跟蹭网说再见：检测和防御非法无线访问设备.docx

就目前来说，非法无线访问设备有两种主要的类型：内部非法无线访问设备和外部非 法无线访问设备内部非法无线访问设备处于企业内部局域网中的某个位置，它们可能是员 工自己建立的无线AP,也可能是攻击者在入侵网络后自己构建的例如，攻击者可以通过 一些软件加USB无线网卡的方式来构建一个无线AP,这样的软件有HostAP和FakeAP, 它们只能在Windows操作系统下运行而外部非法无线访问设备是指处于企业网络外部的 无线访问设备，这些无线访问设备通常与企业保持在无线信号可以传达的范围之内，大多都 是企业外部人员所拥有不过，在这样的一个结构复杂的无线网络大环境当中，要区分哪些无线访问设备是安全 的，哪些是非法的有时变得很困难这是因为我们发现的无线访问设备可能属于企业外部某 个家庭用户使用的无线设备;也可能是一个由于企业内部员工为了方便自己而建立的无线 AP;它们还可能是一个来自外部的恶意无线访问设备，由攻击者特意安装在接近企业的位 置，用来收集企业无线局域网中传输的机密数据在本文中，我们所指的非法无线访问设备就是指所有没有经过授权的无线访问设备，无 论这个无线访问设备是由谁建立的，也不管建立它的目的是什么，只要是没有经过企业授权 的就是非法的无线访问设备。

它们包括：1、 邻居家的无线AP2、 AD HOC计算机，进行点对点的直接连接，发送机密文件3、 非授权AP4、 非授权站点，PDA和智能5、 恶意站点6、 恶意无线AP为了能够保护无线局域网的安全，防止非法无线访问设备给无线局域网带来的安全风 险，无线局域网所有者或网络管理员必需使用一定的步骤和工具来发现和消灭这些非法的无 线访问设备但是检测和防范非法无线访问设备是一个持续的长期过期，它应该与无线局域网的整个生命周期相适应为此我们必需按一定的最佳做法来构建一个处理非法无线访问设备的处理 流程，这个最佳做法包括：检测、阻止、定位和清除非法无线访问点一、非法无线设备的检测方法到目前为止，可以用来检测和防御非法无线访问设备的主要方法包括：1、 使用无线嗅探器，通过与笔记本电脑或PDA设备的联合使用，可以在企业整个无 线局域网区域内漫游查找非法无线访问设备但是，这种方式需要技术人员有一定的嗅探器 知识，还必需非常了解企业目前的无线设备的分布状况2、 使用无线入侵检测/防御系统(WIDS/IPS)，它们有主机型和网络型之分，在部署时 应两种同时使用无线入侵防范系统是目前最有效的检测非法无线访问设备的方法，但是， 它并不能检测到被动式无线嗅探攻击和接入请求，以及内部人员主动连接外部无线访问设备 的攻击方式。

3、 使用手持式无线信号检测工具4、 安装无线检测探头在所有无线局域网覆盖区域都需要安装相应的探头来检测无 线访问设备的接入信号非法无线信号的检测探针的安装位置可以是处于特殊位置的工作 站，也可以使用具有无线信号检测功能的无线AP这样做可能要求企业增加相应的投资成 本而且，这些探头产生的信息需要一个中心化服务器来进行管理和分析，以确定哪些是正 常的接入请求，哪些是非法的在实际应用当中，为了能够达到最好的检测效果，应该将这4种方式结合起来使用 实际上，在使用的过程中，还可以根据不同的需求选择其它的外设配置例如如果需要绘制 非法无线访问设备分布位置的地图，我们还得借助GPS和相应的绘图软件来完成这个任务另外，除了上述这些经常使用的检测方法外，还有一些其它的技术可以用来检测非法的 无线访问设备这些技术包括现场调查(site survey)、MAC地址列表检查、噪音检测(noise check ing)和无线流量分析等在本文中，我将只介绍使用无线入侵检测防御系统的方式， 来检测存在于无线局域网中的非法无线访问设备不过，在部署一个新的无线网络之前，我们还必需先查明现有的无线信号源，包括墙壁、 门窗和微波炉等，以及任何现有的802.11网络及设备。

