欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

企业无线安全解决方案——分析无线攻击行为与制定防御规则安全策略

来源:本站整理 作者:佚名 时间:2017-03-18 TAG: 我要投稿

之前发了个WIPS设计,写的不太好,不太清楚。前些日子听说新等保将无线安全列为合规性需求。那就来一发详细的吧。其实感觉WIPS以后的作用点会高起来,例如在军队、政府、公司、机场、酒店、城市、学校、等等人员密集的地方都可以。
传感器
传感器(Sensor)是WIPS很重要的一部分。它起到一个监控扫描并执行的作用。

真正看过传感器的人应该挺少的,我找了个,大家随意感受下:

其实就长这德行,跟个路由器差不多,当然,你可以做成帅点的。传感器的布局呢,要根据你传感器信号有效距离和防护区域而部署。用OepnWrt自己就可以搞一个简单的模型试试,或者是公司自己有硬件工程师物联网工程师的可以自己搞个特制的。需要注意的就是:
1一个传感器要支持802.11的主流协议如g/n/a
2要支持2.4 GHz频段和 5 GHz频段
3然后支持跳频扫描。
5最好弄的结实点,不管室内还是室外。
6你也可以弄支持多一点的功能,例如支持下其他无线协议。或者是能识别到伪基站、无人机、RF干扰什么之类的。
这篇主要讨论检测规则和识别策略,传感器怎么搞大家自己定吧。
开源WIDS
Snort大家应该都挺熟悉,一个轻量级的开源IDS。其实在里面它也扩展了无线模块,只不过很少人用而已,一般的企业简单点的话,都将Snort+Kismet作为无线告警系统的首选。不过这仅仅也就是起到告警作用。而且现在感觉已经过时了。毕竟IDS和IPS区别还是挺大的。
Snorby(Loganalyzer Console、BASE Console)+Snort+Barnyard2。当然了,前端控制台那个漂亮用那个。看一张Snort运行的界面。这是国外的人搞的一个,没有搞到OpenWrt上,也没有用Kismet。估计就是个测试。不过Snorby的前端我挺喜欢,开源IDS多了,大同小异吧,没啥新鲜的。


其实也没啥,感觉Snort在无线防御方面研究也就做个入门用,这里就不写搭建过程了,有想研究的可以私下交流下,我的Q:2191995916
简单扯一下,关于Kismet,很多人都以为它是个扫描工具,其实它是一个802.11数据包捕获和协议分析的框架,最NB的是你可以用Kismet生成KML文件,然后在“Google Earth”上读取,就可以读取GPS数据,并且还可以通过“GISKismet”进行可视化。

De-Authentication Flood 攻击行为分析
Deauth是一种身份验证洪水攻击,是无线网络的拒绝服务攻击。当Client与AP建立连接时,通过广播插入伪造的取消身份验证报文,Client认为报文来自AP,然后断开连接。
该方法不仅仅可以把AP打掉造成无限重连,而且在针对于WPA-WPA2/企业Radius+WPA架构中达到抓取Hash进行离线破解攻击。还有就是配合Fake AP进行攻击,达到更深一层的破坏。


这是在MDK3下面做的一个测试,可以看出大量的Deauth报文。

遭受Deauth攻击的无线网络。

在Wireshark的Filter中进行针对Deauth Frame进行过滤:

“wlan.fc.type ==0 && wlan.fc.type_subtype ==0x0c”

Reason Code 是Deauth Frame中的一个原因代码。
根据802.11给的 Reaon Code一段代码表:
https://supportforums.cisco.com/document/141136/80211-association-status-80211-deauth-reason-codes

可知,上述原因(0X0001)是由于未知情况造成的。所以间接可以排除掉其他“正常”状态下的断开连接,缩小排查范围。
其实DOS攻击还有很多种,例如什么ASSOC Attack,Auth Attack,针对802.1x的EAPOL
下面就是个Auth Attack与EAPOL Attack的报文:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载