- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
802.11網絡很容易受到各種網絡威脅的影響,如未經授權的AP用戶、Ad-hoc網絡、拒絕服務型攻擊等;Rogue設備對於企業網絡安全來說更是一個很嚴重的威脅。WIDS(Wireless Intrusion Detection System)可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIDS可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防範。
l Rogue AP:網絡中未經授權或者有惡意的AP,它可以是私自接入到網絡中的AP、未配置的AP、鄰居AP或者攻擊者操作的AP。如果在這些AP上存在安全漏洞,黑客就有機會危害無線網絡安全。
l Rogue Client:非法客戶端,網絡中未經授權或者有惡意的客戶端,類似於Rogue AP。
l Rogue Wireless Bridge:非法無線網橋,網絡中未經授權或者有惡意的網橋。
l Monitor AP:這種AP在無線網絡中通過掃描或監聽無線介質,檢測無線網絡中的Rogue設備。一個AP可以同時做接入AP和Monitor AP,也可以隻做Monitor AP。
l Ad-hoc mode:把無線客戶端的工作模式設置為Ad-hoc模式,Ad-hoc終端可以不需要任何設備支持而直接進行通訊。
Rogue設備檢測比較適合於大型的WLAN網絡。通過在已有的WLAN網絡中製定非法設備檢測規則,可以對整個WLAN網絡中的異常設備進行監視。
Rogue設備檢測可以檢測WLAN網絡中的多種設備,例如Rogue AP,Rogue client,無線網橋,Ad-hoc終端等等。根據實際的無線環境,可以通過設定不同的模式來對Rogue設備進行檢測。
l Monitor模式:在這種模式下,AP需要掃描WLAN中的設備,此時AP僅做監測AP,不做接入AP。當AP工作在Monitor模式時,該AP提供的所有WLAN服務都將關閉。如圖1中,AP 1做接入AP,AP 2做為Monitor AP,監聽所有Dot11幀,檢測無線網絡中的非法設備,但不能提供無線接入服務。
圖1 對Rogue設備進行檢測(Monitor模式)
l Hybrid模式:在這種模式下,AP可以在監測無線環境中設備的同時傳輸WLAN數據。
圖2 對Rogue設備進行檢測(Hybrid模式)
在檢測到Rogue設備後,根據選用不同的反製模式,Monitor AP從AC下載攻擊列表,並對指定的Rogue設備進行攻擊防範。對於不同的非法設備,使能反製功能後的效果如下:
l 如果Rogue設備為Rogue Client,則該Rogue Client會被強行下線;
l 如果Rogue設備為Rogue AP,那麼合法客戶端不會接入Rogue AP;
l 如果Rogue設備為Ad-hoc,那麼Ad-Hoc客戶端之間不能正常通信。
圖3 對Rogue設備進行防攻擊
主要為了及時發現WLAN網絡中的惡意或者無意的攻擊,通過記錄信息或者發送日誌信息的方式通知網絡管理者。目前設備支持的IDS攻擊檢測主要包括802.11報文泛洪攻擊檢測、AP Spoof檢測以及Weak IV檢測。
泛洪攻擊(Flooding攻擊)是指WLAN設備會在短時間內接收了大量的同種類型的報文。此時WLAN設備會被泛洪的攻擊報文淹沒而無法處理真正的無線終端的報文。
IDS攻擊檢測通過持續的監控每台設備的流量大小來預防這種泛洪攻擊。當流量超出可容忍的上限時,該設備將被認為要在網絡內泛洪從而被鎖定,此時如果使能了動態黑名單,檢查到的攻擊設備將被加入動態黑名單。
IDS支持下列報文的泛洪攻擊檢測。
l 認證請求/解除認證請求(Authentication / De-authentication);
l 關聯請求/解除關聯請求/重新關聯請求(Association / Disassociation / Reassociation);
l 探查請求(Probe request);
l 空數據幀;
l Action幀;
在使用WEP加密的時候,對於每一個報文都會使用初始化向量(IV,Initialization Vector),IV和Key一起作為輸入來生成Key Stream,使相同密鑰產生不同加密結果。當一個WEP報文被發送時,用於加密報文的IV也作為報文頭的一部分被發送。如果客戶端使用不安全的方法生成IV,例如始終使用固定的IV,就可能會暴露共享的密鑰,如果潛在的攻擊者獲得了共享的密鑰,攻擊者將能夠控製網絡資源。
檢測IDS攻擊可以通過識別每個WEP報文的IV來預防這種攻擊,當一個有弱初始化向量的報文被檢測到時,這個檢測將立刻被記錄到日誌中。
這種攻擊的潛在攻擊者將以其他設備的名義發送攻擊報文。例如:一個欺騙的解除認證的報文會導致無線客戶端下線。Spoofing攻擊檢測也支持對廣播解除認證和廣播解除關聯報文進行檢測。當接收到這種報文時將立刻被定義為欺騙攻擊並被記錄到日誌中。
AC和FAT AP支持無線用戶接入控製技術,為方便描述,這裏以AC為例。
在WLAN環境中,可以通過指定的規則過濾是否允許指定無線客戶端的報文通過,實現了對無線終端用戶的接入控製。
l 白名單列表:該列表包含允許接入的無線客戶端的MAC地址。如果使用了白名單,則隻有白名單中指定的無線用戶可以接入到WLAN網絡中,其他的無線用戶的所有報文將被AP直接丟棄。
l 靜態黑名單列表:該列表包含拒絕接入的無線客戶端的MAC地址。
l 動態黑名單列表:當WLAN檢測到來自某一設備的非法攻擊時,可以選擇將該設備動態加入到黑名單中,禁止接收任何來自於該設備的報文,實現WLAN網絡的安全保護。
圖4所示有三個AP連接到AC。在AC上配置白名單列表和黑名單列表,白名單列表和黑名單列表將被發送到所有與之相連的無線接入點上(AP1、AP2和AP3)。假設Client 1的MAC地址存在於黑名單列表中,則Client 1不能與任何一個AP發生關聯。當Client 1的MAC地址存在於白名單列表中時,該客戶端可以和任何一個AP發生關聯。
售前谘詢
售後谘詢
人工在線谘詢
