WIPS

简介

WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过AC与Sensor(开启WIPS功能的AP)对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。

WIPS由Sensor、AC以及网管软件组成。Sensor负责收集无线信道上的原始数据,经过简单加工后,上传至AC进行综合分析。AC会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。

WIPS支持以下功能:

配置步骤

页面向导:[无线配置/无线安全/WIPS/详细信息]

本页面为您提供如下主要功能:

开启WIPS

开启WIPS功能前,需要将AP加入到指定VSD(Virtual Security Domain,虚拟安全域)中。该AP也称为Sensor。

页面向导:[无线配置/无线安全/WIPS/开启WIPS]

本页面为您提供如下主要功能:

  • 显示AP的WIPS相关信息

  • 开启WIPS

  • 关闭WIPS

开启WIPS:

  1. 单击需要开启的AP对应操作列“”图标,弹出开启WIPS功能对话框,设置开启WIPS的射频接口、虚拟安全域参数信息

  2. 单击<确定>按钮,完成配置

关闭WIPS:

  1. 勾选需要关闭的AP名称前方选择框

  2. 单击<关闭>按钮,完成配置

开启WIPS参数解释

表-1 页面关键参数项描述

关键项

描述

AP名称

无线接入点(AP)的名称或标识符

开启WIPS的射频接口

选择使用的射频通道

虚拟安全域

选择使用的VSD(Virtual Security Domain,虚拟安全域)

虚拟安全域

通过在虚拟安全域上应用分类策略、攻击检测策略、Signature策略或反制策略,使已配置的分类策略、攻击检测策略、Signature策略或反制策略在虚拟安全域内的Radio上生效。

页面向导:[无线配置/无线安全/WIPS/虚拟安全域]

本页面为您提供如下主要功能:

  • 显示虚拟安全域的信息

  • 添加虚拟安全域

  • 删除虚拟安全域

  • 修改虚拟安全域

添加虚拟安全域:

  1. 单击<添加>按钮,弹出添加虚拟安全域页面,设置虚拟安全域名称、分类策略、检测策略等信息

  2. 单击<确定>按钮,完成配置

删除虚拟安全域:

  1. 勾选需要删除的虚拟安全域前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改虚拟安全域:

  1. 单击需要修改的虚拟安全域对应操作列“”图标,弹出修改虚拟安全域页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

虚拟安全域参数解释

表-2 页面关键参数项描述

关键项

描述

虚拟安全域

虚拟安全域的名称,用于唯一标识此虚拟安全域

分类策略

选择使用的分类策略

检测策略

选择使用的检测策略

Signature策略

选择使用的Signature策略

反制策略

选择使用的反制策略

分类策略

可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。

页面向导:[无线配置/无线安全/WIPS/分类策略]

本页面为您提供如下主要功能:

  • 显示分类策略的信息

  • 添加分类策略

  • 删除分类策略

  • 修改分类策略

添加分类策略:

  1. 单击<添加>按钮,弹出添加策略页面,设置分类策略名、信任MAC、信任OUI等信息

  2. 单击<确定>按钮,完成配置

删除分类策略:

  1. 勾选需要删除的分类策略名前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改分类策略:

  1. 单击需要修改的分类策略名对应操作列“”图标,弹出修改策略页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

分类策略参数解释

表-3 页面关键参数项描述

关键项

描述

分类策略名

分类策略的名称,用于唯一标识此策略

信任MAC

信任设备的MAC地址

信任OUI

信任设备MAC地址前3个字节,即供应商标识

信任SSID

信任的无线网络SSID(服务集标识符)

禁用MAC

禁用设备的MAC地址

手工AP分类

手动分类的AP的MAC地址和其分类类型:

  • 授权AP(Authorized AP):允许在无线网络中使用的AP。包括已经关联到AC上且不在禁用列表中的AP和手动指定的授权AP。

  • 非法AP(Rogue AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。

  • 配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。

  • 外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。

AP分类规则

为AP分类提供的规则ID、分类类型和安全级别

非法OUI设备分类

将未注明OUI的设备分类

攻击检测策略

WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。

页面向导:[无线配置/无线安全/WIPS/攻击检测策略]

