企業無線安全解決方案——分析無線攻擊行為與制定防禦規則安全性原則。 之前發了個WIPS設計,寫的不太好,不太清楚。 前些日子聽說新等保將無線安全列為合規性需求。 那就來一發詳細的吧。 其實感覺WIPS以後的作用點會高起來,例如在軍隊、政府、公司、機場、酒店、城市、學校、等等人員密集的地方都可以。
感應器
感應器(Sensor)是WIPS很重要的一部分。 它起到一個監控掃描並執行的作用。
真正看過感應器的人應該挺少的,我找了個,大家隨意感受下:
其實就長這德行,跟個路由器差不多,當然,你可以做成帥點的。 感應器的佈局呢,要根據你感應器信號有效距離和防護區域而部署。 用OepnWrt自己就可以搞一個簡單的模型試試,或者是公司自己有硬體工程師物聯網工程師的可以自己搞個特製的。 需要注意的就是:
1一個感應器要支援802.11的主流協定如g/n/a
2要支援2.4 GHz頻段和 5 GHz頻段
3然後支援跳頻掃描。
5最好弄的結實點,不管室內還是室外。
6你也可以弄支援多一點的功能,例如支援下其他無線協定。 或者是能識別到偽基站、無人機、RF干擾什麼之類的。
這篇主要討論檢測規則和識別策略,感應器怎麼搞大家自己定吧。
開源WIDS
Snort大家應該都挺熟悉,一個羽量級的開源IDS。 其實在裡面它也擴展了無線模組,只不過很少人用而已,一般的企業簡單點的話,都將Snort+Kismet作為無線告警系統的首選。 不過這僅僅也就是起到告警作用。 而且現在感覺已經過時了。 畢竟IDS和IPS區別還是挺大的。
Snorby(Loganalyzer Console、BASE Console)+Snort+Barnyard2。 當然了,前端主控台那個漂亮用那個。 看一張Snort運行的介面。 這是國外的人搞的一個,沒有搞到OpenWrt上,也沒有用Kismet。 估計就是個測試。 不過Snorby的前端我挺喜歡,開源IDS多了,大同小異吧,沒啥新鮮的。
其實也沒啥,感覺Snort在無線防禦方面研究也就做個入門用,這裡就不寫搭建過程了,有想研究的可以私下交流下,我的Q:2191995916
簡單扯一下,關於Kismet,很多人都以為它是個掃描工具,其實它是一個802.11資料包捕獲和協定分析的框架,最NB的是你可以用Kismet生成KML檔,然後在「Google Earth」上讀取,就可以讀取GPS資料, 並且還可以通過「GISKismet」進行視覺化。
De-Authentication Flood 攻擊行為分析
Deauth是一種身份驗證洪水攻擊,是無線網路的拒絕服務攻擊。 當Client與AP建立連接時,通過廣播插入偽造的取消身份驗證報文,Client認為報文來自AP,然後斷開連接。
該方法不僅僅可以把AP打掉造成無限重連,而且在針對于WPA-WPA2/企業Radius+WPA架構中達到抓取Hash進行離線破解攻擊。 還有就是配合Fake AP進行攻擊,達到更深一層的破壞。
這是在MDK3下面做的一個測試,可以看出大量的Deauth報文。
遭受Deauth攻擊的無線網路。
在Wireshark的Filter中進行針對Deauth Frame進行過濾:
「wlan.fc.type ==0 && wlan.fc.type_subtype ==0x0c」
Reason Code 是Deauth Frame中的一個原因代碼。