使用極進網絡Air Defense保障您無線網絡的安全

Rogue Device是指黑客在無線局域網中安放未經授權的AP或客戶機提供對網絡的無限制訪問,通過欺騙得到關鍵數據。無線局域網的用戶在不知情的情況下,以為自己通過很好的信號連入無線局域網,卻不知已遭到黑客的監聽了。

在Rogue檢測中,分為Rogue AP和Rogue Client,即非法AP和非法客戶端兩種情況。


1.Rogue AP的檢測

通過偵聽無線電波中的數據包來檢測AP的存在,得到所有正在使用的AP,SSID和STA。要完成Rogue AP的檢測,需要在網絡中放置如下部件:①探測器Sensor/Probe,用于隨時監測無線數據;②入侵檢測系統IDS,用于收集探測器傳來的數據,并能判斷哪些是Rogue Device;③網絡管理軟件,用于與有線網絡交流,判斷出Rogue Device接入的交換機端口,并能斷開該端口。

為了發現AP,分布于網絡各處的探測器能完成數據包的捕獲和解析的功能,它們能迅速地發現所有無線設備的操作,并報告給管理員或IDS系統,這種方式稱為RF掃描。某些AP能夠發現相鄰區域的AP,我們只要查看各AP的相鄰AP。當然通過網絡管理軟件,比如SNMP,也可以確定AP接入有線網絡的具體物理地址。

發現AP后,可以根據合法AP認證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關參數,那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認為是非法AP。


2.Rogue Client的檢測

Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶,管理員只要多注意他們的異常行為,就不難識別假冒客戶。其異常行為的特征主要有:①發送長持續時間(Duration)幀;②持續時間攻擊;③探測“any SSID”設備;④非認證客戶。

如果客戶發送長持續時間/ID的幀,其他的客戶必須要等到指定的持續時間(Duration)后才能使用無線媒介,如果客戶持續不斷地發送這樣的長持續時間幀,這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態。

為了避免網絡沖突,無線節點在一幀的指定時間內可以發送數據,根據802.11幀格式,在幀頭的持續時間/ID域所指定的時間間隔內,為節點保留信道。網絡分配矢量(NAV)存儲該時間間隔值,并跟蹤每個節點。只有當該持續時間值變為O后,其他節點才可能擁有信道。這迫使其他節點在該持續時間內不能擁有信道。如果攻擊者成功持續發送了長持續時間的數據包,其他節點就必須等待很長時間,不能接受服務,從而造成對其他節點的拒絕服務。

如果AP允許客戶以任意SSID接入網絡,這將給攻擊者帶來很大的方便,如果發現有客戶以任意SSID方式連接,就很可能是攻擊者,管理員應該更改AP的設置,禁止以任意SSID方式接入。如果假冒客戶在合法客戶認證列表中出現,可以根據客戶MAC地址和設備供應商標識進行判斷,如果NIC的MAC地址或Vendor標識未在訪問控制列表中,則可能是非法客戶。


Extreme的ADSP (Air defense) 為IT 專業人員提供了強大工具,可以全天24 小時持續保護網絡不被外部人員盜用并監控WLAN性能。此系統可以在網絡受到攻擊或入侵時通知IT 人員以立即做出響應。軟件采用了易于部署和升級的可擴展體系結構,為客戶的投資提供有力保障。主要功能有:

  • 惡意/入侵檢測:實時檢測802.11 網絡中是否存在惡意設備

  • 漏洞評估:找出網絡弱點,例如設備配置不當或薄弱的加密環節

  • 準確定位:快速準確地找出網絡中的任何設備

  • 策略執行:在發生違反策略的行為時即時發出通知并做出響應

  • 終止惡意設備:允許安全管理員終止惡意設備的無線連接,快速對攻擊做出響應

  • 集中管理:用戶界面簡單易用,功能強大,可針對各層級的用戶

  • Extreme建議采用以下WLAN安全策略:


  • 1.定義、監控和實施安全策略

  • 安全策略包括所有802.11的無線設備

  • 確保無線設備在滿足安全要求的前提下才能使用

  • 為移動辦公人員定義無線安全策略


  • 2.完整地記錄所有的AP和802.11的無線設備

  • 消除非法AP和沒有被授權的用戶終端接入無線網絡

  • 檢查AP和終端的安全配置

  • 修改缺省的安全設定

  • 禁止語音WLAN的SSID廣播

  • 禁止直連網絡Ad-hoc模式


  • 3.采用嚴格的加密和認證協議

  • 永遠不使用open的認證方式

  • 使用嚴格的認證方式(建議使用WPA2, PEAP,TTLS, 802.1x)

  • 使用嚴格的加密方式,建議使用WPA2,WPA


  • 4.嚴格地監控和發現可疑的行為

  • 部署無線入侵保護(WIPS)來識別安全威脅和攻擊

  • 實時地發現和終止未被授權的無線接入

  • 實時地監控違反策略的無線終端

  • 實時地記錄、分析和解決網絡事件(如發現有人用Kismet,Netstumber掃描網絡)

  • 對特定級別的告警定義自動郵件通知

  • 日志與Syslog整合

  • 發現無線入侵后定義自動阻斷策略

  • 定位非法AP和終端


極進網絡Airdefense為您打造安全省心的庫房無線網絡
極進高并發無線AP成功為2017年WOT全球峰會保駕護航

上一篇

下一篇

使用極進網絡Air Defense保障您無線網絡的安全

本網站由阿里云提供云計算及安全服務
彩票软件十大排名