无线安全引擎技术白皮书.doc

天清汉马USG一体化安全网关产品技术红皮书 无线安全技术白皮书 ---「无线风险管理 威胁一体防御」--- 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2013 年 7月 北京启明星辰信息技术有限公司 i 无线安全技术白皮书 版 权 声 明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 信息反馈 如有任何宝贵意见，请反馈： 信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编：100193 电话：010-82779088 传真：010-82779000 您可以访问启明星辰网站：获得最新技术和产品信息。目 录 1 概述 3 2 发展史 4 2.1 无线对传统安全的挑战 4 2.2 为什么需要无线安全 5 2.3 无线安全常见误区 7 3 产品综述 9 3.1 产品综述 9 3.2 特点说明 9 3.3 产品系列简介 11 4 体系架构说明 12 4.1 产品构成 12 4.2 软件结构 12 4.3 管理结构 13 5 关键技术 14 5.1 基于无线网络架构的自动学习技术 14 5.2 高效的无线攻击检测技术 16 5.3 一体化的关联分析技术 19 5.4 基于射频的精确阻断技术 21 6 典型组网 26 6.1 有线无线一体化IDS 26 6.2 有线无线一体化USG 27 6.3 有线无线一体化防火墙 28 6.4 有线无线一体化IPS 29 6.5 有线无线一体化审计 31 6.6 有线无线一体化扫描 32 7 产品资质 33 8 服务支持 33 启明星辰 无线风险管理 威胁一体防御 ii 1 概述 IDC报告显示，2010年全球WLAN市场收入创纪录地突破了50亿美元，较上一年增长25%。WLAN作为企业基础网络设施之一，已成为不可逆转的趋势。 ² 小型企业、家用办公（Soho）方面的销售超过了30亿美元。 ² 企业无线局域网方面的销售超过了20亿美元，为近5年来最大增幅。 ² 在企业无线局域网中，教育和医疗两个垂直行业占据最大的市场份额。 ² IDC报告显示，2010年国内WLAN市场收入超过23亿元（不含Soho产品）。国内WLAN市场持续多年保持亚太地区最快的增长率，得益于智能终端的普及和行业无线局域网的快速发展。 ² 其中运营商建设的热点以及由其推动的行业无线网络超过16亿元，预计2011年这部分销售额将达到25亿元，同比增长超过150％。国内三大运营商已经明确了把WLAN网络作为3G网络有益补充这一战略，因此WLAN设备在各大运营商的采购量和建设量都在逐年大幅度增加，中国移动和中国电信都计划三年内建设100万WLAN热点，而中国联通仅2010年就招标了20万台WLAN设备。 ² 中小企业（不含Soho）销售超过了7亿元，相对于运营商主导的WLAN市场，企业无线网络份额不到一半，但保持着较高的利润水平。 ² 在国内WLAN市场中，教育、制造业、政府、医疗等行业占据了近一半的份额。 然而，WLAN网络建设热潮构成鲜明对比的是，WLAN网络安全防护设备在组网方案中的普遍缺失。随着人们对WLAN网络安全担忧的加剧，目前在欧美等国家，已经出台了WLAN安全相关法规和技术管理办法，一些重要的场合已经考虑了隐藏在开放空间中的WLAN安全威胁，或部署WLAN安全防护产品，或定期进行WLAN安全检查。而在我国，WLAN网络作为一个新兴应用，与其对应的相关安全防护法律、法规还相对空白，相关技术和产品也处于刚刚起步的状态。 即便如此，现实问题是，我们已经建设完成或正在兴建的大量的WLAN网络，如何有效的进行安全防护，是每一个安全厂商和WLAN设备供应商，应该共同面对的问题。 针对这种现状，作为国内信息安全的领航者，启明星辰率先推出了无线安全引擎WSE，通过将该引擎集成到现有的天清系列、天阗系列、天镜系列、天玥系列等有线安全防护产品中，形成有线无线一体化的统一安全解决方案。 