無(wú)線入侵檢測(cè)及時(shí)呈現(xiàn)無(wú)線網(wǎng)絡(luò)安全真相
北京 2012-06-18(中國(guó)商業(yè)電訊)--為迎接黨的十八大順利召開(kāi),國(guó)家有關(guān)部門(mén)日前下發(fā)關(guān)于十八大網(wǎng)絡(luò)與信息安全保障工作的通知,各級(jí)運(yùn)營(yíng)商也紛紛制定具體安全保障工作目標(biāo)和工作內(nèi)容,無(wú)線網(wǎng)絡(luò)安全的防護(hù)工作也包括在內(nèi)。作為國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),啟明星辰公司一直致力于在信息安全的無(wú)煙戰(zhàn)場(chǎng)上保衛(wèi)國(guó)家建設(shè)和發(fā)展。為了保障十八大的信息安全,啟明星辰的專(zhuān)業(yè)技術(shù)人員攜帶無(wú)線入侵檢測(cè)(WIDS)產(chǎn)品參加了某省級(jí)運(yùn)營(yíng)商無(wú)線安全檢測(cè)及防護(hù)演練工作。
此次演練的主題是WLAN AP身份驗(yàn)證泛洪攻擊演練。演練工作主要包括:
一、準(zhǔn)備工作
此次演練在該運(yùn)營(yíng)商的實(shí)際辦公環(huán)境中進(jìn)行,辦公樓層部署有多臺(tái)AP設(shè)備,演練選擇其中某臺(tái)AP作為攻擊對(duì)象。應(yīng)急人員通過(guò)一臺(tái)測(cè)試筆記本接入該AP并驗(yàn)證可以正常訪問(wèn)互聯(lián)網(wǎng),模擬攻擊人員通過(guò)筆記本接入該AP,后續(xù)將通過(guò)部署在筆記本中的攻擊工具對(duì)無(wú)線AP進(jìn)行攻擊。
演練開(kāi)始前由運(yùn)營(yíng)商工作人員記錄測(cè)試筆記本及AP相關(guān)信息(MAC地址、SSID、信道號(hào)及連接狀態(tài)等)。啟明星辰無(wú)線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無(wú)線安全檢測(cè)時(shí)自動(dòng)發(fā)現(xiàn)的無(wú)線網(wǎng)絡(luò)信息如下:
圖1 啟明星辰無(wú)線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無(wú)線網(wǎng)絡(luò)拓?fù)?br />
圖2 啟明星辰無(wú)線入侵檢測(cè)(WIDS)發(fā)現(xiàn)的無(wú)線設(shè)備信息
整個(gè)過(guò)程中運(yùn)營(yíng)商也可通過(guò)其數(shù)據(jù)網(wǎng)管系統(tǒng)查看AP連接狀態(tài)和工作信息。
二、模擬攻擊
演練中通過(guò)工具先后模擬發(fā)起Authentication DoS和De-Authentication DoS兩種身份驗(yàn)證泛洪攻擊,攻擊持續(xù)一段時(shí)間之后,無(wú)線網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題,用新的客戶(hù)端去連接被攻擊AP,已經(jīng)無(wú)法建立正常連接,此時(shí)已連接在此AP 的客戶(hù)端也發(fā)現(xiàn)不能正常上網(wǎng)。由于該樓層部署有多臺(tái)AP,客戶(hù)端最終將會(huì)漫游至其他AP連接上網(wǎng)。
在模擬攻擊發(fā)生后進(jìn)行無(wú)線安全檢測(cè),通過(guò)抓包工具可以分別看到大量的偽造Authentication和De-authentication數(shù)據(jù)報(bào)文出現(xiàn):
圖3Authentication DoS攻擊抓包結(jié)果
