WLAN（Wireless Local Area Networks，無線局域網(wǎng)）具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約和易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)，因此得到越來越廣泛的使用。但由于 WLAN信道開放的特點(diǎn)，使得無線網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如冒牌的 AP（Access Point，無線接入點(diǎn)）設(shè)備、 Ad-hoc（無線自組網(wǎng)）、各種針對無線網(wǎng)絡(luò)的協(xié)議攻擊等等，因此安全性成為阻礙 WLAN 發(fā)展的重要因素。如下圖所示，在過去的一年內(nèi)我們可以看到無線網(wǎng)漏洞、釣魚Wi-Fi竊取信息事件仍在發(fā)生。

▲ 各種無線網(wǎng)漏洞和攻擊的新聞

\

那么，

面對安全恐慌，我們應(yīng)該如何應(yīng)對？

這些新聞跟無線辦公網(wǎng)有關(guān)嗎？

要如何構(gòu)建安全穩(wěn)定的無線辦公網(wǎng)？

怎樣才能在源頭控制住無線網(wǎng)絡(luò)釣魚Wi-Fi竊取信息呢？

下面我將針對無線網(wǎng)絡(luò)射頻安全——非法設(shè)備反制技術(shù)進(jìn)行分享，主要實(shí)現(xiàn)方式是在無線接入階段進(jìn)行安全控制。傳統(tǒng)無線反制技術(shù)中Rogue AP（非法AP）反制可以分為三個(gè)步驟：1、Rogue AP的檢測；2、Rogue AP的判定；3、Rogue AP反制。在傳統(tǒng)反制技術(shù)實(shí)現(xiàn)過程中也存在一定局限性，例如無法做到Rogue AP定位等功能。本文將針對傳統(tǒng)反制技術(shù)和Rogue AP定位技術(shù)進(jìn)行簡述，希望可以給大家在無線辦公網(wǎng)安全方案設(shè)計(jì)中帶來一些幫助。

Rogue AP檢測技術(shù)

無線網(wǎng)絡(luò)環(huán)境中進(jìn)行Rogue AP檢測技術(shù)，主要通過一臺專用探測AP或者混合形式AP捕捉空氣介質(zhì)中的無線信標(biāo)幀來進(jìn)行分辨。實(shí)現(xiàn)流程是探測AP會發(fā)送廣播探查報(bào)文，收到探查請求報(bào)文的設(shè)備將進(jìn)行響應(yīng)，探測AP根據(jù)空氣中捕獲的報(bào)文以及響應(yīng)報(bào)文就可以分辨周圍的設(shè)備類型。此外，探測AP還可制定非法設(shè)備檢測規(guī)則，對周圍無線網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控。

目前可以識別出的設(shè)備類型有AP、STA（Station，無線終端）、無線網(wǎng)橋和Ad-hoc設(shè)備。AP識別設(shè)備類型的方法是通過監(jiān)測收集回來的所有802.11報(bào)文，根據(jù)數(shù)據(jù)報(bào)文的DS域來判斷究竟是哪種設(shè)備類型：

▲ DS值為0x00，設(shè)備類型為AD-HOC

▲ DS值為0x01，設(shè)備類型為STA

Rogue AP判斷流程

AP將收集到的設(shè)備信息定期上報(bào)AC（Access Controller，無線控制器）。AC通過監(jiān)測結(jié)果判斷該設(shè)備是否為非法設(shè)備，主要識別分類可以歸納為接入點(diǎn)和無線終端兩大類。下面使用兩個(gè)流程圖分別說明非法接入點(diǎn)和非法終端的判定規(guī)則：

▲ Rogue AP判斷規(guī)則流程

▲ Rogue station判斷規(guī)則流程

Rogue AP反制技術(shù)

經(jīng)過以上兩個(gè)步驟確認(rèn)該無線設(shè)備為Rogue AP后，無線控制器根據(jù)開啟對應(yīng)反制模式進(jìn)行反制，反制動作就是探測 AP 在檢測到Rogue AP設(shè)備信息后，探測AP模擬非法AP的射頻卡 BSSID（Basic Service Set Identifier，基本服務(wù)單元標(biāo)識符）地址發(fā)送解認(rèn)證或者解關(guān)聯(lián)報(bào)文。關(guān)聯(lián)到非法AP上的無線終端收到這些報(bào)文后，認(rèn)為是非法AP要主動斷開連接，無線終端經(jīng)過幾次反制后就不再關(guān)聯(lián)到非法AP設(shè)備上了。具體流程如下圖：

▲ 反制過程圖例

反制模式可以基于信道、設(shè)備類型、SSID名稱和手動配置指定BSSID或MAC等方式，根據(jù)無線網(wǎng)絡(luò)實(shí)際環(huán)境及實(shí)際需求進(jìn)行選擇定義。

