市场营销 | 企业文化 | 通信杂谈 | 企业黄页 | 知本院 | 企业动态 
您现在的位置: 通信界 >> 通信家 >> 企业动态 >> 文章正文  
 
技术盛宴 | 基于Rogue AP反制的无线安全技术探讨
[ 通信界 / 通信家 / 王磊 / www.cntxj.net / 2018/5/11 18:06:37 ]
 

WLAN(Wireless Local Area Networks,无线局域网)具有安装便捷、使用灵活、经济节约和易于扩展等有线网络无法比拟的优点,因此得到越来越广泛的使用。但由于 WLAN信道开放的特点,使得无线网络很容易受到各种网络威胁的影响,如冒牌的 AP(Access Point,无线接入点)设备、 Ad-hoc(无线自组网)、各种针对无线网络的协议攻击等等,因此安全性成为阻碍 WLAN 发展的重要因素。如下图所示,在过去的一年内我们可以看到无线网漏洞、钓鱼Wi-Fi窃取信息事件仍在发生。那么,

 · 面对安全恐慌,我们应该如何应对?

 · 这些新闻跟无线办公网有关吗?

 · 要如何构建安全稳定的无线办公网?

 · 怎样才能在源头控制住无线网络钓鱼Wi-Fi窃取信息呢?

下面我将针对无线网络射频安全——非法设备反制技术进行分享,主要实现方式是在无线接入阶段进行安全控制。传统无线反制技术中Rogue AP(非法AP)反制可以分为三个步骤:1、Rogue AP的检测;2、Rogue AP的判定;3、Rogue AP反制。在传统反制技术实现过程中也存在一定局限性,例如无法做到Rogue AP定位等功能。本文将针对传统反制技术和Rogue AP定位技术进行简述,希望可以给大家在无线办公网安全方案设计中带来一些帮助。

Rogue AP检测技术

无线网络环境中进行Rogue AP检测技术,主要通过一台专用探测AP或者混合形式AP捕捉空气介质中的无线信标帧来进行分辨。实现流程是探测AP会发送广播探查报文,收到探查请求报文的设备将进行响应,探测AP根据空气中捕获的报文以及响应报文就可以分辨周围的设备类型。此外,探测AP还可制定非法设备检测规则,对周围无线网络环境进行实时监控。

目前可以识别出的设备类型有AP、STA(Station,无线终端)、无线网桥和Ad-hoc设备。AP识别设备类型的方法是通过监测收集回来的所有802.11报文,根据数据报文的DS域来判断究竟是哪种设备类型。

Rogue AP判断流程

AP将收集到的设备信息定期上报AC(Access Controller,无线控制器)。AC通过监测结果判断该设备是否为非法设备,主要识别分类可以归纳为接入点和无线终端两大类。

经过以上两个步骤确认该无线设备为Rogue AP后,无线控制器根据开启对应反制模式进行反制,反制动作就是探测 AP 在检测到Rogue AP设备信息后,探测AP模拟非法AP的射频卡 BSSID(Basic Service Set Identifier,基本服务单元标识符)地址发送解认证或者解关联报文。关联到非法AP上的无线终端收到这些报文后,认为是非法AP要主动断开连接,无线终端经过几次反制后就不再关联到非法AP设备上了。

反制模式可以基于信道、设备类型、SSID名称和手动配置指定BSSID或MAC等方式,根据无线网络实际环境及实际需求进行选择定义。

反制效果进阶方案

传统无线反制技术可以满足一部分非法信号反制,但也存在一些局限性,无法做到Rogue AP或者非法用户定位,只能通过探测AP布放位置进行大概评估范围,给办公网运维带来很大不便。同时随着技术发展,部分员工出于自己使用方便或建私网的目的,可能将普通家用路由器插入到公司内网有线网口中并释放私设 Wi-Fi 信号;另一方面,当前市面上360Wi-Fi、猎豹Wi-Fi等第三方软AP非常普遍,员工不经意间可能就将内网共享出去了。这些行为无疑将暴露公司内网,攻击者很可能连上私设 Wi-Fi 信号,并扫描内网服务器端口,窃取内网信息

针对以上传统无线反制技术的局限性,可通过无线安全雷达功能,配合创新性硬件架构,完成24小时全方位射频安全检测和保护,通过精细化信号分类算法,让客户无线网络环境清晰可见,无线安全尽在掌握。