2 发展史 2.1 无线对传统安全的挑战 有线网络安全设备主要部署在网络出口，防范来自互联网的安全威胁，由于网络位置及防护技术的限制， 在应对WLAN无线安全威胁时往往力不从心。 使用传统防火墙防护无线网络，只能在有线网络出口阻止非法无线客户端，无法阻止无线客户端通过射频信号接入AP，而一旦非法无线客户端接入AP，相当于进入企业内网，信息泄露的大门已经打开。 Internet 防火墙构造的有线网络安全边界形同虚设 无线网络使网络物理边界模糊、消失 图1. 传统安全面临的挑战 传统安全方案，无法阻止流氓AP(例如员工私自接入有线网络的AP)，而一旦接入不符合安全策略的流氓AP，内网数据的安全将无法得到保障。 基于有线的安全网关，对于无线扫描、无线欺骗、无线破解、无线DoS等攻击更是鞭长莫及，无法防护。 无线MAC采用共享机制，效率较低，带宽和时延也随之变差，在承载视频、语音等实时业务时，会面临更大的挑战。而基于无线网络的多种应用共存时，情况会更复杂化，如何有效管理无线网络应用，提升用户使用体验？ 用户无法了解射频开放空间中的无线网络状况，谁在使用无线网络？有没有非法无线客户端接入？是否存在无线网络攻击？这些问题，传统的有线安全手段均无法解决。 2.2 为什么需要无线安全 Gartner数据显示，在众多网络安全威胁中，WLAN所面临的安全威胁处于最高风险等级，形势迫在眉睫。 图2. 传统安全面临的挑战 针对WLAN的攻击方法、工具层出不穷 ² 流氓AP ² Ad Hoc连接 ² 无线DOS攻击 ² 无线破解 ² 无线中间人攻击 ² 无线钓鱼 ² 无线扫描与探测 ² Windows7无线风险 ² 等等 图3. 无线网络面临的风险 合规性要求，美国已有相关法规，国内暂时空白 ² DISA（美国数据交换标准协会）要求美国国防部网络，无论是否部署了WLAN设备，必须部署WIDS/WIPS设备，7×24小时不间断监测网络。 ² PCI DSS（支付卡行业与数据安全标准）要求每季度对所有支付卡场所进行一次无线扫描，无论该场所是否部署了无线设备。 图4. 美国无线安全相关法规 2.3 无线安全常见误区 ² 无线安全常见误区及分析 ² WLAN安全关键问题 n 防火墙、UTM等有线安全设备是否能防护WLAN网络，阻止WLAN网络攻击？ n 对于没有部署WLAN的网络，如何确定真的没有人使用无线？ n 对于部署了WLAN的网络，管理员能否清晰的了解无线网络状态和面临的威胁（Who、When、Where、How）？ n 当员工大量使用无线智能终端时，如何确定企业数据没有泄露的风险？ n 如果企业不允许上外网，如何确定员工没有通过隔壁的WLAN网络或无线热点连接外网？ ² 针对不断上升的WLAN风险，安全和无线厂商也在不断推出相应的解决方案，先后出现过物理层干扰、链路层防护、网络层加密、应用层发现等无线安全解决方法。 ² 在多种WLAN安全方案中，无线入侵防御逐渐成为一种被认可的主流WLAN安全解决方案。 3 产品综述 3.1 产品综述 启明星辰无线安全引擎的主要特性包括： 无线防火墙，结合射频信号及802.11特点，提供创新的无线防火墙安全策略，可根据AP或Station的安全属性定制无线网络准入规则，通过射频信号阻止非法用户接入，建立射频安全区，提供具有物理安全、可信的无线网络。 无线入侵防御，提供包括无线扫描、欺骗、DoS、破解等多个大类数十种无线攻击的检测、告警、阻断功能，同时提供多种类型流氓AP的检测与阻断，彻底杜绝内网机密通过无线网络向外泄露。 丰富的报表统计，提供无线网络实时拓扑、雷达图、柱状图、饼状图、攻击排名等多种丰富统计，无线安全状态一目了然。 