無線入侵檢測讓無線安全檢測變得簡單

本文講的是 :   無線入侵檢測讓無線安全檢測變得簡單 , 　為迎接黨的十八大順利召開，國家有關部門日前下發關於十八大網路與資訊保安保障工作的通知，各級運營商也紛紛制定具體安全保障工作目標和工作內容，無線網路安全的防護工作也包括在內。作為國內資訊保安行業的領軍企業，啟明星辰公司一直致力於在資訊保安的無煙戰場上保衛國家建設和發展。為了保障十八大的資訊保安，啟明星辰的專業技術人員攜帶無線入侵檢測(WIDS)產品參加了某省級運營商無線安全檢測及防護演練工作。

　　此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括：

　　一、 準備工作

　　此次演練在該運營商的實際辦公環境中進行，辦公樓層部署有多臺AP裝置，演練選擇其中某臺AP作為攻擊物件。應急人員通過一臺測試筆記本接入該AP並驗證可以正常訪問網際網路，模擬攻擊人員通過筆記本接入該AP，後續將通過部署在筆記本中的攻擊工具對無線AP進行攻擊。

　　演練開始前由運營商工作人員記錄測試筆記本及AP相關資訊(MAC地址、SSID、通道號及連線狀態等)。啟明星辰無線入侵檢測(WIDS)產品在進行無線安全檢測時自動發現的無線網路資訊如下：

▲圖1 啟明星辰無線入侵檢測(WIDS)發現的無線網路拓撲

▲圖2 啟明星辰無線入侵檢測(WIDS)發現的無線裝置資訊

　　整個過程中運營商也可通過其資料網管系統檢視AP連線狀態和工作資訊。

　　二、 模擬攻擊

　　演練中通過工具先後模擬發起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊，攻擊持續一段時間之後，無線網路安全出現問題，用新的客戶端去連線被攻擊AP，已經無法建立正常連線，此時已連線在此AP 的客戶端也發現不能正常上網。由於該樓層部署有多臺AP，客戶端最終將會漫遊至其他AP連線上網。

　　在模擬攻擊發生後進行無線安全檢測，通過抓包工具可以分別看到大量的偽造Authentication和De-authentication資料包文出現：

▲圖3Authentication DoS攻擊抓包結果

▲圖4 De-Authentication DoS攻擊抓包結果

　　三、 應急啟動

　　在察覺到網路不穩定時，管理員立即採取裝置觀測結合人工分析的方式加以關注，及時定位問題，並採取有效措施解決問題。

　　演練過程中可看到測試筆記本連線的AP發生遷移(MAC地址變更);登入被攻擊AP，可看到原來連線於該AP的無線客戶端已經下線;登入資料網管系統，可看到該無線客戶端下線，但AP工作狀態正常;由此得知，通過AP或網管系統都無法感知當前無線網路安全狀況，不能確定無線網路是否處於被攻擊的狀態。而此時，啟明星辰無線入侵檢測(WIDS)及時檢測到攻擊事件的發生，準確識別攻擊來源，並給出報警和審計資訊，運維人員根據此資訊進行了攻擊排查及網路恢復。

▲圖5無線安全引擎對認證泛洪攻擊事件的報警

▲圖6無線安全引擎對去認證泛洪攻擊事件的報警

　　四、 事件處理和上報

　　演練完成後，相關人員對整個過程進行完整記錄和分析總結，並按照應急響應制度要求，將應急處理分析情況報告相關人員。

　　通過此次演練，該省運營商制定了針對WLAN AP身份驗證泛洪攻擊的應急預案，並對相關安全防護工作進行了有效驗證，同時，演練的順利完成也證明了啟明星辰無線入侵檢測(WIDS)產品在進行無線安全檢測時的有效性和可靠性。此外，啟明星辰無線入侵檢測(WIDS)還可檢測包括流氓AP、無線掃描、無線欺騙、無線破解、無線中間人攻擊等多種型別無線網路安全事件，全面保障無線網路安全。通過安全廠商與運營商的通力合作，將為十八大的順利召開提供全面的資訊保安保障。

　　背景資料

　　什麼是WLAN AP身份驗證泛洪攻擊

　　1. Authentication DoS

　　這是一種驗證模式的攻擊，攻擊的效果是自動模擬出隨機產生的MAC 地址向目標AP不斷髮送驗證請求，導致AP忙於處理過多的驗證請求而停止正常使用者的登入請求，甚至影響已線上的客戶端。

　　2. De-Authentication DoS

　　去驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即去身份驗證洪水攻擊或去驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網路拒絕服務攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的去身份驗證幀來將客戶端轉為未關聯的/未認證的狀態。

原文釋出時間為：2015年7月6日

本文作者：佚名

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT168

原文標題 :無線入侵檢測讓無線安全檢測變得簡單