首页 > 安全 > 企业安全 > 正文
企业无线安全解决方案——分析无线攻击行为与制定防御规则安全策略
2017-03-20       个评论      
收藏    我要投稿

企业无线安全解决方案——分析无线攻击行为与制定防御规则安全策略。之前发了个WIPS设计,写的不太好,不太清楚。前些日子听说新等保将无线安全列为合规性需求。那就来一发详细的吧。其实感觉WIPS以后的作用点会高起来,例如在军队、政府、公司、机场、酒店、城市、学校、等等人员密集的地方都可以。

传感器

传感器(Sensor)是WIPS很重要的一部分。它起到一个监控扫描并执行的作用。

\

真正看过传感器的人应该挺少的,我找了个,大家随意感受下:

\

其实就长这德行,跟个路由器差不多,当然,你可以做成帅点的。传感器的布局呢,要根据你传感器信号有效距离和防护区域而部署。用OepnWrt自己就可以搞一个简单的模型试试,或者是公司自己有硬件工程师物联网工程师的可以自己搞个特制的。需要注意的就是:

1一个传感器要支持802.11的主流协议如g/n/a

2要支持2.4 GHz频段和 5 GHz频段

3然后支持跳频扫描。

5最好弄的结实点,不管室内还是室外。

6你也可以弄支持多一点的功能,例如支持下其他无线协议。或者是能识别到伪基站、无人机、RF干扰什么之类的。

这篇主要讨论检测规则和识别策略,传感器怎么搞大家自己定吧。

开源WIDS

Snort大家应该都挺熟悉,一个轻量级的开源IDS。其实在里面它也扩展了无线模块,只不过很少人用而已,一般的企业简单点的话,都将Snort+Kismet作为无线告警系统的首选。不过这仅仅也就是起到告警作用。而且现在感觉已经过时了。毕竟IDS和IPS区别还是挺大的。

Snorby(Loganalyzer Console、BASE Console)+Snort+Barnyard2。当然了,前端控制台那个漂亮用那个。看一张Snort运行的界面。这是国外的人搞的一个,没有搞到OpenWrt上,也没有用Kismet。估计就是个测试。不过Snorby的前端我挺喜欢,开源IDS多了,大同小异吧,没啥新鲜的。

\
\

其实也没啥,感觉Snort在无线防御方面研究也就做个入门用,这里就不写搭建过程了,有想研究的可以私下交流下,我的Q:2191995916

简单扯一下,关于Kismet,很多人都以为它是个扫描工具,其实它是一个802.11数据包捕获和协议分析的框架,最NB的是你可以用Kismet生成KML文件,然后在“Google Earth”上读取,就可以读取GPS数据,并且还可以通过“GISKismet”进行可视化。

\

De-Authentication Flood 攻击行为分析

Deauth是一种身份验证洪水攻击,是无线网络的拒绝服务攻击。当Client与AP建立连接时,通过广播插入伪造的取消身份验证报文,Client认为报文来自AP,然后断开连接。

该方法不仅仅可以把AP打掉造成无限重连,而且在针对于WPA-WPA2/企业Radius+WPA架构中达到抓取Hash进行离线破解攻击。还有就是配合Fake AP进行攻击,达到更深一层的破坏。

\
\

这是在MDK3下面做的一个测试,可以看出大量的Deauth报文。

\

遭受Deauth攻击的无线网络。

\

在Wireshark的Filter中进行针对Deauth Frame进行过滤:

“wlan.fc.type ==0 && wlan.fc.type_subtype ==0x0c”

\

Reason Code 是Deauth Frame中的一个原因代码。

点击复制链接 与好友分享!回本站首页
上一篇:企业安全建设之浅谈办公网安全
下一篇:企业安全建设之浅谈数据防泄露
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站