本页面为您提供如下主要功能:

  • 显示攻击检测策略的信息

  • 添加攻击检测策略

  • 删除攻击检测策略

  • 修改攻击检测策略

添加攻击检测策略:

  1. 单击<添加>按钮,弹出添加策略页面,设置检测策略名称、表项学习速率、表项时间参数等信息

  2. 单击<确定>按钮,完成配置

删除攻击检测策略:

  1. 勾选需要删除的攻击检测策略名称前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改攻击检测策略:

  1. 单击需要修改的攻击检测策略名称对应操作列“”图标,弹出修改策略页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

攻击检测策略参数解释

表-4 页面关键参数项描述

关键项

描述

检测策略名称

检测策略的名称,用于唯一标识此策略

表项学习速率

设备学习新的会话表项的速度,可根据表项类型(AP、客户端)进行如下选择:

  • 检测间隔

  • 检测阈值

  • 静默时间

表项时间参数

配置的活跃时间必须大于或等于非活跃时间,建议使用缺省值。可根据表项类型(AP、客户端)进行如下选择:

  • 非活跃时间

  • 活跃时间

泛洪攻击检测

对网络中可能发生的各种泛洪攻击进行监测和识别,可根据需求进行选择

  • Probe-request/Association-request/Reassociation-request帧泛洪攻击

    • 攻击者通过模拟大量的客户端向AP发送Probe-request/Association-request/Reassociation-request帧,AP收到大量攻击报文后无法处理合法客户端的Probe-request/Association-request/Reassociation-request帧。

  • Authentication帧泛洪攻击

    • 攻击者通过模拟大量的客户端向AP发送Authentication帧,AP收到大量攻击报文后无法处理合法客户端的Authentication帧。

  • Beacon帧泛洪攻击

    • 该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。

  • Block ACK泛洪攻击

    • 该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行,导致通信双方丢包。

  • RTS/CTS泛洪攻击

    • 在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(Request to Send,发送请求)/CTS(Clear to Send,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。

  • Deauthentication帧泛洪攻击

    • 攻击者通过仿冒AP向与其关联的客户端发送Deauthentication帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播Deauthentication帧攻击是针对某一个客户端,而广播Deauthentication帧攻击是针对与该AP关联的所有客户端。

  • Disassociation帧泛洪攻击

    • 攻击原理同Disassociation帧泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送Disassociation帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

  • EAPOL-Start泛洪攻击

    • IEEE 802.1X标准定义了一种基于EAPOL(EAP over LAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。

  • Null-data泛洪攻击

    • 该攻击通过仿冒合法客户端向与其关联的AP发送Null-data帧,使得AP误认为合法的客户端进入省电模式,将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-data帧,当暂存帧的存储时间超过AP暂存帧老化时间后,AP会将暂存帧丢弃,妨害了合法客户端的正常通信。

  • EAPOL-Logoff泛洪攻击

    • 在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。

  • EAP-Success/Failure泛洪攻击

    • 在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。

畸形报文检测

检测和识别具有畸形特征的报文,这些报文可能会导致客户端在处理时出现崩溃或其他异常情况,可根据需求进行选择

  • IE重复的畸形报文

    • 该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

  • Fata-Jack畸形报文

    • 该检测是针对Authentication帧的检测。Fata-jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-jack畸形报文。

  • IBSS和ESS置位异常的畸形报文

    • 该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。

  • 源地址为广播或者组播的认证和关联畸形报文

    • 该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

  • 畸形Association-request报文

    • 该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。

  • 畸形Authentication报文

    • 该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。

    • 当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

    • 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值等于1,且状态代码status code不为0时;

    • 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

  • 含有无效原因值的解除认证畸形报文

    • 该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

  • 含有无效原因值的解除关联畸形报文

    • 该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

  • 畸形HT IE报文

    • 该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

    • 解析出HT Capabilities IE的SM Power Save值为2时;

