无线入侵检测及时呈现无线网络安全真相
北京 2012-06-18(中国商业电讯)--为迎接党的十八大顺利召开,国家有关部门日前下发关于十八大网络与信息安全保障工作的通知,各级运营商也纷纷制定具体安全保障工作目标和工作内容,无线网络安全的防护工作也包括在内。作为国内信息安全行业的领军企业,启明星辰公司一直致力于在信息安全的无烟战场上保卫国家建设和发展。为了保障十八大的信息安全,启明星辰的专业技术人员携带无线入侵检测(WIDS)产品参加了某省级运营商无线安全检测及防护演练工作。
此次演练的主题是WLAN AP身份验证泛洪攻击演练。演练工作主要包括:
一、准备工作
此次演练在该运营商的实际办公环境中进行,办公楼层部署有多台AP设备,演练选择其中某台AP作为攻击对象。应急人员通过一台测试笔记本接入该AP并验证可以正常访问互联网,模拟攻击人员通过笔记本接入该AP,后续将通过部署在笔记本中的攻击工具对无线AP进行攻击。
演练开始前由运营商工作人员记录测试笔记本及AP相关信息(MAC地址、SSID、信道号及连接状态等)。启明星辰无线入侵检测(WIDS)产品在进行无线安全检测时自动发现的无线网络信息如下:
图1 启明星辰无线入侵检测(WIDS)发现的无线网络拓扑
图2 启明星辰无线入侵检测(WIDS)发现的无线设备信息
整个过程中运营商也可通过其数据网管系统查看AP连接状态和工作信息。
二、模拟攻击
演练中通过工具先后模拟发起Authentication DoS和De-Authentication DoS两种身份验证泛洪攻击,攻击持续一段时间之后,无线网络安全出现问题,用新的客户端去连接被攻击AP,已经无法建立正常连接,此时已连接在此AP 的客户端也发现不能正常上网。由于该楼层部署有多台AP,客户端最终将会漫游至其他AP连接上网。
在模拟攻击发生后进行无线安全检测,通过抓包工具可以分别看到大量的伪造Authentication和De-authentication数据报文出现:
图3Authentication DoS攻击抓包结果
图4 De-Authentication DoS攻击抓包结果
三、应急启动
在察觉到网络不稳定时,管理员立即采取设备观测结合人工分析的方式加以关注,及时定位问题,并采取有效措施解决问题。
演练过程中可看到测试笔记本连接的AP发生迁移(MAC地址变更);登录被攻击AP,可看到原来连接于该AP的无线客户端已经下线;登录数据网管系统,可看到该无线客户端下线,但AP工作状态正常;由此得知,通过AP或网管系统都无法感知当前无线网络安全状况,不能确定无线网络是否处于被攻击的状态。而此时,启明星辰无线入侵检测(WIDS)及时检测到攻击事件的发生,准确识别攻击来源,并给出报警和审计信息,运维人员根据此信息进行了攻击排查及网络恢复。
图5无线安全引擎对认证泛洪攻击事件的报警
图6无线安全引擎对去认证泛洪攻击事件的报警
四、事件处理和上报
演练完成后,相关人员对整个过程进行完整记录和分析总结,并按照应急响应制度要求,将应急处理分析情况报告相关人员。
通过此次演练,该省运营商制定了针对WLAN AP身份验证泛洪攻击的应急预案,并对相关安全防护工作进行了有效验证,同时,演练的顺利完成也证明了启明星辰无线入侵检测(WIDS)产品在进行无线安全检测时的有效性和可靠性。此外,启明星辰无线入侵检测(WIDS)还可检测包括流氓AP、无线扫描、无线欺骗、无线破解、无线中间人攻击等多种类型无线网络安全事件,全面保障无线网络安全。通过安全厂商与运营商的通力合作,将为十八大的顺利召开提供全面的信息安全保障。
背景资料
什么是WLAN AP身份验证泛洪攻击
1. Authentication DoS
这是一种验证模式的攻击,攻击的效果是自动模拟出随机产生的MAC 地址向目标AP不断发送验证请求,导致AP忙于处理过多的验证请求而停止正常用户的登录请求,甚至影响已在线的客户端。
2. De-Authentication DoS
去验证洪水攻击,国际上称之为De-authentication Flood Attack,全称即去身份验证洪水攻击或去验证阻断洪水攻击,通常被简称为Deauth攻击,是无线网络拒绝服务攻击的一种形式,它旨在通过欺骗从AP到客户端单播地址的去身份验证帧来将客户端转为未关联的/未认证的状态。