企業無線安全解決方案——分析無線攻擊行為與制定防禦規則安全性原則

企業無線安全解決方案——分析無線攻擊行為與制定防禦規則安全性原則。 之前發了個WIPS設計，寫的不太好，不太清楚。 前些日子聽說新等保將無線安全列為合規性需求。 那就來一發詳細的吧。 其實感覺WIPS以後的作用點會高起來，例如在軍隊、政府、公司、機場、酒店、城市、學校、等等人員密集的地方都可以。

感應器

感應器(Sensor)是WIPS很重要的一部分。 它起到一個監控掃描並執行的作用。

真正看過感應器的人應該挺少的，我找了個，大家隨意感受下：

其實就長這德行，跟個路由器差不多，當然，你可以做成帥點的。 感應器的佈局呢，要根據你感應器信號有效距離和防護區域而部署。 用OepnWrt自己就可以搞一個簡單的模型試試，或者是公司自己有硬體工程師物聯網工程師的可以自己搞個特製的。 需要注意的就是：

1一個感應器要支援802.11的主流協定如g/n/a

2要支援2.4 GHz頻段和 5 GHz頻段

3然後支援跳頻掃描。

5最好弄的結實點，不管室內還是室外。

6你也可以弄支援多一點的功能，例如支援下其他無線協定。 或者是能識別到偽基站、無人機、RF干擾什麼之類的。

這篇主要討論檢測規則和識別策略，感應器怎麼搞大家自己定吧。

開源WIDS

Snort大家應該都挺熟悉，一個羽量級的開源IDS。 其實在裡面它也擴展了無線模組，只不過很少人用而已，一般的企業簡單點的話，都將Snort+Kismet作為無線告警系統的首選。 不過這僅僅也就是起到告警作用。 而且現在感覺已經過時了。 畢竟IDS和IPS區別還是挺大的。

Snorby(Loganalyzer Console、BASE Console)+Snort+Barnyard2。 當然了，前端主控台那個漂亮用那個。 看一張Snort運行的介面。 這是國外的人搞的一個，沒有搞到OpenWrt上，也沒有用Kismet。 估計就是個測試。 不過Snorby的前端我挺喜歡，開源IDS多了，大同小異吧，沒啥新鮮的。

其實也沒啥，感覺Snort在無線防禦方面研究也就做個入門用，這裡就不寫搭建過程了，有想研究的可以私下交流下，我的Q：2191995916

簡單扯一下，關於Kismet，很多人都以為它是個掃描工具，其實它是一個802.11資料包捕獲和協定分析的框架，最NB的是你可以用Kismet生成KML檔，然後在「Google Earth」上讀取，就可以讀取GPS資料， 並且還可以通過「GISKismet」進行視覺化。

De-Authentication Flood 攻擊行為分析

Deauth是一種身份驗證洪水攻擊，是無線網路的拒絕服務攻擊。 當Client與AP建立連接時，通過廣播插入偽造的取消身份驗證報文，Client認為報文來自AP，然後斷開連接。

該方法不僅僅可以把AP打掉造成無限重連，而且在針對于WPA-WPA2/企業Radius+WPA架構中達到抓取Hash進行離線破解攻擊。 還有就是配合Fake AP進行攻擊，達到更深一層的破壞。

這是在MDK3下面做的一個測試，可以看出大量的Deauth報文。

遭受Deauth攻擊的無線網路。

在Wireshark的Filter中進行針對Deauth Frame進行過濾：

「wlan.fc.type ==0 && wlan.fc.type_subtype ==0x0c」

Reason Code 是Deauth Frame中的一個原因代碼。