無線入侵檢測(cè)及時(shí)呈現(xiàn)無線網(wǎng)絡(luò)安全真相

為迎接黨的十八大順利召開，國(guó)家有關(guān)部門日前下發(fā)關(guān)于十八大網(wǎng)絡(luò)與信息安全保障工作的通知，各級(jí)運(yùn)營(yíng)商也紛紛制定具體安全保障工作目標(biāo)和工作內(nèi)容，無線網(wǎng)絡(luò)安全的防護(hù)工作也包括在內(nèi)。作為國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，啟明星辰公司一直致力于在信息安全的無煙戰(zhàn)場(chǎng)上保衛(wèi)國(guó)家建設(shè)和發(fā)展。為了保障十八大的信息安全，啟明星辰的專業(yè)技術(shù)人員攜帶無線入侵檢測(cè)(WIDS)產(chǎn)品參加了某省級(jí)運(yùn)營(yíng)商無線安全檢測(cè)及防護(hù)演練工作。

此次演練的主題是WLAN AP身份驗(yàn)證泛洪攻擊演練。演練工作主要包括：

一、準(zhǔn)備工作

此次演練在該運(yùn)營(yíng)商的實(shí)際辦公環(huán)境中進(jìn)行，辦公樓層部署有多臺(tái)AP設(shè)備，演練選擇其中某臺(tái)AP作為攻擊對(duì)象。應(yīng)急人員通過一臺(tái)測(cè)試筆記本接入該AP并驗(yàn)證可以正常訪問互聯(lián)網(wǎng)，模擬攻擊人員通過筆記本接入該AP，后續(xù)將通過部署在筆記本中的攻擊工具對(duì)無線AP進(jìn)行攻擊。

演練開始前由運(yùn)營(yíng)商工作人員記錄測(cè)試筆記本及AP相關(guān)信息(MAC地址、SSID、信道號(hào)及連接狀態(tài)等)。啟明星辰無線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無線安全檢測(cè)時(shí)自動(dòng)發(fā)現(xiàn)的無線網(wǎng)絡(luò)信息如下：

圖1 啟明星辰無線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無線網(wǎng)絡(luò)拓?fù)?/p>

圖2 啟明星辰無線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無線設(shè)備信息

整個(gè)過程中運(yùn)營(yíng)商也可通過其數(shù)據(jù)網(wǎng)管系統(tǒng)查看AP連接狀態(tài)和工作信息。

二、模擬攻擊

演練中通過工具先后模擬發(fā)起Authentication DoS和De-Authentication DoS兩種身份驗(yàn)證泛洪攻擊，攻擊持續(xù)一段時(shí)間之后，無線網(wǎng)絡(luò)安全出現(xiàn)問題，用新的客戶端去連接被攻擊AP，已經(jīng)無法建立正常連接，此時(shí)已連接在此AP 的客戶端也發(fā)現(xiàn)不能正常上網(wǎng)。由于該樓層部署有多臺(tái)AP，客戶端最終將會(huì)漫游至其他AP連接上網(wǎng)。

在模擬攻擊發(fā)生后進(jìn)行無線安全檢測(cè)，通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數(shù)據(jù)報(bào)文出現(xiàn)：

圖3Authentication DoS攻擊抓包結(jié)果

圖4 De-Authentication DoS攻擊抓包結(jié)果

三、應(yīng)急啟動(dòng)

在察覺到網(wǎng)絡(luò)不穩(wěn)定時(shí)，管理員立即采取設(shè)備觀測(cè)結(jié)合人工分析的方式加以關(guān)注，及時(shí)定位問題，并采取有效措施解決問題。

演練過程中可看到測(cè)試筆記本連接的AP發(fā)生遷移(MAC地址變更);登錄被攻擊AP，可看到原來連接于該AP的無線客戶端已經(jīng)下線;登錄數(shù)據(jù)網(wǎng)管系統(tǒng)，可看到該無線客戶端下線，但AP工作狀態(tài)正常;由此得知，通過AP或網(wǎng)管系統(tǒng)都無法感知當(dāng)前無線網(wǎng)絡(luò)安全狀況，不能確定無線網(wǎng)絡(luò)是否處于被攻擊的狀態(tài)。而此時(shí)，啟明星辰無線入侵檢測(cè)(WIDS)及時(shí)檢測(cè)到攻擊事件的發(fā)生，準(zhǔn)確識(shí)別攻擊來源，并給出報(bào)警和審計(jì)信息，運(yùn)維人員根據(jù)此信息進(jìn)行了攻擊排查及網(wǎng)絡(luò)恢復(fù)。

圖5無線安全引擎對(duì)認(rèn)證泛洪攻擊事件的報(bào)警

圖6無線安全引擎對(duì)去認(rèn)證泛洪攻擊事件的報(bào)警

四、事件處理和上報(bào)

演練完成后，相關(guān)人員對(duì)整個(gè)過程進(jìn)行完整記錄和分析總結(jié)，并按照應(yīng)急響應(yīng)制度要求，將應(yīng)急處理分析情況報(bào)告相關(guān)人員。

通過此次演練，該省運(yùn)營(yíng)商制定了針對(duì)WLAN AP身份驗(yàn)證泛洪攻擊的應(yīng)急預(yù)案，并對(duì)相關(guān)安全防護(hù)工作進(jìn)行了有效驗(yàn)證，同時(shí)，演練的順利完成也證明了啟明星辰無線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無線安全檢測(cè)時(shí)的有效性和可靠性。此外，啟明星辰無線入侵檢測(cè)(WIDS)還可檢測(cè)包括流氓AP、無線掃描、無線欺騙、無線破解、無線中間人攻擊等多種類型無線網(wǎng)絡(luò)安全事件，全面保障無線網(wǎng)絡(luò)安全。通過安全廠商與運(yùn)營(yíng)商的通力合作，將為十八大的順利召開提供全面的信息安全保障。

背景資料

什么是WLAN AP身份驗(yàn)證泛洪攻擊

1. Authentication DoS

這是一種驗(yàn)證模式的攻擊，攻擊的效果是自動(dòng)模擬出隨機(jī)產(chǎn)生的MAC 地址向目標(biāo)AP不斷發(fā)送驗(yàn)證請(qǐng)求，導(dǎo)致AP忙于處理過多的驗(yàn)證請(qǐng)求而停止正常用戶的登錄請(qǐng)求，甚至影響已在線的客戶端。

2. De-Authentication DoS

去驗(yàn)證洪水攻擊，國(guó)際上稱之為De-authentication Flood Attack，全稱即去身份驗(yàn)證洪水攻擊或去驗(yàn)證阻斷洪水攻擊，通常被簡(jiǎn)稱為Deauth攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的去身份驗(yàn)證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)的/未認(rèn)證的狀態(tài)。