WIDS和WIPS无线WLAN技术深度解析

检测原理：通过识别每个WEP报文的IV来预防这
种攻击，当含有弱向量的报文被检测到，AP向AC 上报告警信息，提醒用户使用其他安全策略来避免 STA使用弱向量加密。
防暴力破解PSK
eSight网管平台
Internet
AC
2 上报告警
3
动态黑名单限制用户
1 AP检测认证失败次数
防范原理：主要通过延长密码破解时间来防暴力破
解PSK密码。AP通过检测WPA/WPA2-PSK，WAPI-PSK， WEP-Share-Key认证时，一定时间内密钥协商失败次
数是否超过配置的阈值，如果超过，则认为该用户在 通过暴力破解密码，AP上报告警信息给AC，如果使 能动态黑名单功能则AP将该用户加入到黑名单列表， 丢弃该用户的所有报文，直至动态黑名单老化。
监测模式
AP仅实现监测功能，不提供无线接入服务。 AP依次扫描所有 无线信道，测听信道中所有802.11帧，监测无线网络中设备。
混合模式
AP进行工作信道的邻频和同频扫描监测无线网络中设备，p工作模式
monitor monitor monitor monitor hybrid hybrid hybrid hybrid normal normal normal normal
独立型网络 基础型网络
独立型网络 基础型网络
Ad-hoc设备 STA
Ad-hoc设备 AP
数据帧：根据To DS&From DS域来识别：
To DS 0 0 1 1
From DS 0 1 0 1
设备类型 Ad-hoc设备 AP STA 无线网桥
AP工作模式
接入模式
AP仅传输WLAN用户的数据，不进行任何监测。 说明：如果使能背景邻居探测功能进行信道调优时，AP是可以 测听802.11帧和扫描无线网络设备。
主要监测设备： Rogue AP Rogue Client Ad hoc终端 无线网桥
Rogue设备防范反制
防范反制
Internet
AC
eSight
假解除认证帧 无线用户
Monitor AP 假解除认证帧
合法AP 假解除认证帧
Rogue AP
Rogue 终端
Ad-Hoc
•Rogue设备防范：针对Rogue设备配置 黑名单功能来限制AP或者Client接入
•Rogue AP反制功能：监测AP使用Rogue
AP的MAC地址发送假广播解除认证帧或单 播解除认证帧，抑制无线用户和非法AP建立 链接。
•Rogue Client、Ad hoc设备反制功能：
监测AP使用Rogue Client或Ad hoc设备的 BSSID、MAC地址发送假单播解除认证帧进 行反制，防止Rogue Client接入AP或断开AdHoc连接
WIDS&WIPS应用场景一STA白名单
企业园区
Internet
AC6605
POE交换机 把允许接入网络的少 数STA的MAC地址加入 到STA白名单列表中
来破解密码。
目录
1 WIDS&WIPS简介 2 WIDS&WIPS原理 3 WIDS&WIPS应用场景 4 WIDS&WIPS WEB配置
802.11 管理帧介绍
802.11 MAC Header中Frame Control域如下所示：
Frame Control的Type域为00时表明是管理帧，再根据Subtype域判断管理帧类型： 0000：Association Request(关联请求) 0001：Association Response(关联响应) 0010：Reassociation Request(重关联请求) 0011：Reassociation Response(重关联响应) 0100：Probe Request(探测请求) 0101：Probe Response(探测响应) 1000：Beacon(信标帧) 1010：Disassociation(解除关联) 1011：Authentication(身份验证) 1100：Deauthentication(解除身份验证)
头的一部分被明文发送，攻击者很容易暴力破解出共享密钥后访问网络资源
暴力破解攻击
又称为穷举法，一种密码破译方法，将密码进行逐个推算直到找出真正密码为止。 理论上利用该方法可以破解任何一种密码，问题只在于如何缩短破解时间。 当采用WPA/WPA2-PSK，WAPI-PSK，WEP-Share-Key时，攻击者可利用暴力破解法
WIDS和WIPS无线WLAN技术深度解析
