(guān)聯(lián)報(bào)文的欺騙攻擊，AP上報(bào)告警信息給AC。InterneteSight網(wǎng)管平臺(tái)AC合法終端上報(bào)告警無法正常上線惡意 AP假解除關(guān)聯(lián)幀12AP檢測(cè)假解除關(guān)聯(lián)幀WIDS Weak IV檢測(cè)檢測(cè)原理：通過識(shí)別每個(gè)WEP報(bào)文的IV來預(yù)防這種攻擊，當(dāng)含有弱向量的報(bào)文被檢測(cè)到，AP向AC上報(bào)告警信息，提醒用戶使用其他安全策略來避免STA使用弱向量加密。InterneteS

14、ight網(wǎng)管平臺(tái)AC合法終端上報(bào)告警賬號(hào)、密碼等用戶信息非法終端測(cè)聽并破解1AP檢測(cè)WEP報(bào)文Weak IV2防暴力破解PSK防范原理：主要通過延長(zhǎng)密碼破解時(shí)間來防暴力破解PSK密碼。AP通過檢測(cè)WPA/WPA2-PSK，WAPI-PSK，WEP-Share-Key認(rèn)證時(shí)，一定時(shí)間內(nèi)密鑰協(xié)商失敗次數(shù)是否超過配置的閾值，如果超過，則認(rèn)為該用戶在通過暴力破解密碼，AP上報(bào)告警信息給AC，如果使能動(dòng)態(tài)黑名單功能則AP將該用戶加入到黑名單列表，丟棄該用戶的所有報(bào)文，直至動(dòng)態(tài)黑名單老化。InterneteSight網(wǎng)管平臺(tái)AC暴力攻擊者上報(bào)告警動(dòng)態(tài)黑名單限制用戶暴力破解攻擊12AP檢測(cè)認(rèn)證失敗次數(shù)3目錄

15、WIDS&WIPS應(yīng)用場(chǎng)景WIDS&WIPS簡(jiǎn)介WIDS&WIPS WEB配置1234WIDS&WIPS原理WIDS&WIPS應(yīng)用場(chǎng)景一私接AP場(chǎng)景說明：?jiǎn)T工私自將家用胖AP接入企業(yè)園區(qū)網(wǎng)的接入交換機(jī)，由于胖AP安全性低，存在企業(yè)外部人員接入胖AP獲取企業(yè)重要資源的安全隱患。防護(hù)方案：企業(yè)園區(qū)WLAN網(wǎng)絡(luò)開啟Rogue設(shè)備檢測(cè)和反制功能，監(jiān)測(cè)AP檢測(cè)到胖AP并發(fā)送廣播解除認(rèn)證幀進(jìn)行反制，接入到胖AP的STA將與胖AP斷開連接，從而有效保護(hù)企業(yè)網(wǎng)絡(luò)的安全性。企業(yè)部門AC6605員工私接胖APInternetPOE交換機(jī)企業(yè)園區(qū)企業(yè)外部人員WIDS&WIPS應(yīng)用場(chǎng)景一攻擊者AP場(chǎng)景說明：攻擊者在銀

16、行營(yíng)業(yè)廳WLAN網(wǎng)絡(luò)中偷偷放置一臺(tái)非法AP2，配置與營(yíng)業(yè)廳WLAN網(wǎng)絡(luò)相同的SSID，同時(shí)推送虛假銀行服務(wù)。銀行客戶由于無法分辨，終端誤接入到攻擊者AP2，并進(jìn)行銀行業(yè)務(wù)辦理，銀行賬號(hào)用戶名和密碼被攻擊者獲取，財(cái)產(chǎn)受到重大損失。防護(hù)方案：銀行營(yíng)業(yè)廳WLAN網(wǎng)絡(luò)開啟Rogue設(shè)備檢測(cè)和反制功能，監(jiān)測(cè)AP檢測(cè)到非法AP2并發(fā)送廣播解除認(rèn)證幀進(jìn)行反制，銀行客戶STA將與非法AP2斷開連接，只能關(guān)聯(lián)到合法AP進(jìn)行正常業(yè)務(wù)輸，同時(shí)將AP2上報(bào)AC通知銀行運(yùn)維人員進(jìn)行網(wǎng)絡(luò)排查，徹底解除網(wǎng)絡(luò)隱患。WIDS&WIPS應(yīng)用場(chǎng)景一STA白名單場(chǎng)景說明：園區(qū)網(wǎng)內(nèi)某AP覆蓋范圍內(nèi)經(jīng)常存在大量的流動(dòng)STA，例如，外來出

17、差員工攜帶的便攜電腦等。如果僅允許本地員工的少數(shù)STA接入無線網(wǎng)絡(luò)，可以在AC上配置白名單功能，把允許接入網(wǎng)絡(luò)的STA的MAC地址加入到STA白名單列表中。這樣，未在白名單列表中的STA不能通過AP接入無線網(wǎng)絡(luò)，只有加入到白名單列表中的STA能接入無線網(wǎng)絡(luò)。企業(yè)部門AC6605InternetPOE交換機(jī)企業(yè)園區(qū)把允許接入網(wǎng)絡(luò)的少數(shù)STA的MAC地址加入到STA白名單列表中準(zhǔn)入員工STA外來員工STAWIDS&WIPS應(yīng)用場(chǎng)景一STA黑名單場(chǎng)景說明：園區(qū)網(wǎng)內(nèi)某AP覆蓋范圍內(nèi)存在較多的本地員工的STA，偶爾會(huì)存在少量外來出差員工或訪客的STA。如果想禁止非本地員工的STA接入無線網(wǎng)絡(luò)，可以在AC上配置黑名單功能，