無(wú)線(xiàn)入侵檢測及時(shí)呈現無(wú)線(xiàn)網(wǎng)絡(luò )安全真相

為迎接黨的十八大順利召開(kāi)，國家有關(guān)部門(mén)日前下發(fā)關(guān)于十八大網(wǎng)絡(luò )與信息安全保障工作的通知，各級運營(yíng)商也紛紛制定具體安全保障工作目標和工作內容，無(wú)線(xiàn)網(wǎng)絡(luò )安全的防護工作也包括在內。作為國內信息安全行業(yè)的領(lǐng)軍企業(yè)，啟明星辰公司一直致力于在信息安全的無(wú)煙戰場(chǎng)上保衛國家建設和發(fā)展。為了保障十八大的信息安全，啟明星辰的專(zhuān)業(yè)技術(shù)人員攜帶無(wú)線(xiàn)入侵檢測(WIDS)產(chǎn)品參加了某省級運營(yíng)商無(wú)線(xiàn)安全檢測及防護演練工作。

此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括：

一、準備工作

此次演練在該運營(yíng)商的實(shí)際辦公環(huán)境中進(jìn)行，辦公樓層部署有多臺AP設備，演練選擇其中某臺AP作為攻擊對象。應急人員通過(guò)一臺測試筆記本接入該AP并驗證可以正常訪(fǎng)問(wèn)互聯(lián)網(wǎng)，模擬攻擊人員通過(guò)筆記本接入該AP，后續將通過(guò)部署在筆記本中的攻擊工具對無(wú)線(xiàn)AP進(jìn)行攻擊。

演練開(kāi)始前由運營(yíng)商工作人員記錄測試筆記本及AP相關(guān)信息(MAC地址、SSID、信道號及連接狀態(tài)等)。啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)產(chǎn)品在進(jìn)行無(wú)線(xiàn)安全檢測時(shí)自動(dòng)發(fā)現的無(wú)線(xiàn)網(wǎng)絡(luò )信息如下：

圖1 啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)發(fā)現的無(wú)線(xiàn)網(wǎng)絡(luò )拓撲

圖2 啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)發(fā)現的無(wú)線(xiàn)設備信息

整個(gè)過(guò)程中運營(yíng)商也可通過(guò)其數據網(wǎng)管系統查看AP連接狀態(tài)和工作信息。

二、模擬攻擊

演練中通過(guò)工具先后模擬發(fā)起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊，攻擊持續一段時(shí)間之后，無(wú)線(xiàn)網(wǎng)絡(luò )安全出現問(wèn)題，用新的客戶(hù)端去連接被攻擊AP，已經(jīng)無(wú)法建立正常連接，此時(shí)已連接在此AP 的客戶(hù)端也發(fā)現不能正常上網(wǎng)。由于該樓層部署有多臺AP，客戶(hù)端最終將會(huì )漫游至其他AP連接上網(wǎng)。

在模擬攻擊發(fā)生后進(jìn)行無(wú)線(xiàn)安全檢測，通過(guò)抓包工具可以分別看到大量的偽造Authentication和De-authentication數據報文出現：

圖3Authentication DoS攻擊抓包結果

圖4 De-Authentication DoS攻擊抓包結果

三、應急啟動(dòng)

在察覺(jué)到網(wǎng)絡(luò )不穩定時(shí)，管理員立即采取設備觀(guān)測結合人工分析的方式加以關(guān)注，及時(shí)定位問(wèn)題，并采取有效措施解決問(wèn)題。

演練過(guò)程中可看到測試筆記本連接的AP發(fā)生遷移(MAC地址變更);登錄被攻擊AP，可看到原來(lái)連接于該AP的無(wú)線(xiàn)客戶(hù)端已經(jīng)下線(xiàn);登錄數據網(wǎng)管系統，可看到該無(wú)線(xiàn)客戶(hù)端下線(xiàn)，但AP工作狀態(tài)正常;由此得知，通過(guò)AP或網(wǎng)管系統都無(wú)法感知當前無(wú)線(xiàn)網(wǎng)絡(luò )安全狀況，不能確定無(wú)線(xiàn)網(wǎng)絡(luò )是否處于被攻擊的狀態(tài)。而此時(shí)，啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)及時(shí)檢測到攻擊事件的發(fā)生，準確識別攻擊來(lái)源，并給出報警和審計信息，運維人員根據此信息進(jìn)行了攻擊排查及網(wǎng)絡(luò )恢復。

圖5無(wú)線(xiàn)安全引擎對認證泛洪攻擊事件的報警

圖6無(wú)線(xiàn)安全引擎對去認證泛洪攻擊事件的報警

四、事件處理和上報

演練完成后，相關(guān)人員對整個(gè)過(guò)程進(jìn)行完整記錄和分析總結，并按照應急響應制度要求，將應急處理分析情況報告相關(guān)人員。

通過(guò)此次演練，該省運營(yíng)商制定了針對WLAN AP身份驗證泛洪攻擊的應急預案，并對相關(guān)安全防護工作進(jìn)行了有效驗證，同時(shí)，演練的順利完成也證明了啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)產(chǎn)品在進(jìn)行無(wú)線(xiàn)安全檢測時(shí)的有效性和可靠性。此外，啟明星辰無(wú)線(xiàn)入侵檢測(WIDS)還可檢測包括流氓AP、無(wú)線(xiàn)掃描、無(wú)線(xiàn)欺騙、無(wú)線(xiàn)破解、無(wú)線(xiàn)中間人攻擊等多種類(lèi)型無(wú)線(xiàn)網(wǎng)絡(luò )安全事件，全面保障無(wú)線(xiàn)網(wǎng)絡(luò )安全。通過(guò)安全廠(chǎng)商與運營(yíng)商的通力合作，將為十八大的順利召開(kāi)提供全面的信息安全保障。

背景資料

什么是WLAN AP身份驗證泛洪攻擊

1. Authentication DoS

這是一種驗證模式的攻擊，攻擊的效果是自動(dòng)模擬出隨機產(chǎn)生的MAC 地址向目標AP不斷發(fā)送驗證請求，導致AP忙于處理過(guò)多的驗證請求而停止正常用戶(hù)的登錄請求，甚至影響已在線(xiàn)的客戶(hù)端。

2. De-Authentication DoS

去驗證洪水攻擊，國際上稱(chēng)之為De-authentication Flood Attack，全稱(chēng)即去身份驗證洪水攻擊或去驗證阻斷洪水攻擊，通常被簡(jiǎn)稱(chēng)為Deauth攻擊，是無(wú)線(xiàn)網(wǎng)絡(luò )拒絕服務(wù)攻擊的一種形式，它旨在通過(guò)欺騙從AP到客戶(hù)端單播地址的去身份驗證幀來(lái)將客戶(hù)端轉為未關(guān)聯(lián)的/未認證的狀態(tài)。