目录
1 WIDS&WIPS简介 2 WIDS&WIPS原理 3 WIDS&WIPS应用场景 4 WIDS&WIPS WEB配置
WIDS&WIPS发展背景
随着黑客技术的提高，无线局域网(WLANs)受到越来越多的威胁。配置无线基站 (WAPs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安 全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于国 际电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。
测报文源地址是否为AP自身MAC地址，如果是 ，则表示WLAN网络受到解除认证报文或解除关 联报文的欺骗攻击，AP上报告警信息给AC。
WIDS Weak IV检测
eSight网管平台
Internet
AC
2 上报告警
1 AP检测WEP报文 Weak IV
账号、密码 等用户信息
合法终端
测听并破解
非法终端
丢弃该攻击设备所有报文，以防对无线网络造成冲击。
AP支持以报文进行泛洪攻击检测
•认证请求帧Authentication Request •去认证帧Deauthentication •关联请求帧Association Request •去关联帧Disassociation •探测帧Probe Request •Action帧 •EAPOL Start •EAPOL-Logoff •PS-Poll •802.11 Null数据帧
Rogue AP
Ad-Hoc
数据非法共享,通信无安 全设置，数据易泄露
无线网桥
易实施测听，可发起 中间人攻击
其它常见攻击类型
泛洪攻击
攻击者短时间内发送大量同类型的报文，导致WLAN设备被泛洪 报文淹没而无法处理合法用户请求。
欺骗攻击
也称为中间人攻击，指攻击者（恶意AP或恶意用户）冒充合法设 备向STA发送欺骗攻击报文导致STA无法上线。
监测AP根据自身的探测模式周期性对 Rogue设备进行反制。
WIDS泛洪攻击检测
AC
动态黑名单
Flood攻击
攻击者
eSight网管平台 Internet 2 上报告警
1 AP检测Flood攻击 正常业务请 求无法处理
合法终端
防范原理：AP持续监控每个STA的流量，当流量超出设置
的阀值时，该STA被认为正在网络内泛洪，AP上报告警信息 给AC。使能动态黑名单时攻击设备被加入动态黑名单，AP
无线网络设备识别
管理帧：根据802.11 MAC帧Frame Body中网络类型来识别：
管理帧类型
网络类型
设备类型
Probe Request、Association Request
Reassociation Request Beacon、Probe Response、Association Response和 Reassociation Response
非法AP检测流程
非法客户端检测流程
Rogue设备监测识别
监测识别
Rogue 终端
Internet
AC
eSight
Monitor AP
空口识别
Rogue AP
Ad-Hoc
无线网桥
AP工作在混合模式或监测模式时进行信道 扫描，测听周边无线设备发送的所有802.11 帧，根据802.11 MAC帧类型识别出周边的 无线设备类型，根据非法AP&客户端检测流 程识别出Rogue设备。
邻居探测
开 开 关 关 开 开 关 关 开 开 关 关
WIDS
开 关 开 关 开 关 开 关 关 关
信道扫描方式
全信道扫描 全信道扫描 全信道扫描 不扫描 全信道扫描（在工作信道和邻居信道反复切换） 全信道扫描（在工作信道和邻居信道反复切换） 本信道（工作信道）扫描 不扫描 全信道扫描（normal模式下也会限制开wids） 全信道扫描 不扫描（normal模式下也会限制开wids） 不扫描
防护方案：企业园区WLAN网络开启 Rogue设备检测和反制功能，监测AP检测 到胖AP并发送广播解除认证帧进行反制， 接入到胖AP的STA将与胖AP断开连接，从 而有效保护企业网络的安全性。
企业外部人员
WIDS&WIPS应用场景一攻击者AP
