WLAN(Wireless Local Area Networks,無線局域網)具有安裝便捷、使用靈活、經濟節約和易于擴展等有線網絡無法比擬的優點,因此得到越來越廣泛的使用。但由于 WLAN信道開放的特點,使得無線網絡很容易受到各種網絡威脅的影響,如冒牌的 AP(Access Point,無線接入點)設備、 Ad-hoc(無線自組網)、各種針對無線網絡的協議攻擊等等,因此安全性成為阻礙 WLAN 發展的重要因素。如下圖所示,在過去的一年內我們可以看到無線網漏洞、釣魚Wi-Fi竊取信息事件仍在發生。那么,
· 面對安全恐慌,我們應該如何應對?
· 這些新聞跟無線辦公網有關嗎?
· 要如何構建安全穩定的無線辦公網?
· 怎樣才能在源頭控制住無線網絡釣魚Wi-Fi竊取信息呢?
下面我將針對無線網絡射頻安全——非法設備反制技術進行分享,主要實現方式是在無線接入階段進行安全控制。傳統無線反制技術中Rogue AP(非法AP)反制可以分為三個步驟:1、Rogue AP的檢測;2、Rogue AP的判定;3、Rogue AP反制。在傳統反制技術實現過程中也存在一定局限性,例如無法做到Rogue AP定位等功能。本文將針對傳統反制技術和Rogue AP定位技術進行簡述,希望可以給大家在無線辦公網安全方案設計中帶來一些幫助。
Rogue AP檢測技術
無線網絡環境中進行Rogue AP檢測技術,主要通過一臺專用探測AP或者混合形式AP捕捉空氣介質中的無線信標幀來進行分辨。實現流程是探測AP會發送廣播探查報文,收到探查請求報文的設備將進行響應,探測AP根據空氣中捕獲的報文以及響應報文就可以分辨周圍的設備類型。此外,探測AP還可制定非法設備檢測規則,對周圍無線網絡環境進行實時監控。
目前可以識別出的設備類型有AP、STA(Station,無線終端)、無線網橋和Ad-hoc設備。AP識別設備類型的方法是通過監測收集回來的所有802.11報文,根據數據報文的DS域來判斷究竟是哪種設備類型。
Rogue AP判斷流程
AP將收集到的設備信息定期上報AC(Access Controller,無線控制器)。AC通過監測結果判斷該設備是否為非法設備,主要識別分類可以歸納為接入點和無線終端兩大類。
經過以上兩個步驟確認該無線設備為Rogue AP后,無線控制器根據開啟對應反制模式進行反制,反制動作就是探測 AP 在檢測到Rogue AP設備信息后,探測AP模擬非法AP的射頻卡 BSSID(Basic Service Set Identifier,基本服務單元標識符)地址發送解認證或者解關聯報文。關聯到非法AP上的無線終端收到這些報文后,認為是非法AP要主動斷開連接,無線終端經過幾次反制后就不再關聯到非法AP設備上了。
反制模式可以基于信道、設備類型、SSID名稱和手動配置指定BSSID或MAC等方式,根據無線網絡實際環境及實際需求進行選擇定義。
反制效果進階方案
傳統無線反制技術可以滿足一部分非法信號反制,但也存在一些局限性,無法做到Rogue AP或者非法用戶定位,只能通過探測AP布放位置進行大概評估范圍,給辦公網運維帶來很大不便。同時隨著技術發展,部分員工出于自己使用方便或建私網的目的,可能將普通家用路由器插入到公司內網有線網口中并釋放私設 Wi-Fi 信號;另一方面,當前市面上360Wi-Fi、獵豹Wi-Fi等第三方軟AP非常普遍,員工不經意間可能就將內網共享出去了。這些行為無疑將暴露公司內網,攻擊者很可能連上私設 Wi-Fi 信號,并掃描內網服務器端口,竊取內網信息。
針對以上傳統無線反制技術的局限性,可通過無線安全雷達功能,配合創新性硬件架構,完成24小時全方位射頻安全檢測和保護,通過精細化信號分類算法,讓客戶無線網絡環境清晰可見,無線安全盡在掌握。
針對解決普通家用路由器插入到公司內網有線口中并釋放私設Wi-Fi 信號的問題,無線安全雷達可通過采集無線網絡中的 Wi-Fi 信號,結合大數據分析,實時構建私設 Wi-Fi的信號畫像,再通過SNMP(Simple Network Management Protocol,簡單網絡管理協議)協議調取交換機上MAC地址等信息進行比對,可以準確定位出該信號是由哪個交換機端口的無線路由器所釋放,再配合告警功能完成非法無線AP及時告警及去除。
針對解決第三方軟AP釋放信號的問題,安全雷達先采集無線網絡中的 Wi-Fi 信號,根據非法BSSID值與現網中所有終端無線網卡MAC地址進行大數據分析,對比出類似MAC,再配合認證系統中注冊的用戶名密碼匹配的MAC,對非法第三方軟AP釋放出的人員信息進行定位。
因此在傳統無線反制基礎上增加針對Rogue設備的定位技術,給IT人員提供了很好的私設Wi-Fi定位管理方法,大大降低因員工不經意間搭建的私設Wi-Fi而導致內網暴露的安全風險,同時對于惡意攻擊者也起到了很好的攻擊舉證、風險管控和震懾效果。
以上就是無線AP反制Rogue AP的技術實現機制。俗話說,三分靠技術,七分靠管理,只有從管理角度制定好更合理的無線接入方式以及更合理的無線管理流程,稍加輔以一些新技術,就能讓無線網絡更加安全、可靠、健全。
目前銳捷網絡針對辦公網推出無線NEW辦公解決方案,對傳統的射頻防御方案進行了精進,從掃描、識別、告警和防御4個方面重新設計無線安全,做到24小時全方位射頻防御多種攻擊,智能安全分析,辦公網絡安全可視可知。
市場營銷 | 企業文化 | 通信雜談 | 企業黃頁 | 知本院 | 企業動態 