3.2 特点说明 ² 无线防火墙完全兼容用户原有无线网络 ² 支持有线网络旁路接入 ² 防护所有类型WLAN设备，提供最大兼容性 ² 无线防火墙提供完善的安全策略 ² 用户可根据自己WLAN资产的属性设定无线安全策略 ² 支持WLAN资产的分类对象定义，例如以设备厂家区分 ² 建立具有物理安全特性的射频安全区 ² 无线防火墙提供可靠的射频阻断 ² 对于违反无线安全策略的WLAN设备，无线安全引擎通过射频信号将其阻断，使其无法接入到指定无线网络 ² 射频阻断及时、可靠，保证无线网络的物理安全，安全等级提升至有线网络水平 图5. 无线防火墙技术原理 ² 无线入侵防御完全兼容用户原有无线网络 n 支持有线网络旁路接入 n 防护所有类型WLAN设备，提供最大兼容性 ² 无线入侵检测提供丰富的攻击检测 n 包括流氓AP、无线扫描、无线欺骗、无线钓鱼、DoS、破解等6大类无线攻击的检测 n 支持几十种主流无线攻击防护，不间断的保证企业无线网络安全 ² 无线入侵检测支持多层次联动机制 n 与无线防火墙联动，通过无线防火墙的射频阻断技术，及时阻断无线攻击，使得网络攻击者无从下手 n 将来可与有线网络设备联动，即使黑客多次尝试后通过未部署无线安全引擎的无线网络找到漏洞攻入，由于无线安全引擎将其列入黑名单通知有线设备，攻击者依然会被阻断，提高整体网络安全性。 图6. 无线入侵防御技术原理 ² 无线安全策略 n 无线防火墙规则 n 无线入侵检测 ² 无线安全统计 n 无线拓扑发现 n 无线设备列表 n 无线设备分布 3.3 产品系列简介 无线安全引擎 ² WS100 n 低端无线安全引擎，桌面型设备，支持壁挂安装使用，适用于覆盖面积较小的无线网络，或中大型无线网络分布式组网使用 n 可无障碍覆盖500平方米区域 n 支持8台内网AP安全防护。 ² WS200 n 低端无线安全引擎，适用于覆盖面积较小的无线网络，或中大型无线网络分布式组网使用 n 可无障碍覆盖500平方米区域 n 支持8台内网AP安全防护。 ² WS1000 n 中端无线安全引擎，适合覆盖面积较大的中型无线网络使用 n 可无障碍覆盖2000平方米区域 n 支持32台内网AP安全防护。 3.4 产品覆盖方式 启明星辰无线安全引擎采用了2.4GHz/5GHz双频、垂直极化、水平360度覆盖的5dB全向天线。 其无线电覆盖的模型如下图，以WSE为圆心，呈铁饼形状，因此应该将WSE部署在需防护区域的中心位置，才会取得较好的效果。 图7. WSE无线覆盖模型 4 体系架构说明 4.1 产品构成 无线安全引擎主要由以下几部分组成：无线安全引擎、无线安全集中数据分析中心。 无线安全引擎：部署需要安全防护的无线网络中，融合多种安全能力，针对无线扫描、无线欺骗、无线DoS、无线破解等无线网络威胁，实现精确防控的高可靠、高性能、易管理的无线入侵防御设备。 无线安全集中数据分析中心：无线安全数据分析是无线安全产品海量信息的后台处理中心。主要完成无线安全引擎的日志和安全事件的存储、分析、审计和处理功能。无线安全数据分析中心可作为模块与天清、天阗、天玥、天镜以及USG等产品共同部署，实现无线安全与有线安全的无缝集成、高度一体化。 4.2 软件结构 启明星辰无线安全引擎涵盖了无线防火墙、无线入侵检测、无线阻断以及无线网络状态评估等多项功能，在软件结构设计上引入了一体化的设计理念，即将各处理引擎进行一体化设计，以达到性能最优的目的。 图8. 无线安全引擎软件架构 启明星辰无线安全引擎本着安全高效原则，采用模块化、可裁剪的一体化设计思想，最终形成了以上的总体软件结构。其中包括，自主研发的驱动层，报文接收单元和报文发送单元。报文接收单元中又包括报文的预处理、报文的解码、攻击特征查找引擎、无线策略管理与查找等。报文发送单元中包括无线安全事件上报功能、阻断策略管理、动态阻断以及阻断结果的动态跟踪评估等。整个过程的日志信息和数据流量信息送数据中心监控和备案，管理中心负责整体的配置和调整。 4.3 管理结构 优秀的管理系统是产品能否有效利用的关键，启明星辰无线安全引擎提供了灵活且丰富的管理系统，包括简洁的单机管理器和强大的数据分析中心。产品的管理结构具体如下图： 图9. 无线安全管理结构示意图 启明星辰无线安全引擎提供集中数据分析和单机管理相结合的双重机制。