场景说明：攻击者在银行营业厅WLAN网络中偷偷放置一台非法AP2，配置与营业厅 WLAN网络相同的SSID，同时推送虚假银行服务。银行客户由于无法分辨，终端误接入 到攻击者AP2，并进行银行业务办理，银行账号用户名和密码被攻击者获取，财产受到 重大损失。 防护方案：银行营业厅WLAN网络开启Rogue设备检测和反制功能，监测AP检测到非法 AP2并发送广播解除认证帧进行反制，银行客户STA将与非法AP2断开连接，只能关联到 合法AP进行正常业务输，同时将AP2上报AC通知银行运维人员进行网络排查，彻底解 除网络隐患。
802.11数据帧介绍
Frame Control 的Type域为10时表明该帧为数据帧，根据To DS和From DS域来指示帧的目 的地是否为分步式系统。
To DS和From DS域意义：
To DS 0 0 1 1
From DS 0 1 0 1
意义 非基础型网络的数据帧，即网络主机间传输的数据帧 基础网络里无线工作站（如AP)所发送的数据帧 基础网络里无线工作站（如AP)所收到的数据帧 无线桥接器上的数据帧 ，如WDS网络中AP之间的数据帧
采用WEP加密方式时，在发送每个报文前都会使用一个3字节的初始向量IV
（Initialization Vector）和固定的共享密钥一起加密报文，使相同的共享密钥
Weak IV（弱向量）攻击
产生不同的加密效果。当AP使用弱IV（初始向量IV的第一个字节取值为 3～15，第二个字节取值为255时，即为弱IV），STA发送报文时IV作为报文
暴力破解攻击
暴力攻击者
目录
1 WIDS&WIPS简介 2 WIDS&WIPS原理 3 WIDS&WIPS应用场景 4 WIDS&WIPS WEB配置
WIDS&WIPS应用场景一私接AP
企业园区
Internet
AC6605
POE交换机
企业部门 员工私接胖AP
场景说明：员工私自将家用胖AP接入企 业园区网的接入交换机，由于胖AP安全 性低，存在企业外部人员接入胖AP获取 企业重要资源的安全隐患。
WIDS Spoof攻击检测
eSight网管平台
Internet 2 上报告警
AC
1 AP检测 假解除关联帧
恶意 AP
假解除关联帧
无法正常上线
合法终端
欺骗报文类型： 广播型去关联帧Disassociation 广播型去认证帧Deauthentication
检测原理：当AP接收到上述两种报文，AP检
802.11网络很容易受到未授权AP、Ad-hoc 网络、DDos拒绝服务攻击等网络威胁 ，其 中Rogue设备对无线网络安全影响尤其严重。为了更好的检测和防御这些潜在的威胁， 无线局域网引入WIDS&WIPS技术 ，可对恶意用户攻击和入侵无线网络行为进行早期检测 ，帮助网络管理者主动发现网络中的隐患，在第一时间对无线攻击者进行主动防御和预 警。
WIDS&WIPS功能概述
WIDS(Wireless Intrusion Detection System) 无线入侵检测系统，依照一定的安全策略，对网络、系统的运行状况进行监视，分析用 户的活动，判断入侵事件的类型，检测非法的网络。
WIPS(Wireless Intrusion Prevention System) 无线入侵防预系统，通过对无线网络的实时监测，对于检测到的入侵事情，攻击行为进 行主动防御和预警。
ap信道扫描方式ap工作模式邻居探测wids信道扫描方式monitor全信道扫描monitor全信道扫描monitor全信道扫描monitor不扫描hybrid全信道扫描在工作信道和邻居信道反复切换hybrid全信道扫描在工作信道和邻居信道反复切换hybrid本信道工作信道扫描hybrid不扫描normal全信道扫描normal模式下也会限制开widsnormal全信道扫描normal不扫描normal模式下也会限制开widsnormal不扫描非法ap检测流程非法客户端检测流程rogue设备监测识别ap工作在混合模式或监测模式时进行信道扫描测听周边无线设备发送的所有80211帧根据80211mac帧类型识别出周边的无线设备类型根据非法ap客户端检测流程识别出rogue设备
无线局域网的安全威胁
数据易被获取
安全 威胁
Rogue设备入侵
DOS拒绝服务攻击 地址欺骗攻击
安全协议WEP脆弱
Rogue设备攻击
非法测听、weak iV、 flood、spoof攻击、 暴力破解等
Rogue Client
Internet
AC
eSight
Monitor AP
空口识别
私自接入AP安全性低 攻击者AP，中断合法用 户链接，诱惑关联并获 取信息