• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

WLAN IDS技术介绍


WLAN IDS

WLAN IDS简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等;Rogue设备对于企业网络安全来说更是一个很严重的威胁。WIDSWireless Intrusion Detection System)可以对有恶意的用户攻击和入侵行为进行早期检测,保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测,从而提供对各种攻击的实时防范。

WLAN IDS涉及的常用术语

l              Rogue AP:网络中未经授权或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞,黑客就有机会危害无线网络安全。

l              Rogue Client:非法客户端,网络中未经授权或者有恶意的客户端,类似于Rogue AP

l              Rogue Wireless Bridge:非法无线网桥,网络中未经授权或者有恶意的网桥。

l              Monitor AP:这种AP在无线网络中通过扫描或监听无线介质,检测无线网络中的Rogue设备。一个AP可以同时做接入APMonitor AP,也可以只做Monitor AP

l              Ad-hoc mode:把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

检测Rogue设备

1. Rogue设备进行检测

Rogue设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中制定非法设备检测规则,可以对整个WLAN网络中的异常设备进行监视。

Rogue设备检测可以检测WLAN网络中的多种设备,例如Rogue APRogue client,无线网桥,Ad-hoc终端等等。根据实际的无线环境,可以通过设定不同的模式来对Rogue设备进行检测。

l              Monitor模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。如1中,AP 1做接入APAP 2做为Monitor  AP,监听所有Dot11帧,检测无线网络中的非法设备,但不能提供无线接入服务。

图1 Rogue设备进行检测(Monitor模式)

l              Hybrid模式:在这种模式下,AP可以在监测无线环境中设备的同时传输WLAN数据。

图2 Rogue设备进行检测(Hybrid模式)

2. Rogue设备进行防攻击

在检测到Rogue设备后,根据选用不同的反制模式,Monitor APAC下载攻击列表,并对指定的Rogue设备进行攻击防范。对于不同的非法设备,使能反制功能后的效果如下:

l              如果Rogue设备为Rogue Client,则该Rogue Client会被强行下线;

l              如果Rogue设备为Rogue AP,那么合法客户端不会接入Rogue AP

l              如果Rogue设备为Ad-hoc,那么Ad-Hoc客户端之间不能正常通信。

图3 Rogue设备进行防攻击

检测IDS攻击

主要为了及时发现WLAN网络中的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。

IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。

IDS支持下列报文的泛洪攻击检测。

l              认证请求/解除认证请求(Authentication / De-authentication);

l              关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);

l              探查请求(Probe request);

l              空数据帧;

l              Action帧;

2. Weak IV攻击检测

在使用WEP加密的时候,对于每一个报文都会使用初始化向量(IVInitialization Vector),IVKey一起作为输入来生成Key Stream,使相同密钥产生不同加密结果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果客户端使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。

3. Spoofing攻击检测

这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。Spoofing攻击检测也支持对广播解除认证和广播解除关联报文进行检测。当接收到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。

无线用户接入控制技术简介

ACFAT AP支持无线用户接入控制技术,为方便描述,这里以AC为例。

 

WLAN环境中,可以通过指定的规则过滤是否允许指定无线客户端的报文通过,实现了对无线终端用户的接入控制。

无线用户接入控制通过维护三种类型的列表实现接入控制。

l              白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线用户可以接入到WLAN网络中,其他的无线用户的所有报文将被AP直接丢弃。

l              静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

l              动态黑名单列表:当WLAN检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,禁止接收任何来自于该设备的报文,实现WLAN网络的安全保护。

图4 无线用户接入控制组网

4所示有三个AP连接到AC。在AC上配置白名单列表和黑名单列表,白名单列表和黑名单列表将被发送到所有与之相连的无线接入点上(AP1AP2AP3)。假设Client 1MAC地址存在于黑名单列表中,则Client 1不能与任何一个AP发生关联。当Client 1MAC地址存在于白名单列表中时,该客户端可以和任何一个AP发生关联。

 

附件下载

新华三官网
联系我们