-
信锐技术无线射频防护功能白皮书
信锐技术
无线射频防护功能白皮书
信锐网科技术有限公司
信锐技术版权
所有,如需支持,请访问信锐技术官方网站
!
< br>
1
信锐技术无线射频防护功能白皮书
版权声明
本说明版权归深圳市信锐网
科技术有限公司所有,
并保留对本文档及本声明的最终解释
权和
修改权。
本文档中出现的任何文字
叙述、文档格式、插图、照片、方法、过程等内容,除另有特
别注明外,
其著作权或其它相关权利均属于深圳市信锐网科技术有限公司。
未经深圳市信锐
网科技术有限公司书面同意,
任何人不得以任何方式或形式对本
文档内的任何部分进行复制、
摘录、备份、修改、传播、翻译成其他语言、将其全部或部
分用于商业用途。
免责条款
本文档仅用于为最终用户提供信息,其内容如有更改或撤回,
恕不另行通知。
信锐网科技术有限公司已尽最大努力确保本文
档内容准确可靠,
但不提供任何形式的担
保,
任何情况下,信锐网科技术有限公司均不对
(包括但不
限于)最终用户或任何第三方因
使用本文档而造成的直接或间接的损失或损害负责。
p>
信息反馈
如果您有任何宝贵意见,请反馈:
地
址:深圳市南山区学苑大道
1001
号南山智园
A1
栋
6
楼
< br>
邮编:
518055
您也可
以访问信锐技术网站:
获得最新技术和产品信息
信锐技术版权所有,如需支持,请
访问信锐技术官方网站
!
2
信锐技术无线射频防护功能白皮书
一.技术背景
随着互联网的高速发展
和移动终端的普及,
对无线网络的需求愈加强烈。
近年来,
p>
随着
WiFi
在手机、
Pad
、个人电脑等设备上的普及,给人们的工作和生活带来了更多的便利,
但无线网络安全问题也随之出现。
这些移动终端上承载着越来越多的个
人生活、
娱乐、
工作
等方面的信息,<
/p>
尤其是以支付宝为代表的在线支付应用的兴起,
无线信息中包含大
量的个人
隐私、
支付密码甚至商业秘密信息,
< br>这些信息的重要性不言而喻。
由于移动终端的信息交互
基
本都离不开无线网络连接,
而无线信号是空气中是无处不在的,
人们很自然会产生这样的
忧虑:我的隐私是否会随着无线信号飞来飞去?无线网络安全该
如何保证?
2015
年的
3
-
15
晚会更是让这种忧虑达到了极致,晚会上现
场技术人员通过观众连
WI-FI
,技术人员就
可以把观众手机里的所有资料全部拷贝出来,
包括照片、
密码等隐私。
顿时全国掀起了讨论
之风,钓鱼
WI-FI
也让人们谈
无线<
/p>
色变。
二.名词解释
钓鱼
WI-
FI
:所谓的钓鱼
WI-FI
就是黑客
或不良分子在公共场所搭建
“
免费
”W
I
-FI
,或
者搭建原无线网络相似或
相同的无线网络(
SSID
),诱使无线客户端访问虚假的无线
接入
点,从而达到截获其账号、密码等信息的目的。
WIDS
:无线入侵检测
AP
:无线接入点
AC
:无线控制器
STA
:无线接入终端
Bssid
:无线接入点的无线
MAC
Ssid
:服务集标识,
用来区分不同的网络,最多可以有
32
个字符
p>
SNR
:
信噪比
,
又称为讯噪比,
即放大器的输出信号的电压与同时输出的噪声
电压的比,
常常用分贝数表示。与信号强度的换算关系:
SNR
=signal-
(
-95
)
三.技术介绍
<
/p>
信锐依托于在入侵检测领域多年的积累,深入研究
WLAN
网络的攻击特点,推出了
WLAN IDS/IPS
< br>系统,
其无线安全检测功能可以实时检测无线钓鱼、
非法
AD-Hoc
、
BSSID
冲突检测、
DDOS
攻击和洪泛攻击等基于
WLAN
的无线攻击行为,提供
7
×
24
不间断的无
线网络
安全防护,避免无线信息泄露,化解无线风险,为用户的无线网络安全保驾护航。
p>
在
AC
上激活的
A
P
的三种工作模式:
模式仅转发业务数据,并对工作信道做主动扫描。
信
锐技术版权所有,如需支持,请访问信锐技术官方网站
!
3
信锐技术无线射频防护功能白皮书
<
/p>
模式转发业务数据的同时,定期执行跨信道扫描和执行反制任务。
r
完全不转发业务数据,一直跨信道扫描,
并执行反制任务。
在执行反制
过程中,如果
AP
处在
hybrid<
/p>
和
monitor
都能进行反制,但是<
/p>
hybrid
工作模
式定期执行反制,同
时兼职进行业务数据转发,而
monitor
工作模式可以专门
进行扫描和执
行反制任务。如果有反制需求,建议设置专门处于
monitor
的
AP
,提升反制效果
。
1.