同时，还需要通过无线网络规划工 具，来创建一个无线访问设备的分布平面图，并在其中指定无线信号需要覆盖的范围、安装 的位置和信号的强度，以及无线AP为其提供的服务所要具有的能力和吞吐量要完成这些前期检测工作，一些手持式无线检测工具可以用来检测接收的无线信号的强 度和噪声，并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测，还可以用来检测 无线信号实际的边界位置这些现场无线检测工具将收集到的信息反馈到无线网络规划工 具，然后通过无线网络规划工具就可以使用每个AP的ESSID、通道等信息创建一个实际 的无线信号覆盖地图通过手持式无线检测工具在无线局域网部署完成后还可以用来检测无线信号的质量，发 现信号的死角和信号通道重叠问题，并由此对无线AP的通道进行调整，以减少通道相同造 成的干扰例如MITS WiSCAN就是采用Win CE为操作平台的便携式无线检测设备它支 持802.11b/g/a协议，提供对目前环境的无线网络整体信息，各信道讯号质量，AP数量参 数等，并可对所有频道的AP进行监控在这个过程中，我们还可以使用无线嗅探软件加GPS的方式来检测和绘制无线访问设 备的地图使用软件可以为我们大大节省解决这个问题的时间，这样的软件包括Netstumber。

同时，在部署无线局域网时，将无线局域网内部所有的无线访问设备的相关属性做一个 详细的记录，记录的内容包括：每台设备的MAC地址、AP使用的SSID号、AP的供应商、 AP的类型和AP使用的信道等信息其中要记录的主要是无线访问设备的MAC地址，它 是标识一台无线访问设备的最好方式另外，由于无线访问设备是可移动的，要想得到它们 的信息，就必需进行连续二十四小的不间断监控，还必需立即找出它们所在的位置二、部署检测非法无线访问设备的解决方案要想能够全面地检测到无线局域网覆盖范围内所有位置的非法无线访问设备，我们就必 需在企业网络中部署一个有效的检测非法无线访问设备的解决方案为了能达到最好的检测效果，我们应当使用分层方式来部署一个立体式的检测非法无线 访问设备的解决方案通常将整个解决方案分为三层，并且混合使用多种检测非法无线访问 设备的检测方法如图1所示就是一种三层立体式检测非法无线访问设备的部署结构原理 图 wins/ips刚塔盲理系统移动超信期龌设备 〜 拱诒己匚图1三层立体式检测非法无线访问设备的部署结构原理图在图1所示的这个检测非法无线访问设备的示意图中，无线局域网中的设备可以被一 些安全防范设备所监控，这些安全设备包括无线入侵检测防御系统(WIDS/IPS)，它们可以 对整个无线局域网中的设备进行每星期24小时连续不断地监控。

并且，在无线局域网信号 的整个覆盖区域的各个位置都安装有无线信号检测传感器，这些传感器收集的信号将全部返 回到WIDS/IPS的中央控制服务器进行监控和分析对于WIDS/IPS不能检测到的位置，可以通过手持式无线信号分析设备来达到目的，例 如使用手持式无线信号分析设备对企业无线局域网周边和各个死角进行移动式检测，以发现 可漏掉的非法无线访问设备所有的这些可以由一台网络管理系统来控制，通过它对 WID/IPS中央服务器进行管理、配置等操作，而且WIDS/IPS服务器产生的警报将会直接 发送到后台管理员的控制台，并由事件响应人员进行及时的处理一个非法无线访问设备的检测系统必需能够支持各种无线管理任务，必需能够监控所有 的可疑活动，其中包括非法的无线访问设备的接入还应该能够产生非法访问点的警告信息， 产生的警告通常依靠其建立的访问控制列表(ACL )表来决定这个无线访问控制列表中记录 了无线AP的MAC地址，可配置的名称，最近使用的IP地址另外，ACL还能够将检测 到的无线设备按规定进行区别主要的区别有以下3种方式：已知和通过认证的无线访问设备：这些处于无线局域网当中的无线访问设备是经过企业 授权使用的。