    • 解析出HT Operation IE的Secondary Channel Offset值等于2时。

  • IE长度非法的畸形报文

    • 该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

  • 报文长度非法的畸形报文

    • 该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。

  • 无效探查响应报文

    • 该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于0,这种情况不符合协议(协议规定SSID Length等于0的情况是Mesh帧),则判定为无效探查响应报文。

  • Key长度超长的EAPOL报文

    • 该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时,则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DoS攻击。

  • SSID长度超长的畸形报文

    • 该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

  • 多余IE畸形报文

    • 该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。

  • Duration字段超大的畸形报文

    • 该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

攻击检测

检测AP地址仿冒、客户端地址仿冒等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施,可根据需求进行选择

  • Spoofing

    • Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。

    • 目前支持的Spoofing检测包括:AP地址仿冒和客户端地址仿冒

  • Weak IV

    • WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

  • Windows网桥

    • 当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。

  • 设备禁用802.11n 40MHz

    • 支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

  • Omerta

    • Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

  • 未加密授权AP/未加密信任客户端

    • 在无线网络中,如果有授权AP或信任的无线客户端使用的配置是未加密的,网络攻击者很容易通过监听来获取无线网络中的数据,从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。

  • 热点攻击

    • 热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

  • 绿野模式

    • 当无线设备使用802.11n 绿野模式时,不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

  • 关联/重关联DoS攻击

    • 关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。

  • 中间人

    • 在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

  • 无线网桥

    • 攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。

  • AP信道变化

    • AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境的中AP设备的信道是否发生变化。

  • 广播解除关联帧/解除认证帧

    • 当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。

  • AP扮演者攻击

    • 在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔小于Beacon帧中携带的间隔值次数达到阈值来判断其是否为攻击者扮演的恶意AP。

  • AP泛洪

    • AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境中的AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时, WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。

  • 蜜罐AP

    • 攻击者在合法AP附近搭建一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

  • 节电攻击

    • 对于处于非节电模式下的无线客户端,攻击者可以通过发送节电模式开启报文(Null帧),诱使AP相信与其关联的无线客户端始终处于睡眠状态,并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧,在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

  • 软AP

    • 软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS通过检测某个MAC地址在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP,不对游离的客户端进行软AP检测。

  • 配置合法信道集

    • 开启非法信道检测功能后,用户可以设置合法信道集合,设备会在这些合法信道上进行监听和监测无线通信。如果WIPS在合法信道集合之外的其他信道上监听到无线通信,则会认为在这些信道上存在入侵行为。

  • 非法信道

    • 用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其他信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。

Signature策略

Signature策略是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。

页面向导:[无线配置/无线安全/WIPS/Signature策略]

本页面为您提供如下主要功能:

  • 显示Signature策略的信息

  • 添加Signature策略

  • 删除Signature策略

  • 修改Signature策略

添加Signature策略:

  1. 单击<添加>按钮,弹出添加策略页面,设置Signature策略名称、检测间隔、检测阈值等信息

  2. 单击<确定>按钮,完成配置

删除Signature策略:

  1. 勾选需要删除的Signature策略名称前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改Signature策略:

  1. 单击需要修改的Signature策略名称对应操作列“”图标,弹出修改策略页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

Signature策略参数解释

表-5 页面关键参数项描述

关键项

描述

Signature策略名称

Signature策略的名称,用于唯一标识此策略

检测间隔

Signature策略检测的时间间隔,取值范围为1~3600,单位为秒,缺省值为60

检测阈值

Signature策略检测的阈值,取值范围为1~100000,缺省值为50

静默时间

静默状态下,设备将不再响应该Signature策略,取值范围为5~604800,单位为秒,缺省值为600

Signature规则

选择已经创建的Signature规则

反制策略

在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。

页面向导:[无线配置/无线安全/WIPS/反制策略]

本页面为您提供如下主要功能:

