无线局域网安全与监控技术解析
超级会员免费看
无线局域网安全与监控技术详解
1. WIPS 功能概述
WIPS(无线入侵防护系统)在无线局域网安全中扮演着重要角色,它具有多种功能,能有效保障网络安全。
1.1 合规报告
WIPS 可极大简化提供法定安全合规性的要求。其报告管理器子系统包含多种预格式化的合规报告,管理员或安全官员能生成近实时的合规报告,供审计人员或检查员查看。
1.2 取证功能
WIPS 能 365 天、每天 24 小时不间断记录所有已知活动日志。这些自动化记录可作为刑事或企业内部安全调查的证据链的一部分。部分 WIPS 还具备取证分析组件,在企业对入侵者提起诉讼时很有价值。
1.3 设备定位与跟踪
一些 WIPS 平台可通过先进的无线电技术实现设备定位识别,常见技术如下:
-
三角测量法
:至少三个能监测到入侵设备的传感器测量信号强度指标,并将数据发送到 WIPS 服务器。服务器通过比较信号强度,依据已知的路径损耗公式计算入侵者位置,并在平面图上标注。
-
RF 指纹识别
:需提前进行详细的调查分析。安装 WIPS 后,使用客户端设备进行手动校准。之后跟踪移动目标的无线电签名,将信号强度记录到数据库。结合三角测量或 TDoA 信息,可提高定位精度。
-
到达时间差(TDoA)系统
:WIPS 平台利用无线电波的已知传播速度定位设备。服务器处理传感器的帧时,通过时间戳标记特定帧的首次出现。比较不同传感器接收到同一帧的时间延迟,确定发射设备与传感器的距离。
| 定位技术 | 原理 | 优势 | 劣势 |
|---|---|---|---|
| 三角测量法 | 多传感器测量信号强度计算位置 | 技术成熟 | 需多个传感器,精度受环境影响 |
| RF 指纹识别 | 记录无线电签名提高精度 | 精度较高 | 前期校准工作复杂 |
| TDoA 系统 | 利用时间延迟确定距离 | 定位较准确 | 依赖精确时间同步 |
1.4 集成频谱分析
部分企业级 WIPS 具备集成频谱分析引擎。远程传感器中的频谱分析仪芯片组可将数据上传到中央服务器,管理员通过管理控制台查看远程无线电环境,准确诊断频谱问题,如第 1 层拒绝服务攻击。
2. 802.11 标准带来的挑战
随着 802.11 规范的不断扩展,新特性在带来便利的同时也带来了新问题。
2.1 802.11n/ac 的影响
802.11n/ac 的新 PHY 帧格式和宽信道(40 MHz、80 MHz 甚至 160 MHz),使旧的 IEEE 802.11a/b/g WIPS 系统无法识别和解释部分传输,可能导致这些系统无法检测到 802.11n/ac 设备的攻击。
2.2 802.11w 的影响
IEEE 802.11w 引入了管理帧认证的新帧保护功能。启用这些功能后,只有安全关联的站点才能使用解除关联或去认证帧终止会话。这使得一些旧的流氓设备遏制措施失效,使用该标准需谨慎考虑。
3. 云监控与 WIPS
云管理的 WLAN 系统越来越受欢迎,适用于多种市场,尤其是企业无线网络部署。一些制造商除了提供云解决方案,还提供本地解决方案。云管理基础设施有时被称为无控制器解决方案,因为无需硬件控制器。
3.1 主要提供商
- Adtran—Bluesocket
- Aerohive
- Mojo Networks (AirTight)
- Cisco - Meraki
- Open Mesh
3.2 云管理 WIPS 的特点
云管理的监控和 WIPS 解决方案与基于硬件和软件的解决方案功能相似,但无需现场物理设备。信息可通过互联网从任何地方访问,常见功能包括:
- 警报管理
- 自动设备分类
- 事件日志和分类
- 位置跟踪
- 审计和取证
- 流氓 AP 检测
- BYOD 政策执行
- 流量分析
- 安全监控
- 报告
部分云管理的 AP 可根据管理配置作为兼职或全职 WIPS 传感器。用于管理无线基础设施的软件也用于 WIPS 功能,通常通过通用接口实现两者的紧密集成。这种解决方案的主要优点是无需购买和安装硬件、服务器或设备,可节省成本,适用于小型网络,且便于远程管理。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(云管理 WIPS):::process --> B(警报管理):::process