针对解决普通家用路由器插入到公司内网有线口中并释放私设Wi-Fi 信号的问题,无线安全雷达可通过采集无线网络中的 Wi-Fi 信号,结合大数据分析,实时构建私设 Wi-Fi的信号画像,再通过SNMP(Simple Network Management Protocol,简单网络管理协议)协议调取交换机上MAC地址等信息进行比对,可以准确定位出该信号是由哪个交换机端口的无线路由器所释放,再配合告警功能完成非法无线AP及时告警及去除。

针对解决第三方软AP释放信号的问题,安全雷达先采集无线网络中的 Wi-Fi 信号,根据非法BSSID值与现网中所有终端无线网卡MAC地址进行大数据分析,对比出类似MAC,再配合认证系统中注册的用户名密码匹配的MAC,对非法第三方软AP释放出的人员信息进行定位。

因此在传统无线反制基础上增加针对Rogue设备的定位技术,给IT人员提供了很好的私设Wi-Fi定位管理方法,大大降低因员工不经意间搭建的私设Wi-Fi而导致内网暴露的安全风险,同时对于恶意攻击者也起到了很好的攻击举证、风险管控和震慑效果。

以上就是无线AP反制Rogue AP的技术实现机制。俗话说,三分靠技术,七分靠管理,只有从管理角度制定好更合理的无线接入方式以及更合理的无线管理流程,稍加辅以一些新技术,就能让无线网络更加安全、可靠、健全。

目前锐捷网络针对办公网推出无线NEW办公解决方案,对传统的射频防御方案进行了精进,从扫描、识别、告警和防御4个方面重新设计无线安全,做到24小时全方位射频防御多种攻击,智能安全分析,办公网络安全可视可知。

 

作者:王磊 合作媒体:通信界 编辑:顾北

 

 

 
 热点文章
普通文章 100Gbps的LiFi真的这么神吗?
普通文章 通信界“黑话”你懂多少?全懂的都是老司机
普通文章 慈溪市博达通信设备厂(普通合伙)
普通文章 北京亮剑天下信息技术有限公司杭州分公司
普通文章 杭州度言软件有限公司
普通文章 温州海天通讯
普通文章 杭州承天之佑网络科技有限公司
普通文章 6月智能机销量数据出炉:华OV米“国产四强”领跑
普通文章 掌门1对1:学霸的摇篮,教育的长征
普通文章 携手共赢 大唐移动精彩亮相辽宁移动信息化展示大会
普通文章 烽火综合布线解决方案亮相菲律宾
普通文章 习近平总书记视察烽火: 科技攻关要摒弃幻想靠自己!
普通文章 ALE五星级通信技术助力豪华阿代尔庄园,提升宾客移动体验
普通文章 Gartner魔力象限再次评定ALE有线局域网和无线局域网接入
普通文章 ALE宣布针对Rainbow云协作服务启动业务合作伙伴落地计划
普通文章 锐捷亮相全国基础教育信息化应用展 用智慧教育解决方案刷
普通文章 技术盛宴 | 基于Rogue AP反制的无线安全技术探讨
普通文章 锐捷网络中标2018-2019年度联通云公司沃云平台网络设备集
普通文章 大唐移动积极探索MEC应用场景 携手产业链共创5G繁荣
普通文章 北京市海通时代通信技术有限公司长春办事处
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mat
普通对话 苗圩:建设新一代信息基础设施 加快
普通对话 华为余承东:Mate30总体销量将会超
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器
普通对话 安筱鹏:工业互联网——通向知识分
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力
普通对话 网易董事局主席丁磊:中国正在引领
普通对话 李彦宏:无人乘用车时代即将到来 智
普通对话 中国联通研究院院长张云勇:双轮驱
普通对话 “段子手”杨元庆:人工智能金句频
普通对话 高通任命克里斯蒂安诺·阿蒙为公司
普通对话 保利威视谢晓昉:深耕视频技术 助力
普通对话 九州云副总裁李开:帮助客户构建自
通信前瞻
杨元庆:中国制造
普通对话 杨元庆:中国制造高质量发展的未来
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥
普通对话 对话倪光南:“中国芯”突围要发挥
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支
普通对话 马云:我挑战失败心服口服,他们才
普通对话 2018年大数据产业发展试点示范项目
普通对话 陈志刚:提速又降费,中国移动的两
普通对话 专访华为终端何刚:第三代nova已成
普通对话 中国普天陶雄强:物联网等新经济是
普通对话 人人车李健:今年发力金融 拓展汽车
普通对话 华为万飚:三代出贵族,PC产品已走
普通对话 共享退潮单车入冬 智享单车却走向盈
普通对话 Achronix发布新品单元块 推动eFPGA
普通对话 金柚网COO邱燕:天吴系统2.0真正形