无线入侵检测让无线安全检测变得简单

本文涉及的产品
云防火墙,500元 1000GB
简介:

本文讲的是 :   无线入侵检测让无线安全检测变得简单 ,  为迎接党的十八大顺利召开,国家有关部门日前下发关于十八大网络与信息安全保障工作的通知,各级运营商也纷纷制定具体安全保障工作目标和工作内容,无线网络安全的防护工作也包括在内。作为国内信息安全行业的领军企业,启明星辰公司一直致力于在信息安全的无烟战场上保卫国家建设和发展。为了保障十八大的信息安全,启明星辰的专业技术人员携带无线入侵检测(WIDS)产品参加了某省级运营商无线安全检测及防护演练工作。

  此次演练的主题是WLAN AP身份验证泛洪攻击演练。演练工作主要包括:

  一、 准备工作

  此次演练在该运营商的实际办公环境中进行,办公楼层部署有多台AP设备,演练选择其中某台AP作为攻击对象。应急人员通过一台测试笔记本接入该AP并验证可以正常访问互联网,模拟攻击人员通过笔记本接入该AP,后续将通过部署在笔记本中的攻击工具对无线AP进行攻击。

  演练开始前由运营商工作人员记录测试笔记本及AP相关信息(MAC地址、SSID、信道号及连接状态等)。启明星辰无线入侵检测(WIDS)产品在进行无线安全检测时自动发现的无线网络信息如下:

无线入侵检测让无线安全检测变得简单
▲图1 启明星辰无线入侵检测(WIDS)发现的无线网络拓扑

无线入侵检测让无线安全检测变得简单
▲图2 启明星辰无线入侵检测(WIDS)发现的无线设备信息

  整个过程中运营商也可通过其数据网管系统查看AP连接状态和工作信息。

  二、 模拟攻击

  演练中通过工具先后模拟发起Authentication DoS和De-Authentication DoS两种身份验证泛洪攻击,攻击持续一段时间之后,无线网络安全出现问题,用新的客户端去连接被攻击AP,已经无法建立正常连接,此时已连接在此AP 的客户端也发现不能正常上网。由于该楼层部署有多台AP,客户端最终将会漫游至其他AP连接上网。

  在模拟攻击发生后进行无线安全检测,通过抓包工具可以分别看到大量的伪造Authentication和De-authentication数据报文出现:

无线入侵检测让无线安全检测变得简单
▲图3Authentication DoS攻击抓包结果

无线入侵检测让无线安全检测变得简单
▲图4 De-Authentication DoS攻击抓包结果

  三、 应急启动

  在察觉到网络不稳定时,管理员立即采取设备观测结合人工分析的方式加以关注,及时定位问题,并采取有效措施解决问题。

  演练过程中可看到测试笔记本连接的AP发生迁移(MAC地址变更);登录被攻击AP,可看到原来连接于该AP的无线客户端已经下线;登录数据网管系统,可看到该无线客户端下线,但AP工作状态正常;由此得知,通过AP或网管系统都无法感知当前无线网络安全状况,不能确定无线网络是否处于被攻击的状态。而此时,启明星辰无线入侵检测(WIDS)及时检测到攻击事件的发生,准确识别攻击来源,并给出报警和审计信息,运维人员根据此信息进行了攻击排查及网络恢复。

无线入侵检测让无线安全检测变得简单
▲图5无线安全引擎对认证泛洪攻击事件的报警

无线入侵检测让无线安全检测变得简单
▲图6无线安全引擎对去认证泛洪攻击事件的报警

  四、 事件处理和上报

  演练完成后,相关人员对整个过程进行完整记录和分析总结,并按照应急响应制度要求,将应急处理分析情况报告相关人员。

  通过此次演练,该省运营商制定了针对WLAN AP身份验证泛洪攻击的应急预案,并对相关安全防护工作进行了有效验证,同时,演练的顺利完成也证明了启明星辰无线入侵检测(WIDS)产品在进行无线安全检测时的有效性和可靠性。此外,启明星辰无线入侵检测(WIDS)还可检测包括流氓AP、无线扫描、无线欺骗、无线破解、无线中间人攻击等多种类型无线网络安全事件,全面保障无线网络安全。通过安全厂商与运营商的通力合作,将为十八大的顺利召开提供全面的信息安全保障。

  背景资料

  什么是WLAN AP身份验证泛洪攻击

  1. Authentication DoS

  这是一种验证模式的攻击,攻击的效果是自动模拟出随机产生的MAC 地址向目标AP不断发送验证请求,导致AP忙于处理过多的验证请求而停止正常用户的登录请求,甚至影响已在线的客户端。

  2. De-Authentication DoS

  去验证洪水攻击,国际上称之为De-authentication Flood Attack,全称即去身份验证洪水攻击或去验证阻断洪水攻击,通常被简称为Deauth攻击,是无线网络拒绝服务攻击的一种形式,它旨在通过欺骗从AP到客户端单播地址的去身份验证帧来将客户端转为未关联的/未认证的状态。

无线入侵检测让无线安全检测变得简单



原文发布时间为:2015年7月6日

本文作者:佚名

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168

原文标题 :无线入侵检测让无线安全检测变得简单

目录
相关文章
|
4月前
|
安全 网络协议 Shell
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
|
2月前
|
监控 安全 网络安全
安全工具防火墙(Firewall)
【8月更文挑战第10天】
61 7
|
5月前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
110 3
|
5月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
325 1
|
5月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
76 7
|
4月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
4月前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
5月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
5月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
169 0
|
运维 安全 数据可视化
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
133 1