A --> C(自动设备分类):::process
A --> D(事件日志和分类):::process
A --> E(位置跟踪):::process
A --> F(审计和取证):::process
A --> G(流氓 AP 检测):::process
A --> H(BYOD 政策执行):::process
A --> I(流量分析):::process
A --> J(安全监控):::process
A --> K(报告):::process
4. 无线局域网管理系统(WNMS)
WNMS 可提供部分 WIPS 功能,如识别可信、已知和流氓设备。但与 WIPS 不同,WNMS 不使用专用的远程硬件传感器,而是使用 AP 作为传感器。可能需要额外购买许可证以使用 WIPS 功能,AP 可作为全职传感器或同时提供客户端访问和 WIPS 功能。
WNMS 支持 SNMPv3 执行安全配置命令,能识别和显示每个关联的认证类型。还可配置包含多栋建筑多层的图形平面图,显示覆盖图、用户位置、流氓设备位置和干扰信息等,帮助展示系统安全和健康状态。
5. 无线局域网控制器
基于无线局域网控制器的 WLAN 允许部分 AP 作为专用的远程硬件传感器。一些控制器系统还允许 AP 同时执行传感器和 AP 任务,但可能会因忙于 AP 操作而错过关键信息。虽然基于控制器的 WIPS 功能不如专用第三方 WIPS 强大,但仍提供了显著的安全优势和配置选项,集成 WIDS/WIPS 功能可节省成本。在小型 WLAN 环境之外,WLAN 控制器通常由 WNMS 管理,两者的 WIPS 功能通过许可证和 WNMS 的用户界面集成。
6. 分布式协议分析作为监控解决方案
无线局域网协议分析仪可利用分布式传感器从远程位置收集和报告数据包/协议捕获细节到桌面应用程序。这使管理员能够在远程控制台查看 WLAN 不同点的实时第 2 层数据。
6.1 协议分析功能
- 帧交换和帧解码 :协议分析涵盖帧交换和帧解码过程,有助于深入理解网络通信。
- 数据捕获与保存 :协议分析仪可捕获和保存无线流量,其格式能被攻击应用(如密码破解器)导入。这是 CWAP 认证的重要组成部分,也是 WLAN 管理员的日常工作。
6.2 协议分析仪的局限性
并非所有无线协议分析仪都能解码每个 OSI 层。部分协议分析仪仅显示 802.11 MAC 层网络信息,而其他分析仪可捕获、过滤、解码和显示包括第 2 - 7 层用户数据在内的所有网络流量。多数协议分析仪允许插入预共享密钥,以便实时解密捕获的加密流量或稍后保存和解码,但在使用 802.1X/EAP 时此功能无效。
6.3 常见协议分析仪
| 品牌 | 产品名称 |
|---|---|
| Wildpackets | Omnipeek (Savvius) |
| AirMagnet | WiFi Analyzer (Fluke Networks/Netscout) |
| Tamosoft | Commview for WiFi |
| Network Instruments | Observer Analyzer |
| Wireshark | - |
6.4 使用注意事项
使用 WLAN 协议分析仪时通常需要特殊驱动程序,这些驱动程序可能不具备正常使用案例驱动程序的完整客户端功能集。完成协议分析后,务必将驱动程序恢复为标准使用案例驱动程序,否则运行分析仪的计算机可能无法访问 WLAN。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(协议分析仪):::process --> B(帧交换和帧解码):::process
A --> C(数据捕获与保存):::process
A --> D(部分 OSI 层解码):::process
D --> E(802.11 MAC 层信息):::process
D --> F(2 - 7 层用户数据):::process
A --> G(预共享密钥解密):::process
7. 理解 IEEE 802.11 帧
