欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

基于检测防御企业无线安全威胁的WIPS设计

来源:本站整理 作者:佚名 时间:2016-11-02 TAG: 我要投稿

随着企业对安全的重视,应用于各种网络环境的IPS应运而生。企业无线网络其实是一个脆弱点。
参看360天巡团队的一篇文章[2015企业无线网络安全报告],就是一个无线网络缺陷引发的血案。
无线网络出现威胁的时候,不单单是无线网络的威胁,更是内网威胁!
关于企业无线网络威胁

简单的画了个图,顺便推荐一下,https://www.processon.com/这个在线画图网站,真的很赞。我是刚知道的,大家有做PPT的可以用下。
从图上可知,防火墙并不能保护无线边界的安全,任何一个无线入口,都会成为公司网络沦陷的关键.内网安全、vpn等等。可以具体了解下现流行的无线攻击手段:
Fake AP
黑客会生成一个与合法AP SSID一样的恶意热点,然后进行对合法热点进行DOS攻击使其合法客户端连接到hack AP上从而进行一系列的密码获取和流量窃取用户劫持等。
Denial of Service
拒绝服务会导致路由器与客户端断开,崩溃、无限重连。/Deauth解除认证攻击来获取握手包进行暴力破解。
Rogue AP
攻击者可以建立一个带有诱惑字样的热点名称,如:SSID=freewif等引诱被害人连接,进行hacking。
Ad-hoc/私建热点
上面那文章也提到了天河一号私建热点的情况,员工的私建热点,员工私建热点一但被攻破公司网络将面临严重威胁。
Router backdoor vulnerability
最近网络中也爆出了很多关于CISCO、D-link的一系列的后门漏洞和代码执行,还有一些诸如CSRF类的漏洞。都是一些无线安全威胁。
所以,黑客在获得无线网络权限后,假设被攻击者的网段在公司有很高的权限,那后果可想而知。并且,你的VPN网络也会收到威胁。
关于WIPS的设计阐述
中国的WIPS市场不太多,目前我就知道有几家做了:360-天巡、启明星辰有。然后山东有一个小公司也有叫什么我忘了。绿盟我听别人说有,但我没找到。
国外品牌挺多的,也挺厉害的,我找其中一家公司还要过演示视频,发了十几封邮件,光职业我就换了很多,什么programmer/security engineer/Student/CTO/连厨师我都写过,可人家没鸟我。
由于是无线网络的原因,IPS还有一部分是一个接收和扫描信号的传感器硬件。我这里也没有那东西,也没办法详细剖析硬件,只说技术层面的东西。
我内心认为的一个WIPS功能:(只是自己的想法,不代表大众)

WIPS的部署与结构

在公司办公楼内,根据传感器的传输能力来均衡部署。中控服务负责处理数据,服务器负责一些配置运行,控制台负责时时监控无线信息。简单来说它们的工作就是:
入侵检测—传感器—策略执行
入侵检测识别
(一)Identify DOS Attack
DOS攻击有很多种,什么Authentiction Flood 、De-Authentcation Flood、Association Flood、Beacon Flood 等等。
Deauth Flood:这个在常见无线攻击中,是最常用的,应该也是最常见的,当Client对AP进行认证的时候,过程可以使用一些Radius、EAP等安全协议来认证Client,然后它们就连在一起了,这时候如果接收到Deauth的框架信息,就会与客户端分离.迫使再次重新连接进行拒绝服务。可以延伸的问题就是1.handshake 被抓2.再次连接的到AP可能是hack AP。  

Client和AP之间的连接是通过各种数据帧交换建立起来的,Client与AP连接后,交换了
ManagementFrame,一些身份验证和ASSOC。
我以前在《企业级无线渗透与无线数据浅析》里好像提过Deauth,我曾经把Deauth的数
据和正常数据进行比对,结果是一样的,但比对数据可以识别攻击,就是不能0误报。                
这里还面临着一个问题,如果攻击者是单纯的进行拒绝服务,你可以去做出识别并阻断,而如果攻击者的意图在于捕获HandShake进行破解,那你的识别就显得无力,因为一个AP在Client数量很多,数据流畅的时候,基本上第一个Deauth就已经能捕获了。
Identify Rules
其实针对这种攻击呢,称为链路层攻击,在MAC层做这种检测。其实MAC层做检测要比在IP层要好的多,因为IP可以分配给不同的计算机,而MAC都是与计算机网卡相关的地址。计算机的第二链路层负责MAC地址。所以很多针对链路层的攻击的检测都从MAC地址下手。
1. IPS检测这种攻击只要看到大量的帧之后,就可以启动报警,帧的数量参数由自己来定。
我们可以根据Management Frames的类型和Authentication报文进行检测Deauth:


我自己搞的这个Handshake包为合法数据,Deauth包为我用aireplay发送的包。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载