WLAN(Wireless Local Area Networks,無(wú)線局域網(wǎng))具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約和易于擴(kuò)展等有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn),因此得到越來(lái)越廣泛的使用。但由于 WLAN信道開(kāi)放的特點(diǎn),使得無(wú)線網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響,如冒牌的 AP(Access Point,無(wú)線接入點(diǎn))設(shè)備、 Ad-hoc(無(wú)線自組網(wǎng))、各種針對(duì)無(wú)線網(wǎng)絡(luò)的協(xié)議攻擊等等,因此安全性成為阻礙 WLAN 發(fā)展的重要因素。如下圖所示,在過(guò)去的一年內(nèi)我們可以看到無(wú)線網(wǎng)漏洞、釣魚(yú)Wi-Fi竊取信息事件仍在發(fā)生。那么,
· 面對(duì)安全恐慌,我們應(yīng)該如何應(yīng)對(duì)?
· 這些新聞跟無(wú)線辦公網(wǎng)有關(guān)嗎?
· 要如何構(gòu)建安全穩(wěn)定的無(wú)線辦公網(wǎng)?
· 怎樣才能在源頭控制住無(wú)線網(wǎng)絡(luò)釣魚(yú)Wi-Fi竊取信息呢?
下面我將針對(duì)無(wú)線網(wǎng)絡(luò)射頻安全——非法設(shè)備反制技術(shù)進(jìn)行分享,主要實(shí)現(xiàn)方式是在無(wú)線接入階段進(jìn)行安全控制。傳統(tǒng)無(wú)線反制技術(shù)中Rogue AP(非法AP)反制可以分為三個(gè)步驟:1、Rogue AP的檢測(cè);2、Rogue AP的判定;3、Rogue AP反制。在傳統(tǒng)反制技術(shù)實(shí)現(xiàn)過(guò)程中也存在一定局限性,例如無(wú)法做到Rogue AP定位等功能。本文將針對(duì)傳統(tǒng)反制技術(shù)和Rogue AP定位技術(shù)進(jìn)行簡(jiǎn)述,希望可以給大家在無(wú)線辦公網(wǎng)安全方案設(shè)計(jì)中帶來(lái)一些幫助。
Rogue AP檢測(cè)技術(shù)
無(wú)線網(wǎng)絡(luò)環(huán)境中進(jìn)行Rogue AP檢測(cè)技術(shù),主要通過(guò)一臺(tái)專(zhuān)用探測(cè)AP或者混合形式AP捕捉空氣介質(zhì)中的無(wú)線信標(biāo)幀來(lái)進(jìn)行分辨。實(shí)現(xiàn)流程是探測(cè)AP會(huì)發(fā)送廣播探查報(bào)文,收到探查請(qǐng)求報(bào)文的設(shè)備將進(jìn)行響應(yīng),探測(cè)AP根據(jù)空氣中捕獲的報(bào)文以及響應(yīng)報(bào)文就可以分辨周?chē)脑O(shè)備類(lèi)型。此外,探測(cè)AP還可制定非法設(shè)備檢測(cè)規(guī)則,對(duì)周?chē)鸁o(wú)線網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控。
目前可以識(shí)別出的設(shè)備類(lèi)型有AP、STA(Station,無(wú)線終端)、無(wú)線網(wǎng)橋和Ad-hoc設(shè)備。AP識(shí)別設(shè)備類(lèi)型的方法是通過(guò)監(jiān)測(cè)收集回來(lái)的所有802.11報(bào)文,根據(jù)數(shù)據(jù)報(bào)文的DS域來(lái)判斷究竟是哪種設(shè)備類(lèi)型。
Rogue AP判斷流程
AP將收集到的設(shè)備信息定期上報(bào)AC(Access Controller,無(wú)線控制器)。AC通過(guò)監(jiān)測(cè)結(jié)果判斷該設(shè)備是否為非法設(shè)備,主要識(shí)別分類(lèi)可以歸納為接入點(diǎn)和無(wú)線終端兩大類(lèi)。
經(jīng)過(guò)以上兩個(gè)步驟確認(rèn)該無(wú)線設(shè)備為Rogue AP后,無(wú)線控制器根據(jù)開(kāi)啟對(duì)應(yīng)反制模式進(jìn)行反制,反制動(dòng)作就是探測(cè) AP 在檢測(cè)到Rogue AP設(shè)備信息后,探測(cè)AP模擬非法AP的射頻卡 BSSID(Basic Service Set Identifier,基本服務(wù)單元標(biāo)識(shí)符)地址發(fā)送解認(rèn)證或者解關(guān)聯(lián)報(bào)文。關(guān)聯(lián)到非法AP上的無(wú)線終端收到這些報(bào)文后,認(rèn)為是非法AP要主動(dòng)斷開(kāi)連接,無(wú)線終端經(jīng)過(guò)幾次反制后就不再關(guān)聯(lián)到非法AP設(shè)備上了。