在系统软件中集成了Web Server和Syslog Agent功能，Web Server提供本地单机方式的Web管理；Syslog Agent提供集中数据中心的信息采集和发送任务。 无线安全引擎的双重管理结构实现了“管理分层，功能分级”的管理思想，一方面无线安全引擎自身的Web Server提供了单机的Web管理机制，用于进行详细的功能设置；集中数据分析中心通过内置在引擎设备的Syslog Agent获取各引擎的无线安全事件，并将其分类、归一、挖掘，最终将无线安全态势形象的显示给用户。 5 关键技术 无线安全引擎采用了多项创新的技术，将有线安全和无线安全完美的融合起来，全方位保障用户的网络安全。 5.1 基于无线网络架构的自动学习技术 对于传统有线网络而言，网络管理员通过在网络规划时，将具体的网络设备、用户终端与指定的物理端口进行对应，之后就可以方便的进行管理了。而对于无线网络而言，由于终端的“无线”、“便携”特性，使得网络管理员很难将无线用户对应到具体的物理位置，即使是了解无线网络运行的状态，也是一项棘手的任务。 启明星辰的无线安全引擎可以自动学习无线网络架构，并无线网络状态、无线设备属性、无线拓扑等内容直观展示给用户，为用户提供了一种可视化的无线分析、管理的方法。 首先，无线安全引擎将无线网络设备分为三大类：合法设备、非法设备、邻居设备。其中合法设备是指部署在用户内网，且经过用户授权的AP和客户端；非法设备是指私自连接到用户内网，未经用户授权的AP和客户端；邻居设备是指未部署在用户内网，而是相邻网络中出现的无线设备。 其次，无线安全引擎将无线设备之间的连接分为三大类：允许连接、拒绝连接、忽略连接。其中允许连接发生在授权的合法设备之间，而非法设备到其他任何设备的连接都属于拒绝连接的范畴之内，邻居网络中无线设备之间的连接则为忽略连接。 合法AP 流氓AP 外部AP 合法客户端 非法客户端 邻居客户端 允许连接 拒绝连接 忽略连接 图10. 无线网络安全分类 基于上述无线网络的安全分类原则，无线安全引擎在加电运行之后，即开始启动自动学习过程，通过有线网络扫描和无线网络侦听相结合的方式，尽可能的学习到更多的无线设备，并将所学习到的无线设备进行分类。 同时，无线安全引擎也会学习到无线设备详细属性： ² SSID ² IP ² MAC ² 信道 ² 加密方式 ² Beacon间隔 ² 工作模式 ² 信号强度 ² 上电时间 ² 厂商属性 随着无线网络设备类型及属性的不断完善，无线安全引擎就可以更加精确的将无线连接进行分类、管理，并将无线网络的运行状态，形象的展现给用户，协助用户更加智能的分析无线网络状态，并及时发现无线网络中所存在的安全隐患和无线攻击事件。 5.2 高效的无线攻击检测技术 传统的有线网络攻击主要位于网络层之上，因此IPS/IDS等安全设备通常在网络层报文中深度查找攻击的特征，并将这些特征相互关联，从而定位对应的网络攻击。 在无线网络中，由于其链路层协议的脆弱性尤为突出，所以目前已知的攻击方式中，大多数都是针对无线链路层协议进行的，也有一部分攻击是针对无线网络架构本身的，因此，无线攻击的识别技术也需要根据攻击的特点而变化，这一点与传统有线网络攻击检测是有区别的。 启明星辰无线安全引擎内置了高效的无线攻击检测引擎，能够针对链路层的无线网络攻击特征进行有效识别，同时，针对无线网络架构的组合攻击，无线攻击检测引擎通过一体化关联分析技术，也能有效识别，确保无线攻击无处藏身。 攻击特征库 特征 检测 引擎 关联分析 无线属性 有线属性 无线链路层数据 解码器 图11. 无线攻击检测 在解码和特征检测的环节中，无线安全引擎采用了高精度的协议分析和自适应匹配算法，来保证检测的高效、准确。 n 高精度链路层协议分析 协议分析是入侵检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精度。但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。