圖4 De-Authentication DoS攻擊抓包結(jié)果
三、應(yīng)急啟動(dòng)
在察覺(jué)到網(wǎng)絡(luò)不穩(wěn)定時(shí),管理員立即采取設(shè)備觀測(cè)結(jié)合人工分析的方式加以關(guān)注,及時(shí)定位問(wèn)題,并采取有效措施解決問(wèn)題。
演練過(guò)程中可看到測(cè)試筆記本連接的AP發(fā)生遷移(MAC地址變更);登錄被攻擊AP,可看到原來(lái)連接于該AP的無(wú)線客戶(hù)端已經(jīng)下線;登錄數(shù)據(jù)網(wǎng)管系統(tǒng),可看到該無(wú)線客戶(hù)端下線,但AP工作狀態(tài)正常;由此得知,通過(guò)AP或網(wǎng)管系統(tǒng)都無(wú)法感知當(dāng)前無(wú)線網(wǎng)絡(luò)安全狀況,不能確定無(wú)線網(wǎng)絡(luò)是否處于被攻擊的狀態(tài)。而此時(shí),啟明星辰無(wú)線入侵檢測(cè)(WIDS)及時(shí)檢測(cè)到攻擊事件的發(fā)生,準(zhǔn)確識(shí)別攻擊來(lái)源,并給出報(bào)警和審計(jì)信息,運(yùn)維人員根據(jù)此信息進(jìn)行了攻擊排查及網(wǎng)絡(luò)恢復(fù)。
圖5無(wú)線安全引擎對(duì)認(rèn)證泛洪攻擊事件的報(bào)警
圖6無(wú)線安全引擎對(duì)去認(rèn)證泛洪攻擊事件的報(bào)警
四、事件處理和上報(bào)
演練完成后,相關(guān)人員對(duì)整個(gè)過(guò)程進(jìn)行完整記錄和分析總結(jié),并按照應(yīng)急響應(yīng)制度要求,將應(yīng)急處理分析情況報(bào)告相關(guān)人員。
通過(guò)此次演練,該省運(yùn)營(yíng)商制定了針對(duì)WLAN AP身份驗(yàn)證泛洪攻擊的應(yīng)急預(yù)案,并對(duì)相關(guān)安全防護(hù)工作進(jìn)行了有效驗(yàn)證,同時(shí),演練的順利完成也證明了啟明星辰無(wú)線入侵檢測(cè)(WIDS)產(chǎn)品在進(jìn)行無(wú)線安全檢測(cè)時(shí)的有效性和可靠性。此外,啟明星辰無(wú)線入侵檢測(cè)(WIDS)還可檢測(cè)包括流氓AP、無(wú)線掃描、無(wú)線欺騙、無(wú)線破解、無(wú)線中間人攻擊等多種類(lèi)型無(wú)線網(wǎng)絡(luò)安全事件,全面保障無(wú)線網(wǎng)絡(luò)安全。通過(guò)安全廠商與運(yùn)營(yíng)商的通力合作,將為十八大的順利召開(kāi)提供全面的信息安全保障。
背景資料
什么是WLAN AP身份驗(yàn)證泛洪攻擊
1. Authentication DoS
這是一種驗(yàn)證模式的攻擊,攻擊的效果是自動(dòng)模擬出隨機(jī)產(chǎn)生的MAC 地址向目標(biāo)AP不斷發(fā)送驗(yàn)證請(qǐng)求,導(dǎo)致AP忙于處理過(guò)多的驗(yàn)證請(qǐng)求而停止正常用戶(hù)的登錄請(qǐng)求,甚至影響已在線的客戶(hù)端。
2. De-Authentication DoS
去驗(yàn)證洪水攻擊,國(guó)際上稱(chēng)之為De-authentication Flood Attack,全稱(chēng)即去身份驗(yàn)證洪水攻擊或去驗(yàn)證阻斷洪水攻擊,通常被簡(jiǎn)稱(chēng)為Deauth攻擊,是無(wú)線網(wǎng)絡(luò)拒絕服務(wù)攻擊的一種形式,它旨在通過(guò)欺騙從AP到客戶(hù)端單播地址的去身份驗(yàn)證幀來(lái)將客戶(hù)端轉(zhuǎn)為未關(guān)聯(lián)的/未認(rèn)證的狀態(tài)。