无线入侵检测让无线安全检测变简单

　2012-06-26 14:59:44　来源：WEB开发网　　　

核心提示： 为迎接党的十八大顺利召开，国家有关部门日前下发关于十八大网络与信息安全保障工作的通知，无线入侵检测让无线安全检测变简单，各级运营商也纷纷制定具体安全保障工作目标和工作内容，无线网络安全的防护工作也包括在内，准确识别攻击来源，并给出报警和审计信息，作为国内信息安全行业的领军企业，启明星辰公司一直致力于在信息安全的无烟战

为迎接党的十八大顺利召开，国家有关部门日前下发关于十八大网络与信息安全保障工作的通知，各级运营商也纷纷制定具体安全保障工作目标和工作内容，无线网络安全的防护工作也包括在内。作为国内信息安全行业的领军企业，启明星辰公司一直致力于在信息安全的无烟战场上保卫国家建设和发展。为了保障十八大的信息安全，启明星辰的专业技术人员携带无线入侵检测（WIDS）产品参加了某省级运营商无线安全检测及防护演练工作。

　　此次演练的主题是WLAN AP身份验证泛洪攻击演练。演练工作主要包括：

　　一、准备工作

　　此次演练在该运营商的实际办公环境中进行，办公楼层部署有多台AP设备，演练选择其中某台AP作为攻击对象。应急人员通过一台测试笔记本接入该AP并验证可以正常访问互联网，模拟攻击人员通过笔记本接入该AP，后续将通过部署在笔记本中的攻击工具对无线AP进行攻击。

　　演练开始前由运营商工作人员记录测试笔记本及AP相关信息（MAC地址、SSID、信道号及连接状态等）。启明星辰无线入侵检测（WIDS）产品在进行无线安全检测时自动发现的无线网络信息如下：

图1 启明星辰无线入侵检测（WIDS）发现的无线网络拓扑

图2 启明星辰无线入侵检测（WIDS）发现的无线设备信息

　　整个过程中运营商也可通过其数据网管系统查看AP连接状态和工作信息。

　　二、模拟攻击

　　演练中通过工具先后模拟发起Authentication DoS和De-Authentication DoS两种身份验证泛洪攻击，攻击持续一段时间之后，无线网络安全出现问题，用新的客户端去连接被攻击AP，已经无法建立正常连接，此时已连接在此AP 的客户端也发现不能正常上网。由于该楼层部署有多台AP，客户端最终将会漫游至其他AP连接上网。

　　在模拟攻击发生后进行无线安全检测，通过抓包工具可以分别看到大量的伪造Authentication和De-authentication数据报文出现：

　　图3 Authentication DoS攻击抓包结果无线入侵检测

　　图4 De-Authentication DoS攻击抓包结果

三、应急启动

　　在察觉到网络不稳定时，管理员立即采取设备观测结合人工分析的方式加以关注，及时定位问题，并采取有效措施解决问题。

　　演练过程中可看到测试笔记本连接的AP发生迁移（MAC地址变更）；登录被攻击AP，可看到原来连接于该AP的无线客户端已经下线；登录数据网管系统，可看到该无线客户端下线，但AP工作状态正常；由此得知，通过AP或网管系统都无法感知当前无线网络安全状况，不能确定无线网络是否处于被攻击的状态。而此时，启明星辰无线入侵检测（WIDS）及时检测到攻击事件的发生，准确识别攻击来源，并给出报警和审计信息，运维人员根据此信息进行了攻击排查及网络恢复。

1 2 下一页