我们将主要通过以下方法来解决这一问题： 基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成。 n 多模匹配算法选择 由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法，并且在工业界得到了很好的应用，比如AC算法、WM算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上，在IA32架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。 现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有Aho-Corasick、Wu-Manber和ExB算法或它们的变种。 根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略缓存的性能开销。由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储器效能低造成系统整体的效能低下，绝大多数系统采用多级存储结构，增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中，数据结构非常庞大，并且匹配过程中不断在非连续的地址间跳转，此时高速缓存的命中率大幅下降，不考虑缓存开销显然已不能反映各算法在实际应用中的效能。 实际上不存在一种普适的算法能够在各种情况下都有最佳表现，同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件（处理器）架构和匹配规则的分布类型，将其抽象为与匹配算法效能相关的若干关键参数，计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图， 图12. 自适应示意图 静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line长度、L2Cache容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。 通过上述检测技术及算法，并通过自主积累的无线攻击特征库，启明星辰无线安全引擎能够高效的检测无线欺骗、无线破解、流氓AP、无线DoS攻击等多个分类中数十种基于无线网络架构的攻击。 5.3 一体化的关联分析技术 无线局域网作为传统有线局域网络的延伸，主要是为了让用户摆脱网线的束缚，用户在完成无线接入的过程之后，其使用的大部分网络资源、内容、流量等还是来自于有线网络，需要有线网络进行最后的落地。 因此，分析无线网络安全威胁，不能只单纯考虑无线网络部分，同时需要涉及无线局域网最后落地的有线网络，只有将无线网络、有线网络统一考虑，进行一体化的关联分析，才能更准确的定位无线网络安全威胁。 无线安全引擎会智能的将无线网络设备进行内外网分类： 首先，无线安全引擎会通过有线网络接口，定期向所在的局域网内发送特定的探测报文，该探测报文在局域网内以广播或组播的方式发送，确保送达至局域网内每台网络设备或主机。同时，该探测报文在遇到桥接设备时，可以穿越相应设备，继续传递。当AP的有线网络接口接收到该探测报文时，会通过其无线网络接口转发该报文，继续向网络末端传递。 其次，无线安全引擎通过其无线网络接口持续侦听，当侦听到自己通过有线网络发送的特殊探测报文时，无线安全引擎即可以确认转发探测报文的AP是工作在局域网络内部。 图13. 无线内网探测学习 最后，当无线内网探测完成之后，无线安全引擎会持续在无线网络接口侦听所在区域的无线局域网络，进而学习到更多的无线网络设备，并在学习的同时，根据既定的分类原则，将无线网络设备进行分类。随着无线网络设备分类的不断完善，无线安全设备就可以更加精确的将无线连接进行分类、管理，从而为进一步分析、识别、定位无线网络中的安全威胁做好准备工作。 