無線入侵檢測讓無線安全檢測變簡單

為了保障十八大的信息安全，啟明星辰的專業技術人員攜帶無線入侵檢測（WIDS）產品參加了某省級運營商無線安全檢測及防護演練工作。

　　此次演練的主題是WLAN AP身份驗證泛洪攻擊演練。演練工作主要包括：

　　一、 准備工作

　　此次演練在該運營商的實際辦公環境中進行，辦公樓層部署有多台AP設備，演練選擇其中某台AP作為攻擊對象。應急人員通過一台測試筆記本接入該AP並驗證可以正常訪問互聯網，模擬攻擊人員通過筆記本接入該AP，後續將通過部署在筆記本中的攻擊工具對無線AP進行攻擊。

　　演練開始前由運營商工作人員記錄測試筆記本及AP相關信息（MAC地址、SSID、信道號及連接狀態等）。啟明星辰無線入侵檢測（WIDS）產品在進行無線安全檢測時自動發現的無線網絡信息如下：

　　

　　圖1 啟明星辰無線入侵檢測（WIDS）發現的無線網絡拓撲

　　

　　圖2 啟明星辰無線入侵檢測（WIDS）發現的無線設備信息

　　整個過程中運營商也可通過其數據網管系統查看AP連接狀態和工作信息。

　　二、 模擬攻擊

　　演練中通過工具先後模擬發起Authentication DoS和De-Authentication DoS兩種身份驗證泛洪攻擊，攻擊持續一段時間之後，無線網絡安全出現問題，用新的客戶端去連接被攻擊AP，已經無法建立正常連接，此時已連接在此AP 的客戶端也發現不能正常上網。由於該樓層部署有多台AP，客戶端最終將會漫游至其他AP連接上網。

　　在模擬攻擊發生後進行無線安全檢測，通過抓包工具可以分別看到大量的偽造Authentication和De-authentication數據報文出現：

　　

　　圖3 Authentication DoS攻擊抓包結果

　　

　　圖4 De-Authentication DoS攻擊抓包結果

　　三、 應急啟動

　　在察覺到網絡不穩定時，管理員立即采取設備觀測結合人工分析的方式加以關注，及時定位問題，並采取有效措施解決問題。

　　演練過程中可看到測試筆記本連接的AP發生遷移（MAC地址變更）；登錄被攻擊AP，可看到原來連接於該AP的無線客戶端已經下線；登錄數據網管系統，可看到該無線客戶端下線，但AP工作狀態正常；由此得知，通過AP或網管系統都無法感知當前無線網絡安全狀況，不能確定無線網絡是否處於被攻擊的狀態。而此時，啟明星辰無線入侵檢測（WIDS）及時檢測到攻擊事件的發生，准確識別攻擊來源，並給出報警和審計信息，運維人員根據此信息進行了攻擊排查及網絡恢復。