了解不同 802.11 帧类型、格式和用途对于解释协议分析仪的捕获和解码至关重要,也是网络管理员提供安全、高性能无线网络的必备技能。
7.1 802.11 帧的基本格式
与以太网不同,802.11 协议使用多种帧布局,但都基于通用帧格式。802.11 有专门用于数据、控制和管理的帧。
7.2 802.11 帧与 802.3 帧的比较
| 比较项 | 802.3 帧 | 802.11 帧 |
|---|---|---|
| 帧大小 | 最大 MSDU 有效负载为 1500 字节(“巨型”帧除外) | 最大 MSDU 有效负载为 2304 字节(11n 和 11ac 可能更大) |
| MAC 地址字段 | 两个 MAC 地址字段 | 一、二、三或四个 MAC 地址字段,可包含五种 MAC 地址类型中的四种 |
7.3 802.11 帧类型
根据 802.11 标准,WLAN 支持三种帧类型:管理帧、控制帧和数据帧。
-
管理帧
:用于管理对无线网络的访问,并在扩展服务集中将关联从一个接入点转移到另一个接入点。
-
控制帧
:协助数据帧的传输,必须能被基本服务集中的所有站点解释,使用与所有客户端兼容的调制技术和数据速率传输。
-
数据帧
:是应用层数据的实际载体,可为标准数据帧或支持 802.11e 修正案的设备的 QoS 数据帧。
7.4 帧类型和子类型
通用 802.11 帧的帧控制(FC)字段中的类型子字段可能为 00(管理)、01(控制)或 10(数据),子类型子字段确定传输的帧子类型。例如,类型子字段值为 00 且子类型值为 0000 是关联请求帧,而类型值为 10 且子类型值为 0000 是标准数据帧。类型值为 11 且任何子类型的帧为保留帧类型,目前未使用,留作未来需求。
8. 帧交换基础
虽然成为 CWSP 不需要理解 WLAN 上发生的每个帧和帧交换细节,但需要了解帧交换序列的基础知识以及创建、访问和断开 WLAN 的流程。
8.1 基本 MAC 层功能
- 扫描 :站点在参与基本服务集之前,需通过扫描发现提供访问该服务集的接入点。
- 同步 :部分 802.11 功能要求所有站点具有相同时间,站点可根据信标帧中的时间戳值更新时钟。
- 帧传输 :站点必须遵守其关联的基本服务集的帧传输规则,这些规则在 802.11 标准中针对标准操作(DCF)和 QoS 解决方案进行了定义。
- 认证 :站点在与基本服务集关联之前必须进行认证。
- 关联 :认证完成后,站点可与基本服务集关联,包括双向发现能力信息。
- 重新关联 :用户在服务区域内漫游时,若新接入点信号更强,站点将与新接入点重新关联。
- 数据保护 :可采用数据加密防止破解者访问无线介质上传输的数据。
- 电源管理 :无线客户端设备的收发器消耗大量功率,电源管理功能可通过使收发器按指定间隔休眠来延长电池寿命。
- 分段 :在某些情况下(如间歇性干扰),在无线介质上传输帧之前进行分段有益。
- RTS/CTS :请求发送/清除发送功能可防止隐藏节点问题,实现对无线访问的更集中控制。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(创建 WLAN):::process --> B(扫描):::process
B --> C(同步):::process
C --> D(认证):::process
D --> E(关联):::process
E --> F(数据传输):::process
F --> G(重新关联):::process
F --> H(数据保护):::process
F --> I(电源管理):::process
F --> J(分段):::process
F --> K(RTS/CTS):::process
F --> L(断开 WLAN):::process
综上所述,无线局域网的安全与监控涉及多个方面,包括 WIPS、WNMS、协议分析以及对 802.11 帧的理解等。每种技术和功能都有其特点和适用场景,网络管理员需要根据实际需求选择合适的解决方案,以保障无线网络的安全和稳定运行。
扫一扫
21
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
