企业无线安全解决方案——分析无线攻击行为与制定防御规则安全策略。之前发了个WIPS设计,写的不太好,不太清楚。前些日子听说新等保将无线安全列为合规性需求。那就来一发详细的吧。其实感觉WIPS以后的作用点会高起来,例如在军队、政府、公司、机场、酒店、城市、学校、等等人员密集的地方都可以。
传感器
传感器(Sensor)是WIPS很重要的一部分。它起到一个监控扫描并执行的作用。
真正看过传感器的人应该挺少的,我找了个,大家随意感受下:
其实就长这德行,跟个路由器差不多,当然,你可以做成帅点的。传感器的布局呢,要根据你传感器信号有效距离和防护区域而部署。用OepnWrt自己就可以搞一个简单的模型试试,或者是公司自己有硬件工程师物联网工程师的可以自己搞个特制的。需要注意的就是:
1一个传感器要支持802.11的主流协议如g/n/a
2要支持2.4 GHz频段和 5 GHz频段
3然后支持跳频扫描。
5最好弄的结实点,不管室内还是室外。
6你也可以弄支持多一点的功能,例如支持下其他无线协议。或者是能识别到伪基站、无人机、RF干扰什么之类的。
这篇主要讨论检测规则和识别策略,传感器怎么搞大家自己定吧。
开源WIDS
Snort大家应该都挺熟悉,一个轻量级的开源IDS。其实在里面它也扩展了无线模块,只不过很少人用而已,一般的企业简单点的话,都将Snort+Kismet作为无线告警系统的首选。不过这仅仅也就是起到告警作用。而且现在感觉已经过时了。毕竟IDS和IPS区别还是挺大的。
Snorby(Loganalyzer Console、BASE Console)+Snort+Barnyard2。当然了,前端控制台那个漂亮用那个。看一张Snort运行的界面。这是国外的人搞的一个,没有搞到OpenWrt上,也没有用Kismet。估计就是个测试。不过Snorby的前端我挺喜欢,开源IDS多了,大同小异吧,没啥新鲜的。
其实也没啥,感觉Snort在无线防御方面研究也就做个入门用,这里就不写搭建过程了,有想研究的可以私下交流下,我的Q:2191995916
简单扯一下,关于Kismet,很多人都以为它是个扫描工具,其实它是一个802.11数据包捕获和协议分析的框架,最NB的是你可以用Kismet生成KML文件,然后在“Google Earth”上读取,就可以读取GPS数据,并且还可以通过“GISKismet”进行可视化。
De-Authentication Flood 攻击行为分析
Deauth是一种身份验证洪水攻击,是无线网络的拒绝服务攻击。当Client与AP建立连接时,通过广播插入伪造的取消身份验证报文,Client认为报文来自AP,然后断开连接。
该方法不仅仅可以把AP打掉造成无限重连,而且在针对于WPA-WPA2/企业Radius+WPA架构中达到抓取Hash进行离线破解攻击。还有就是配合Fake AP进行攻击,达到更深一层的破坏。
这是在MDK3下面做的一个测试,可以看出大量的Deauth报文。
遭受Deauth攻击的无线网络。
在Wireshark的Filter中进行针对Deauth Frame进行过滤:
“wlan.fc.type ==0 && wlan.fc.type_subtype ==0x0c”
Reason Code 是Deauth Frame中的一个原因代码。