超级会员免费看
无线安全监控:设备分类、检测、缓解与跟踪全解析
1. 设备自动分类
许多WIDS/WIPS解决方案具备自动分类功能。WLAN设备可基于多种变量自动归入相应类别,这些变量包括认证方法、加密方法、SSID、IP地址等。不过,使用自动分类功能时需谨慎,确保只有合适的设备被归类为授权设备。
2. rogue设备检测
多数WIDS/WIPS将rogue接入点定义为实际连接到有线网络的设备。供应商采用多种无线和有线检测方法来判断rogue接入点是否连接到有线基础设施,部分检测和分类方法已公开,还有很多属于专有技术和商业机密。任何未授权的802.11设备会自动被归类为未授权设备,但rogue分类更为复杂。
- 基于SNMP的检测方法 :通过简单网络管理协议(SNMP)轮询接入层交换机,确定每个物理端口关联的MAC地址。由于接入点充当第2层网桥,WIDS/WIPS解决方案会构建一个MAC表,关联接入点的有线侧MAC地址和无线侧MAC地址(BSSID),再与授权设备数据库进行比较。若无线侧传感器和有线侧SNMP都检测到未授权设备,则将其分类为rogue接入点。
- 基于ARP请求的检测方法 :
1. 一个BSSID为02:02:02:02:02:02的rogue接入点连接到有线网络。
2. 传感器检测到新的BSSID,初步将该接入点分类为未授权设备,但尚未认定为rogue接入点。
3. 有线网络上MAC地址为33:33:33:33:33:33的默认网关路由器广播ARP请求包,寻找特定子网的主机。rogue接入点接收到该广播包并通过无线接口转发。
4. 若传感器
订阅专栏 解锁全文
扫一扫
10
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