已知和未通过认证的无线访问设备：这些无线访问点可能处于企业内部，或接近企业无 线局域网，已经被我们所了解，但是没有通过认证的无线访问设备，它们并不属于企业无线 局域网的一部分未知和未通过认证的无线访问设备：这是指这些无线访问设备第一次被检测到，不存在 于WIDS/IPS的ACL库之内，也没有通过企业认证，是一些需要特别注意的无线访问设备对于这些未知的未通过认证的无线访问设备，一些WIDS/IPS设备在检测到它们以后就 会立即产生警报，提示管理员立即处理这些威胁有时，我们不想对邻近企业的无线访问设备都产生警报，这样会增加我们的工作量，也 容易产生误报但是，我们也需要了解这些无线访问设备是否曾经访问过我们的网络我们 可以这样设置WIDS/IPS，让它对已知的邻近AP不产生报警，但是当发现其试图连入企业 无线局域网时必需及时发出警报实际上，ACL是使用一套规则表达式来达到检测和发出警报的目的在ACL表中会规 定一些安全规则，我们可以通过下面的策略来编制我们的无线ACL策略：1、 制定事件严重程度的等级，当出现严重事件时，普通级别的事件将延时处理2、 以商业风险为基础为不同的无线访问设备建立不同的规则。

例如，可以忽略使用 Guest ESSID的未知设备，但是对Private SSID设备要检测3、 以警报事件出现的频率来建立阻挡规则，例如，当发现现一个警报出现的频率次 数达到某个阀值时，就必需自动产生阻挡行为4、 自动将高风险的警报转发到更高级别的位置，以便能够及时处理这些高危风险5、 能够自动阻止恶意无线访问设备，让其失去作用，以此来阻止其产生下一步的恶 意行为三、定位和清除非法无线访问设备一旦发现了非法无线访问设备，就应该立即找出它可能存在的位置，然后决定采取什么 样的处理方式来清除它可能带来的安全风险如果没有工具软件来帮忙，那么要定位一个非法无线访问点是很困难和耗费时间的非 法无线访问点的位置往往是不固定的，它有可能随时都变换位置如果我们不能立即定位非 法设备的位置，那么，我们就有可能永远不知道它们所在的具体位置，以及是否接入了因 此，我们必需使用一些具有定位功能的WIDS/IPS软件来帮助我们完成这个任务一个简单但很粗糙的方法就是利用信号强度来估计非法无线访问点与最近无线AP的 距离如果检测到的信号很强，那么两者距离应该很近，可能就在同一楼层或楼上楼下等位 置但是，由于非法无线访问设备可能在其它位置连入后再接入企业无线局域网的，因此不 会很准确。

一个更加复杂和准确的定位非法无线访问点的方法是利用多个传感器来进行多角度定 位例如利用三个传感器来定位一个传感器找到非法无线访问设备，第二个传感器检测到 这个非法无线访问点时就会与第一个产生交集，然后第三个同样如此这三者的交集位置就是非法传感器所在位置检测到同一非法无线访问点的传感器越多，非法无线访问点所在的 位置范围就越小，这样就很容易再通过手工或现场方式找到非法无线访问点如图2所示传感器1传感器2非法无线访问设备传感器3图2三个传感器定位非法无线访问点的示意图另外，利用流量分析也能够找出非法无线访问点所在的位置这要根据分析和反向跟踪 发关给非法无线访问点的数据包，以此来定位它在网络中的位置还可以使用网络监控工具 来监控所有的网络活动和通信情况，以便能找到非法无线访问点发出的数据包当确定非法无线访问点的位置后，我们还必需进一步地采取措施，以清除它所带来的风 险：1、 如果发现的非法无线访问点为邻居的无线AP,那么就应该在软件的ACL表中添加 新的规则，以免它再发生警报，然后将邻居无线AP的信息记录到一个表中，还要将它的位 置在平面图中标出2、 如果发现的非法无线访问点为非法授权无线设备，那么就必需为它指定相应的访问 权限，。