根据之前所完成的无线网络和有线网络的扫描和探测，无线安全引擎会持续侦听网络中攻击特征，并不断汇总无线网络攻击特征、无线网络设备属性、有线网络侧的设备特征和属性，实时进行一体化的关联分析，一旦发现预定义的安全威胁类型，实时上报给数据分析中心。 无线网络侧攻击特征： Singnature1 Singnature2 …… SingnatureN 无线网络侧属性： Property1 Property2 ……. PropertyN 有线网络侧特征： Singnature1 Singnature1 …… SingnatureN 有线网络侧属性： Property1 Property2 …… PropertyN 一体化 关联分析 上报无线攻击事件 图14. 一体化关联分析 通过一体化关联分析，无线安全引擎可以实现更加准确、高效的无线威胁检测。 5.4 基于射频的精确阻断技术 对于入侵防御设备而言，有效的通讯阻断方式作为抑制攻击的有效方式，是不可或缺的。在有线网络中，阻断多数由串行接入网络的网关设备来完成，阻断的方法主要通过丢弃数据报文来实现。 在具体实现上，可以分为基于MAC地址的阻断、基于IP地址的阻断、基于端口的阻断以及基于连接/应用的阻断，或者是基于这几种阻断方式的组合。由于这几种阻断实现方式的区别，在阻断效果上也会有所差异。大体来说前两者，即基于MAC和IP的阻断，通常会阻断用户的所有网络流量，较为严格；而后两者，只是阻断某个用户的特定连接，该方式较为精确，可以更加灵活的满足客户的意图。 此外，某些旁路接入的有线网络设备，会采取另外一些阻断方法，例如通过发送TCP Reset报文来结束TCP连接，通过发送ARP欺骗报文来将数据报文重定向到某个不可达的目的，以及通过其他应用层控制报文来拆除连接，等等。 综上，在有线网络中，串行阻断方式相对于旁路阻断是一种更为有效、可靠的方式，而旁路阻断则需要更多的学习、伪造、管理等较为复杂的过程，来保证阻断的效果。但在另一方面，旁路阻断相对于串行阻断的优势在于，旁路阻断对于现有网络影响较小，在部署时，基本不需要修改网络拓扑；在工作时，由于通常不作为业务转发的枢纽，或不参与承载业务，所以造成单点故障的可能性大为降低，这点往往使其更受网络管理人员的青睐。 延伸到无线网络的阻断方式，由于目前WLAN网络通常为点对多点的架构，单纯从无线链路上考虑，是很难串行进去额外的设备的，因此串行阻断只能在有线网络侧考虑。但同时也面临另一个问题，如果仅在有线侧阻断，此时，被阻断的无线设备实际已经接入了无线网络，在被阻断点之前的网络资源，理论上是都可以访问的，这存在较大的安全隐患。基于上述原因，启明星辰无线安全引擎采用自主研发的基于射频的无线阻断技术，满足用户精准识别、可靠阻断的要求。 Internet 无线连接 恶意攻击 AP AP 有线阻断点 图15. 通过有线设备阻断无线设备 Internet 无线连接 射频阻断 WSE AP AP 图16. 通过射频阻断无线设备 射频阻断通常有两种方式，一种是射频干扰，通过长时间、大功率发送所在频段的干扰信号，来干扰无线设备的接收。其工作原理，通俗的讲，类似用高音喇叭对着人群播放，使得即使对面的人，也相互听不清对方说的话。由于采用在物理层进行干扰，因此这种实现方式较简单、可靠。 但同时信号干扰方式也有一个比较大的缺点，即干扰效果与干扰器发出信号的场强正相关，即干扰信号场强越大，干扰效果越好，反之，则达不到理想效果。干扰器发出的信号场强需要远大于被干扰设备的信号场强，才能达到较好的阻断效果，但又不能违反国家电磁辐射相关规定，因此，通常干扰器的发射功率多≤1W，作用范围从几十平米至几百平米不等。 另一种更为先进的阻断方式，是利用无线链路层或更上层协议的实现机制，其优势在于采用更智能的方式，以更小的代价（更少的发射时间、更小的发射功率），来达到精确阻断的目的。 因为采用了与干扰器不同的工作原理，精确阻断设备可以用更低的发射功率来抑制无线设备的发射，从而达到与干扰器相同的工作效果，起到四两拨千斤的作用。