反制效果進(jìn)階方案

傳統(tǒng)無線反制技術(shù)可以滿足一部分非法信號反制，但也存在一些局限性，無法做到Rogue AP或者非法用戶定位，只能通過探測AP布放位置進(jìn)行大概評估范圍，給辦公網(wǎng)運(yùn)維帶來很大不便。同時(shí)隨著技術(shù)發(fā)展，部分員工出于自己使用方便或建私網(wǎng)的目的，可能將普通家用路由器插入到公司內(nèi)網(wǎng)有線網(wǎng)口中并釋放私設(shè) Wi-Fi 信號；另一方面，當(dāng)前市面上360Wi-Fi、獵豹Wi-Fi等第三方軟AP非常普遍，員工不經(jīng)意間可能就將內(nèi)網(wǎng)共享出去了。這些行為無疑將暴露公司內(nèi)網(wǎng)，攻擊者很可能連上私設(shè) Wi-Fi 信號，并掃描內(nèi)網(wǎng)服務(wù)器端口，竊取內(nèi)網(wǎng)信息。

▲ 員工造成內(nèi)網(wǎng)泄露

針對以上傳統(tǒng)無線反制技術(shù)的局限性，可通過無線安全雷達(dá)功能，配合創(chuàng)新性硬件架構(gòu)，完成24小時(shí)全方位射頻安全檢測和保護(hù)，通過精細(xì)化信號分類算法，讓客戶無線網(wǎng)絡(luò)環(huán)境清晰可見，無線安全盡在掌握。

▲ 無線安全雷達(dá)功能

針對解決普通家用路由器插入到公司內(nèi)網(wǎng)有線口中并釋放私設(shè) Wi-Fi 信號的問題，無線安全雷達(dá)可通過采集無線網(wǎng)絡(luò)中的 Wi-Fi 信號，結(jié)合大數(shù)據(jù)分析，實(shí)時(shí)構(gòu)建私設(shè) Wi-Fi的信號畫像，再通過SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）協(xié)議調(diào)取交換機(jī)上MAC地址等信息進(jìn)行比對，可以準(zhǔn)確定位出該信號是由哪個(gè)交換機(jī)端口的無線路由器所釋放，再配合告警功能完成非法無線AP及時(shí)告警及去除。

針對解決第三方軟AP釋放信號的問題，安全雷達(dá)先采集無線網(wǎng)絡(luò)中的 Wi-Fi 信號，根據(jù)非法BSSID值與現(xiàn)網(wǎng)中所有終端無線網(wǎng)卡MAC地址進(jìn)行大數(shù)據(jù)分析，對比出類似MAC，再配合認(rèn)證系統(tǒng)中注冊的用戶名密碼匹配的MAC，對非法第三方軟AP釋放出的人員信息進(jìn)行定位。

因此在傳統(tǒng)無線反制基礎(chǔ)上增加針對Rogue設(shè)備的定位技術(shù)，給IT人員提供了很好的私設(shè)Wi-Fi定位管理方法，大大降低因員工不經(jīng)意間搭建的私設(shè)Wi-Fi而導(dǎo)致內(nèi)網(wǎng)暴露的安全風(fēng)險(xiǎn)，同時(shí)對于惡意攻擊者也起到了很好的攻擊舉證、風(fēng)險(xiǎn)管控和震懾效果。

以上就是無線AP反制Rogue AP的技術(shù)實(shí)現(xiàn)機(jī)制。俗話說，三分靠技術(shù)，七分靠管理，只有從管理角度制定好更合理的無線接入方式以及更合理的無線管理流程，稍加輔以一些新技術(shù)，就能讓無線網(wǎng)絡(luò)更加安全、可靠、健全。

目前銳捷網(wǎng)絡(luò)針對辦公網(wǎng)推出無線NEW辦公解決方案，對傳統(tǒng)的射頻防御方案進(jìn)行了精進(jìn)，從掃描、識別、告警和防御4個(gè)方面重新設(shè)計(jì)無線安全，做到24小時(shí)全方位射頻防御多種攻擊，智能安全分析，使辦公網(wǎng)絡(luò)安全可視可知。

本期作者：王磊

銳捷網(wǎng)絡(luò)互聯(lián)網(wǎng)系統(tǒng)部行業(yè)咨詢

往期精彩回顧

●【第一期】淺談物聯(lián)網(wǎng)技術(shù)之通信協(xié)議的紛爭

●【第二期】 如何通過網(wǎng)絡(luò)遙測（Network Telemetry）技術(shù)實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)運(yùn)維？

●【第三期】暢談數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)維自動化