無線入侵檢測(cè)及時(shí)呈現(xiàn)無線網(wǎng)絡(luò)安全真相
為迎接黨的十八大順利召開,國(guó)家有關(guān)部門日前下發(fā)關(guān)于十八大網(wǎng)絡(luò)與信息安全保障工作的通知,各級(jí)運(yùn)營(yíng)商也紛紛制定具體安全保障工作目標(biāo)和工作內(nèi)容,無線網(wǎng)絡(luò)安全的防護(hù)工作也包括在內(nèi)。作為國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),啟明星辰公司一直致力于在信息安全的無煙戰(zhàn)場(chǎng)上保衛(wèi)國(guó)家建設(shè)和發(fā)展。為了保障十八大的信息安全,啟明星辰的專業(yè)技術(shù)人員攜帶無線入侵檢測(cè)(WIDS)產(chǎn)品參加了某省級(jí)運(yùn)營(yíng)商無線安全檢測(cè)及防護(hù)演練工作。
本文引用地址:http://www.ex-cimer.com/article/154610.htm此次演練的主題是WLAN AP身份驗(yàn)證泛洪攻擊演練。演練工作主要包括:
一、準(zhǔn)備工作
此次演練在該運(yùn)營(yíng)商的實(shí)際辦公環(huán)境中進(jìn)行,辦公樓層部署有多臺(tái)AP設(shè)備,演練選擇其中某臺(tái)AP作為攻擊對(duì)象。應(yīng)急人員通過一臺(tái)測(cè)試筆記本接入該AP并驗(yàn)證可以正常訪問互聯(lián)網(wǎng),模擬攻擊人員通過筆記本接入該AP,后續(xù)將通過部署在筆記本中的攻擊工具對(duì)無線AP進(jìn)行攻擊。
演練開始前由運(yùn)營(yíng)商工作人員記錄測(cè)試筆記本及AP相關(guān)信息(MAC地址、SSID、信道號(hào)及連接狀態(tài)等)。啟明星辰無線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無線安全檢測(cè)時(shí)自動(dòng)發(fā)現(xiàn)的無線網(wǎng)絡(luò)信息如下:
圖1 啟明星辰無線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無線網(wǎng)絡(luò)拓?fù)?/p>
圖2 啟明星辰無線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無線設(shè)備信息
整個(gè)過程中運(yùn)營(yíng)商也可通過其數(shù)據(jù)網(wǎng)管系統(tǒng)查看AP連接狀態(tài)和工作信息。
二、模擬攻擊
演練中通過工具先后模擬發(fā)起Authentication DoS和De-Authentication DoS兩種身份驗(yàn)證泛洪攻擊,攻擊持續(xù)一段時(shí)間之后,無線網(wǎng)絡(luò)安全出現(xiàn)問題,用新的客戶端去連接被攻擊AP,已經(jīng)無法建立正常連接,此時(shí)已連接在此AP 的客戶端也發(fā)現(xiàn)不能正常上網(wǎng)。由于該樓層部署有多臺(tái)AP,客戶端最終將會(huì)漫游至其他AP連接上網(wǎng)。
在模擬攻擊發(fā)生后進(jìn)行無線安全檢測(cè),通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數(shù)據(jù)報(bào)文出現(xiàn):
圖3Authentication DoS攻擊抓包結(jié)果
圖4 De-Authentication DoS攻擊抓包結(jié)果
三、應(yīng)急啟動(dòng)
在察覺到網(wǎng)絡(luò)不穩(wěn)定時(shí),管理員立即采取設(shè)備觀測(cè)結(jié)合人工分析的方式加以關(guān)注,及時(shí)定位問題,并采取有效措施解決問題。
演練過程中可看到測(cè)試筆記本連接的AP發(fā)生遷移(MAC地址變更);登錄被攻擊AP,可看到原來連接于該AP的無線客戶端已經(jīng)下線;登錄數(shù)據(jù)網(wǎng)管系統(tǒng),可看到該無線客戶端下線,但AP工作狀態(tài)正常;由此得知,通過AP或網(wǎng)管系統(tǒng)都無法感知當(dāng)前無線網(wǎng)絡(luò)安全狀況,不能確定無線網(wǎng)絡(luò)是否處于被攻擊的狀態(tài)。而此時(shí),啟明星辰無線入侵檢測(cè)(WIDS)及時(shí)檢測(cè)到攻擊事件的發(fā)生,準(zhǔn)確識(shí)別攻擊來源,并給出報(bào)警和審計(jì)信息,運(yùn)維人員根據(jù)此信息進(jìn)行了攻擊排查及網(wǎng)絡(luò)恢復(fù)。
圖5無線安全引擎對(duì)認(rèn)證泛洪攻擊事件的報(bào)警
圖6無線安全引擎對(duì)去認(rèn)證泛洪攻擊事件的報(bào)警
四、事件處理和上報(bào)
演練完成后,相關(guān)人員對(duì)整個(gè)過程進(jìn)行完整記錄和分析總結(jié),并按照應(yīng)急響應(yīng)制度要求,將應(yīng)急處理分析情況報(bào)告相關(guān)人員。
通過此次演練,該省運(yùn)營(yíng)商制定了針對(duì)WLAN AP身份驗(yàn)證泛洪攻擊的應(yīng)急預(yù)案,并對(duì)相關(guān)安全防護(hù)工作進(jìn)行了有效驗(yàn)證,同時(shí),演練的順利完成也證明了啟明星辰無線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無線安全檢測(cè)時(shí)的有效性和可靠性。此外,啟明星辰無線入侵檢測(cè)(WIDS)還可檢測(cè)包括流氓AP、無線掃描、無線欺騙、無線破解、無線中間人攻擊等多種類型無線網(wǎng)絡(luò)安全事件,全面保障無線網(wǎng)絡(luò)安全。通過安全廠商與運(yùn)營(yíng)商的通力合作,將為十八大的順利召開提供全面的信息安全保障。
背景資料
什么是WLAN AP身份驗(yàn)證泛洪攻擊
1. Authentication DoS
這是一種驗(yàn)證模式的攻擊,攻擊的效果是自動(dòng)模擬出隨機(jī)產(chǎn)生的MAC 地址向目標(biāo)AP不斷發(fā)送驗(yàn)證請(qǐng)求,導(dǎo)致AP忙于處理過多的驗(yàn)證請(qǐng)求而停止正常用戶的登錄請(qǐng)求,甚至影響已在線的客戶端。
2. De-Authentication DoS
去驗(yàn)證洪水攻擊,國(guó)際上稱之為De-authentication Flood Attack,全稱即去身份驗(yàn)證洪水攻擊或去驗(yàn)證阻斷洪水攻擊,通常被簡(jiǎn)稱為Deauth攻擊,是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式,它旨在通過欺騙從AP到客戶端單播地址的去身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)的/未認(rèn)證的狀態(tài)。
評(píng)論