例如，阻断同等面积区域内的无线设备，精确阻断设备的发射功率只需干扰器的一半或更低，某些情况下，甚至只有干扰器发射功率的十分之一。 另一方面，即使采用了如此低的发射功率，精确阻断设备也不总是处于发射状态。当其所工作的区域内，并没有出现需要阻断的对象时，设备仅仅处于监听状态，对外完全不发射任何射频信号。而当需要被阻断的对象一旦出现，阻断设备及时开始有针对性的阻断动作，由于抑制了被阻断对象的发射功能，因此整个工作区域内的信号场强不会有明显上升，甚至信号的总体场强会低于无线设备满负荷工作时的状态。 此外，精确阻断设备允许所工作的区域内某些特定的无线设备可以使用，而其他无线设备被阻断，该策略可以有用户自由定义，这种智能的阻断方式，更是传统的射频干扰器所望尘莫及的。 目前在无线上，较为常见的无线阻断手段包括去认证泛洪，去关联泛洪、认证泛洪、关联泛洪、早期EAP泛洪、EAPOL启动泛洪、EAPOL退出泛洪、CTS泛洪、NAV攻击、FakeAP、AirJack、FataJack等等。这些方法各有优缺点，针对不同的无线设备，其表现也各有差异，因此需要灵活运用，并加以管理。 在认证/去认证阻断过程中，阻断设备通过有针对性的发送认证、关联、去认证、去关联等报文，干扰无线终端与AP之间的控制过程，从而使无线终端无法关联成功，最终达到阻断的目的。 认证 关联 数据传输 无线 阻断 发生 AP 终端 认证 关联 数据传输 WSE 认证/去认证 关联/去关联 正常802.11管理帧 无线阻断帧 被阻断的过程 图17. 认证关联阻断过程 在AirJack阻断过程中，阻断设备通过影响AP的时隙分配，使得某些终端始终无法获得可用的时隙与AP通信，从而被阻断。尽管此时无线终端表现为与AP已经建立了连接，但却无法进行通信。 WSE AP AP STA1 STA2 STA1 STA2 AirJack阻断STA1 图18. AirJack阻断过程 在FakeAP阻断过程中，阻断设备会扮演假冒AP的角色，将目标无线终端主动牵引至自己假冒的AP上，并同时起到无线蜜罐的作用。被阻断的无线终端与阻断设备假冒的AP成功的进行了无线连接，并开始发送数据，阻断设备并不中转这些数据，而是将其丢弃，从而达到阻断的效果。 无线连接 射频阻断 WSE AP SSID:Venus STA FakeAP SSID:Venus 图19. FakeAP阻断过程 综合上述多种方法，启明星辰无线安全引擎在充分研究的基础上，经过长期实践、积累，逐步形成一套阻断知识库，采用了灵活的阻断管理策略，针对不同的无线设备，迅速的找到更为有效的阻断方法，同时结合发现、学习、反馈等过程，动态调整该方法，从而达到可靠的阻断效果。 图20. 阻断知识库及管理 6 典型组网 无线安全引擎WSE可以与天清NIPS配合使用，同时也可以与下列产品配合组网，实现一体化防护： ü 天阗IDS ü 天清汉马USG ü 天清汉马USG-FW ü 天玥审计系统 ü 天镜扫描系统 因此，在组网应用中，无线安全引擎与上述产品共同组网，分工合作，共同应对网络中来自有线侧和无线侧的安全威胁，形成有线无线一体化网络安全解决方案 6.1 有线无线一体化IPS 无线安全引擎提供无线安全策略管理、无线攻击检测与阻断、以及无线信号的审计等功能，配合天清NIPS入侵防御系统共同完成有线、无线的一体化安全防护任务。 ü 无线安全策略制定、执行 无线接入点AP准入策略控制（无线AP的黑白名单） 无线终端准入策略控制（终端的黑白名单） 基于安全事件的准入策略控制（比如，如果某客户端发生暴力破解事件，则阻断接入AP） ü 无线网络攻击的检测和阻断 脆弱性（配置错误类）、流氓AP、扫描探测事件、欺骗类事件、无线DDOS攻击类事件、异常报文攻击类、无线暴暴力破解类（频度、工具特征）、信息监控 ü 涉密网中无线检测和审计 涉密网不允许有无线信号，通过日志和报表的形式展现无线AP（MAC）、哪些客户端接入过、登陆、断开时间 图21. 