反制模式可以基于信道、設(shè)備類(lèi)型、SSID名稱(chēng)和手動(dòng)配置指定BSSID或MAC等方式,根據(jù)無(wú)線網(wǎng)絡(luò)實(shí)際環(huán)境及實(shí)際需求進(jìn)行選擇定義。
反制效果進(jìn)階方案
傳統(tǒng)無(wú)線反制技術(shù)可以滿(mǎn)足一部分非法信號(hào)反制,但也存在一些局限性,無(wú)法做到Rogue AP或者非法用戶(hù)定位,只能通過(guò)探測(cè)AP布放位置進(jìn)行大概評(píng)估范圍,給辦公網(wǎng)運(yùn)維帶來(lái)很大不便。同時(shí)隨著技術(shù)發(fā)展,部分員工出于自己使用方便或建私網(wǎng)的目的,可能將普通家用路由器插入到公司內(nèi)網(wǎng)有線網(wǎng)口中并釋放私設(shè) Wi-Fi 信號(hào);另一方面,當(dāng)前市面上360Wi-Fi、獵豹Wi-Fi等第三方軟AP非常普遍,員工不經(jīng)意間可能就將內(nèi)網(wǎng)共享出去了。這些行為無(wú)疑將暴露公司內(nèi)網(wǎng),攻擊者很可能連上私設(shè) Wi-Fi 信號(hào),并掃描內(nèi)網(wǎng)服務(wù)器端口,竊取內(nèi)網(wǎng)信息。
針對(duì)以上傳統(tǒng)無(wú)線反制技術(shù)的局限性,可通過(guò)無(wú)線安全雷達(dá)功能,配合創(chuàng)新性硬件架構(gòu),完成24小時(shí)全方位射頻安全檢測(cè)和保護(hù),通過(guò)精細(xì)化信號(hào)分類(lèi)算法,讓客戶(hù)無(wú)線網(wǎng)絡(luò)環(huán)境清晰可見(jiàn),無(wú)線安全盡在掌握。
針對(duì)解決普通家用路由器插入到公司內(nèi)網(wǎng)有線口中并釋放私設(shè)Wi-Fi 信號(hào)的問(wèn)題,無(wú)線安全雷達(dá)可通過(guò)采集無(wú)線網(wǎng)絡(luò)中的 Wi-Fi 信號(hào),結(jié)合大數(shù)據(jù)分析,實(shí)時(shí)構(gòu)建私設(shè) Wi-Fi的信號(hào)畫(huà)像,再通過(guò)SNMP(Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)協(xié)議調(diào)取交換機(jī)上MAC地址等信息進(jìn)行比對(duì),可以準(zhǔn)確定位出該信號(hào)是由哪個(gè)交換機(jī)端口的無(wú)線路由器所釋放,再配合告警功能完成非法無(wú)線AP及時(shí)告警及去除。
針對(duì)解決第三方軟AP釋放信號(hào)的問(wèn)題,安全雷達(dá)先采集無(wú)線網(wǎng)絡(luò)中的 Wi-Fi 信號(hào),根據(jù)非法BSSID值與現(xiàn)網(wǎng)中所有終端無(wú)線網(wǎng)卡MAC地址進(jìn)行大數(shù)據(jù)分析,對(duì)比出類(lèi)似MAC,再配合認(rèn)證系統(tǒng)中注冊(cè)的用戶(hù)名密碼匹配的MAC,對(duì)非法第三方軟AP釋放出的人員信息進(jìn)行定位。
因此在傳統(tǒng)無(wú)線反制基礎(chǔ)上增加針對(duì)Rogue設(shè)備的定位技術(shù),給IT人員提供了很好的私設(shè)Wi-Fi定位管理方法,大大降低因員工不經(jīng)意間搭建的私設(shè)Wi-Fi而導(dǎo)致內(nèi)網(wǎng)暴露的安全風(fēng)險(xiǎn),同時(shí)對(duì)于惡意攻擊者也起到了很好的攻擊舉證、風(fēng)險(xiǎn)管控和震懾效果。
以上就是無(wú)線AP反制Rogue AP的技術(shù)實(shí)現(xiàn)機(jī)制。俗話(huà)說(shuō),三分靠技術(shù),七分靠管理,只有從管理角度制定好更合理的無(wú)線接入方式以及更合理的無(wú)線管理流程,稍加輔以一些新技術(shù),就能讓無(wú)線網(wǎng)絡(luò)更加安全、可靠、健全。
目前銳捷網(wǎng)絡(luò)針對(duì)辦公網(wǎng)推出無(wú)線NEW辦公解決方案,對(duì)傳統(tǒng)的射頻防御方案進(jìn)行了精進(jìn),從掃描、識(shí)別、告警和防御4個(gè)方面重新設(shè)計(jì)無(wú)線安全,做到24小時(shí)全方位射頻防御多種攻擊,智能安全分析,辦公網(wǎng)絡(luò)安全可視可知。
市場(chǎng)營(yíng)銷(xiāo) | 企業(yè)文化 | 通信雜談 | 企業(yè)黃頁(yè) | 知本院 | 企業(yè)動(dòng)態(tài) 