钓鱼接入点及随身
WIFI
检测及反制
1.1
技术介绍
在设置窗口,可以将非本
AC
上激活的接入点视为非法接入
点;也可以将隐藏
SSID
的
无线接入
点视为非法接入点。
无线控制器管理器也可以设置
BSSID
反制参数和
SSID
< br>反制参数,
将需要反制的无线网
络的
BSSID
和
SSID
输入就能自
动实行反制。
< br>信锐技术版权所有,如需支持,请访问信锐技术官方网站
!
4
信锐技术无线射频防护功能白皮书
网络中未经授权或者有恶意的
AP<
/p>
,它可以是私自接入到网络中的
AP
、未
配置的
AP
、
攻击者操作的
AP
。这些
AP
上面部署
了和无线控制上面有相同或是相似
SSID
的无线网络,
终端用户接入这些
SSID
的无线网络之后,
账号等一些隐私信息可能会被窃取。所以部署在
环境中的
AP<
/p>
进行探测扫描,收集环境中
VAP
信息。
过滤出非
AC
激活的
AP
信息后,将信
息上传到
AC
,
AC
对上传的信息执行匹配和检测,
判定所对应
AP
的类型,
如果发现攻击
行
信锐技术版权所有,如需支持,请访问信锐技术官方网站
p>
!
5
信锐技术无线射频防护功能白皮书
为
或者不安全因素,则生成检测
VAP
信息的策略规则,策略规则
包括:反制的接入点、防
护模式、接入点工作模式、保护信道和黑白名单等信息,将其发
送到对应的
AP
,由对应的
AP
作为反制任务。
1.2
技术实现
1)
2)
3)
<
/p>
AP
收集环境中的
VAP
,上传给无线控制器。
无线控制器对信息进行匹配和
监测,然后生成策略规则发送给
AP
。
AP
收到策略规则后执行反制任务。
反制时,
AP
伪装成要反制的对象分别
向
STA
和
AP
发送单播解关联帧,
并实行周期性反
制,反制结束后,
会清理掉
STA
与非法
AP
已经
建立的关联关系,实现钓鱼反制的效果。
信锐技术版权所有,
如需支持,请访问信锐技术官方网站
!
6
信锐技术无线射频防护功能白皮书
2.
AD-
Hoc
检测
在环境中的
AP
扫描信息进行
AD-
Hoc
检测,当发现其他
AP
时,先查
看
AD-Hoc
功能
是否打开,
如果已经打开则查询其他
AP
的
SSID
是否在
SSID
白
名单里,
如果不在白名单里,
查看是不是在
IBSS
里,
如果不在则发出警告。
AD
-
Hoc
检测是把无线客户端的
工作模式设
置为
Ad-hoc
模式,
Ad-
hoc
终端可以不需要任何设备支持而直接进行通讯。
信锐技术版权所有,如需支持,请访问信锐技术官方网站
!
7
信锐技术无线射频防护功能白皮书
3.
邻居
A
P
干扰检测
和钓鱼
AP
类似。
区别在于这一类<
/p>
AP
通常不是恶意的,
先是检查
AP
的
SSID
是不是
在
白名单里,如果不在白名单里,则如果检测到的信号强度超过一定阀值
(阀值可配置)就启
动反制。
NAC
< br>拥有
WIDS/WIPS
功能,通过
WIPS
,可以对非法接入点进行检测以及反制,
可以对具
备某些特性,
如特定
SSID
(与原网
络相同或相似)
、
非法
AP
的
MAC
(物理地址)
或者非无线控制器所管理的
AP
发射出的无线信号,进行时时扫
描、检测,对检测到的钓鱼
WiFi
后可对其进行反制,广播相
关报文给用户终端,让其不接入到非法接入点。
信锐技术版权
所有,如需支持,请访问信锐技术官方网站
!
< br>
8
信锐技术无线射频防护功能白皮书
四.应用场景举例
商超
商超
作为一个公共场所,
非法
AP
较为集中
,
尤其是现在越来越多的人在商超结账使
用在线支付,当接入非
法
AP
使用银行等在线支付时,黑客通过技术手段盗取客户的账
号与
密码,给客户带来风险,也给商超带来不良影响。
采用信锐网科非法接入点检测及反制技术,反制非法
AP
,保障客户的账号和财产安
全,提高商超的安全性和可靠性;让客户连网不再
顾忌,体验更上一层楼。
信锐技术版权所有,如需支持,请访
问信锐技术官方网站
!
9