  • 显示反制策略的信息

  • 添加反制策略

  • 删除反制策略

  • 修改反制策略

添加反制策略:

  1. 单击<添加>按钮,弹出添加策略页面,设置反制策略名称、设备分类类型、MAC地址等信息

  2. 单击<确定>按钮,完成配置

删除反制策略:

  1. 勾选需要删除的反制策略名称前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改反制策略:

  1. 单击需要修改的反制策略名称对应操作列“”图标,弹出修改策略页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

反制策略参数解释

表-6 页面关键参数项描述

关键项

描述

反制策略名称

反制策略的名称,用于唯一标识此策略

设备分类类型

分类类型分为以下几类:

  • 外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。

  • 配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP。例如,在信任设备列表中,但使用了非法SSID的AP;在OUI配置文件中,但不在禁用设备列表的AP;在信任OUI或是信任设备列表中,但是未与AC关联的AP。

  • 潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,那么该AP很可能是授权的AP,如Remote AP。

  • 潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。

  • 潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。

  • 非法AP(Rogue AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP和手动指定的非法AP。

  • 未分类AP(Uncategorized AP):无法确定归属类别的AP。

  • 未授权客户端(Unauthorized Client):不允许使用的客户端。如在禁用设备列表中的客户端、连接到Rogue AP上的客户端以及不在OUI配置文件中的客户端都是未授权客户端。

  • 错误关联客户端(Misassociation Client):信任设备列表中的客户端关联到非授权AP上。错误关联的客户端可能会对网络信息安全带来隐患。

  • 未分类客户端(Uncategorized Client):无法确定归属类别的客户端。

  • 反制攻击者(Active Attacker):主动对网络进行攻击的设备。

  • Ad hoc:运行在Ad hoc模式的AP。WIPS通过检测Beacon帧将其分类为Ad hoc。

MAC地址

客户端设备的唯一标识符

选择所有sensor

开启WIPS功能的AP

AP分类规则

页面向导:[无线配置/无线安全/WIPS/AP分类规则]

本页面为您提供如下主要功能:

  • 显示AP分类规则的信息

  • 添加AP分类规则

  • 删除AP分类规则

  • 修改AP分类规则

添加AP分类规则:

  1. 单击<添加>按钮,弹出添加规则页面,设置AP分类规则ID、信号强度、AP运行时间等信息

  2. 单击<确定>按钮,完成配置

删除AP分类规则:

  1. 勾选需要删除的AP分类规则ID前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改AP分类规则:

  1. 单击需要修改的AP分类规则ID对应操作列“”图标,弹出修改规则页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

AP分类规则参数解释

表-7 页面关键参数项描述

关键项

描述

AP分类规则ID

唯一标识此分类规则的ID号

信号强度

AP信号的强度阈值,注意:第二个值必须大于或等于第一个值

AP运行时间

AP运行的时间

AP关联客户端数量

AP当前关联的客户端数量

发现AP的Sensor数量

发现AP的Sensor数量

SSID

AP广播的无线网络名称

SSID大小写敏感

选择是否对SSID进行大小写敏感匹配

SSID匹配类型

SSID匹配的方式,包括:

  • 相等

  • 不相等

  • 包含

  • 不包含

OUI

设备MAC地址前3个字节,即供应商标识

安全模式

类型

  • Clear:一种无加密保护的无线网络服务,所有的数据报文都没有经过加密处理

  • WPA2:802.11i标准中定义的无线网络安全协议,提供比WEP和WPA更强的安全性。它使用CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)加密算法,以及AES(Advanced Encryption Standard)作为核心算法,为无线网络数据传输提供高级的保护

  • WPA:一种更加安全的无线网络加密方式,用于替代WEP。它使用TKIP(Temporal Key Integrity Protocol)加密算法来提供更强的数据保护

