無線入侵檢測及時呈現(xiàn)無線網(wǎng)絡(luò)安全真相

為迎接黨的十八大順利召開，國家有關(guān)部門日前下發(fā)關(guān)于十八大網(wǎng)絡(luò)與信息安全保障工作的通知，各級運營商也紛紛制定具體安全保障工作目標和工作內(nèi)容，無線網(wǎng)絡(luò)安全的防護工作也包括在內(nèi)。作為國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，啟明星辰公司一直致力于在信息安全的無煙戰(zhàn)場上保衛(wèi)國家建設(shè)和發(fā)展。為了保障十八大的信息安全，啟明星辰的專業(yè)技術(shù)人員攜帶無線入侵檢測(WIDS)產(chǎn)品參加了某省級運營商無線安全檢測及防護演練工作。

此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括：

一、準備工作

此次演練在該運營商的實際辦公環(huán)境中進行，辦公樓層部署有多臺AP設(shè)備，演練選擇其中某臺AP作為攻擊對象。應(yīng)急人員通過一臺測試筆記本接入該AP并驗證可以正常訪問互聯(lián)網(wǎng)，模擬攻擊人員通過筆記本接入該AP，后續(xù)將通過部署在筆記本中的攻擊工具對無線AP進行攻擊。

演練開始前由運營商工作人員記錄測試筆記本及AP相關(guān)信息(MAC地址、SSID、信道號及連接狀態(tài)等)。啟明星辰無線入侵檢測(WIDS)產(chǎn)品在進行無線安全檢測時自動發(fā)現(xiàn)的無線網(wǎng)絡(luò)信息如下：

圖1 啟明星辰無線入侵檢測(WIDS)發(fā)現(xiàn)的無線網(wǎng)絡(luò)拓撲

圖2 啟明星辰無線入侵檢測(WIDS)發(fā)現(xiàn)的無線設(shè)備信息

整個過程中運營商也可通過其數(shù)據(jù)網(wǎng)管系統(tǒng)查看AP連接狀態(tài)和工作信息。

二、模擬攻擊

演練中通過工具先后模擬發(fā)起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊，攻擊持續(xù)一段時間之后，無線網(wǎng)絡(luò)安全出現(xiàn)問題，用新的客戶端去連接被攻擊AP，已經(jīng)無法建立正常連接，此時已連接在此AP 的客戶端也發(fā)現(xiàn)不能正常上網(wǎng)。由于該樓層部署有多臺AP，客戶端最終將會漫游至其他AP連接上網(wǎng)。

在模擬攻擊發(fā)生后進行無線安全檢測，通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數(shù)據(jù)報文出現(xiàn)：

圖3Authentication DoS攻擊抓包結(jié)果

圖4 De-Authentication DoS攻擊抓包結(jié)果

三、應(yīng)急啟動

在察覺到網(wǎng)絡(luò)不穩(wěn)定時，管理員立即采取設(shè)備觀測結(jié)合人工分析的方式加以關(guān)注，及時定位問題，并采取有效措施解決問題。

演練過程中可看到測試筆記本連接的AP發(fā)生遷移(MAC地址變更);登錄被攻擊AP，可看到原來連接于該AP的無線客戶端已經(jīng)下線;登錄數(shù)據(jù)網(wǎng)管系統(tǒng)，可看到該無線客戶端下線，但AP工作狀態(tài)正常;由此得知，通過AP或網(wǎng)管系統(tǒng)都無法感知當前無線網(wǎng)絡(luò)安全狀況，不能確定無線網(wǎng)絡(luò)是否處于被攻擊的狀態(tài)。而此時，啟明星辰無線入侵檢測(WIDS)及時檢測到攻擊事件的發(fā)生，準確識別攻擊來源，并給出報警和審計信息，運維人員根據(jù)此信息進行了攻擊排查及網(wǎng)絡(luò)恢復(fù)。

圖5無線安全引擎對認證泛洪攻擊事件的報警

圖6無線安全引擎對去認證泛洪攻擊事件的報警

四、事件處理和上報

演練完成后，相關(guān)人員對整個過程進行完整記錄和分析總結(jié)，并按照應(yīng)急響應(yīng)制度要求，將應(yīng)急處理分析情況報告相關(guān)人員。

通過此次演練，該省運營商制定了針對WLAN AP身份驗證泛洪攻擊的應(yīng)急預(yù)案，并對相關(guān)安全防護工作進行了有效驗證，同時，演練的順利完成也證明了啟明星辰無線入侵檢測(WIDS)產(chǎn)品在進行無線安全檢測時的有效性和可靠性。此外，啟明星辰無線入侵檢測(WIDS)還可檢測包括流氓AP、無線掃描、無線欺騙、無線破解、無線中間人攻擊等多種類型無線網(wǎng)絡(luò)安全事件，全面保障無線網(wǎng)絡(luò)安全。通過安全廠商與運營商的通力合作，將為十八大的順利召開提供全面的信息安全保障。

背景資料

什么是WLAN AP身份驗證泛洪攻擊

1. Authentication DoS

這是一種驗證模式的攻擊，攻擊的效果是自動模擬出隨機產(chǎn)生的MAC 地址向目標AP不斷發(fā)送驗證請求，導(dǎo)致AP忙于處理過多的驗證請求而停止正常用戶的登錄請求，甚至影響已在線的客戶端。

2. De-Authentication DoS

去驗證洪水攻擊，國際上稱之為De-authentication Flood Attack，全稱即去身份驗證洪水攻擊或去驗證阻斷洪水攻擊，通常被簡稱為Deauth攻擊，是無線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式，它旨在通過欺騙從AP到客戶端單播地址的去身份驗證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián)的/未認證的狀態(tài)。