  • WEP:一种较早期的无线网络加密方式,使用RC4加密算法来保护数据的机密性

匹配方式

  • 相等

  • 包含

认证方式

类型

  • 802.1X:需要认证服务器进行身份认证

  • PSK:通过预共享密钥进行认证

  • Other:其他认证方式

  • None:无认证方式

匹配方式

  • 相等

  • 包含

Signature规则

每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AC解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AC将发送告警信息或记录日志。

页面向导:[无线配置/无线安全/WIPS/Signature规则]

本页面为您提供如下主要功能:

  • 显示Signature规则的信息

  • 添加Signature规则

  • 删除Signature规则

  • 修改Signature规则

添加Signature规则:

  1. 单击<添加>按钮,弹出添加规则页面,设置Signature规则ID、帧类型、管理帧子类型等信息

  2. 单击<确定>按钮,完成配置

删除Signature规则:

  1. 勾选需要删除的Signature规则ID前方选择框

  2. 单击<删除>按钮,弹出确认提示对话框,单击<是>按钮,完成配置

修改Signature规则:

  1. 单击需要修改的Signature规则ID对应操作列“”图标,弹出修改规则页面,修改相关配置项

  2. 单击<确定>按钮,完成配置

Signature规则参数解释

表-8 页面关键参数项描述

关键项

描述

Signature规则ID

唯一标识此分类规则的ID号

帧类型

  • 管理帧:用于建立、维护和拆除无线连接。它们包括用于扫描网络、认证和关联的帧,以及用于传输无线局域网管理信息的帧

  • 控制帧:用于传输控制信息,例如数据帧的确认和请求重传。它们还用于进行无线局域网的功率管理和带宽管理

  • 数据帧:用于传输实际的数据,例如从一个设备到另一个设备的数据传输

管理帧子类型

  • Association Request帧:当客户端想要加入一个无线网络时,它会发送一个Association Request帧给接入点(AP)。这个帧包含了客户端的身份信息以及它所期望的服务集标识符(SSID)等信息

  • Association Response帧:接入点收到客户端的Association Request帧后,会发送一个Association Response帧给客户端,这个帧包含了关于客户端是否被接受加入网络的信息,以及一些其他网络参数

  • Probe Request帧:当一个设备想要寻找可用的无线网络时,它会发送一个Probe Request帧。这个帧用于广播请求,询问附近的接入点是否有可用的网络

  • Beacon帧:接入点定期发送Beacon帧,用于向附近的设备广播网络的存在以及网络的一些基本参数,比如SSID、信道等

  • Disassociation帧:当客户端想要从一个网络中断开连接时,它会发送一个Disassociation帧给接入点,通知接入点它要离开网络

  • Authentication帧:在客户端与接入点建立连接之前,它们需要进行身份验证。在这个过程中,会涉及到Authentication帧的交换,用于验证客户端的身份

  • De-authentication帧:当接入点想要强制客户端断开连接时,它会发送一个De-authentication帧给客户端,通知客户端它被强制下线

MAC地址类型

  • 源MAC地址:发送数据包设备的MAC地址

  • 目的MAC地址:接收数据包设备的MAC地址

  • BSSID:基本服务集标识符

MAC地址

客户端设备的唯一标识符

序列号

指定报文序列号的范围,取值范围为0~4095

SSID

AP广播的无线网络名称

SSID大小写敏感

选择是否对SSID进行大小写敏感匹配

SSID匹配类型

SSID匹配的方式,包括:

  • 相等

  • 不相等

  • 包含

  • 不包含

SSID长度范围

指定无线网络名称的长度范围,取值范围为1~32

自定义报文位置

自定义报文匹配规则

忽略告警信息MAC地址列表

页面向导:[无线配置/无线安全/WIPS/忽略告警信息MAC地址列表]

  • 设置忽略告警信息MAC地址:按照格式要求输入MAC地址后,单击“”图标,完成配置

  • 删除忽略告警信息MAC地址:单击已添加的MAC地址对应的操作列“”图标,删除当前MAC地址

忽略告警信息MAC地址列表参数解释

表-9 页面关键参数项描述

关键项

描述

MAC地址

客户端设备的唯一标识符