有线无线一体化IPS网络结构图 6.2 有线无线一体化IDS 无线安全引擎可检测8大类数十种无线安全威胁，配合天阗IDS实现有线、无线一体化的威胁检测。 ü 脆弱性（配置错误类）：未设置加密方式、加密方式为WEP、WPS功能开启、AP开启WDS功能、STA开启WDS功能、Ad-Hoc设备 ü 流氓AP：未授权AP、可疑信道AP、代理AP（合法终端开启AP功能） ü 扫描探测事件：NetStumbler扫描、Airodum-ng扫描 ü 无线欺骗类事件：钓鱼AP、HotSpotter攻击 ü 无线DOS攻击类事件：伪造客户端发送大量关联报文（DeAsso、MDK3 DeAsso、RTS、CTS）；伪造客户端发送大量认证报文（DeAuth攻击、MDK3 DeAuth攻击、Aireplay-ng DeAuth攻击、认证帧泛洪攻击） ü 异常报文攻击类（NullProbeResponse、时间片攻击） ü 无线暴力破解类（频度、工具特征）（暴力破解、Aireplay-ng FRAMG 破解、Aireplay-ng CHOPCHOP 破解、Aireplay-ng ARP注入、Wessid-ng 破解） ü 信息监控：AP禁止当前STA与其关联、发现新AP节点、发现新STA节点、AP节点断电或离开、STA节点断电或离开、客户端离开无线网络、客户端接入无线网络 图22. 有线无线一体化IDS网络结构图 6.3 有线无线一体化USG 无线安全引擎提供无线安全策略管理、无线攻击检测与阻断、以及无线信号的审计等功能，配合天清汉马USG网关共同完成有线、无线的一体化安全防护任务。 ü 无线安全策略制定、执行 无线接入点AP准入策略控制（无线AP的黑白名单） 无线终端准入策略控制（终端的黑白名单） 基于安全事件的准入策略控制（比如，如果某客户端发生暴力破解事件，则阻断接入AP） ü 无线网络攻击的检测和阻断 脆弱性（配置错误类）、流氓AP、扫描探测事件、欺骗类事件、无线DDOS攻击类事件、异常报文攻击类、无线暴暴力破解类（频度、工具特征）、信息监控 ü 涉密网中无线检测和审计 涉密网不允许有无线信号，通过日志和报表的形式展现无线AP（MAC）、哪些客户端接入过、登陆、断开时间 图23. 有线无线一体化USG网络结构图 6.4 有线无线一体化防火墙 天清无线安全引擎提供无线安全策略管理、无线攻击检测与阻断、以及无线信号的审计等功能，配合天清汉马USG-FW防火墙共同完成有线、无线的一体化安全防护任务。 ü 无线安全策略制定、执行 无线接入点AP准入策略控制（无线AP的黑白名单） 无线终端准入策略控制（终端的黑白名单） 基于安全事件的准入策略控制（比如，如果某客户端发生暴力破解事件，则阻断接入AP） ü 无线网络攻击的检测和阻断 脆弱性（配置错误类）、流氓AP、扫描探测事件、欺骗类事件、无线DDOS攻击类事件、异常报文攻击类、无线暴暴力破解类（频度、工具特征）、信息监控 ü 涉密网中无线检测和审计 涉密网不允许有无线信号，通过日志和报表的形式展现无线AP（MAC）、哪些客户端接入过、登陆、断开时间 图24. 有线无线一体化防火墙网络结构图 6.5 有线无线一体化审计 无线安全引擎可以完成无线连接审计、违规无线访问审计、涉密无线审计等功能，协助天玥审计网关共同完成有线网络、无线网络的一体化审计。 ü 正常无线连接行为审计 AP节点加入、离开网络；STA节点连接AP、离开AP； ü 违规无线访问审计 非法AP接入、离开网络行为记录 合法客户端接入非法AP行为记录 非法客户端接入合法AP行为记录 ü 涉密网非法无线审计 涉密网不允许有无线信号，记录无线AP（MAC）、哪些客户端接入过、登陆、断开时间等。 图25. 有线无线一体化审计网络结构图 6.6 有线无线一体化扫描 无线安全引擎可以扫描无线网络中的AP、终端以及无线网络中脆弱配置和非法无线设备，配合天镜扫描器完成有线网络、无线网络的一体化扫描。 ü 无线设备、终端、信号的发现与统计 无线设备发现、拓扑发现 无线信道统计、信号噪声分布 无线终端的发现 可以通过自学习或手工方式确定合法AP和终端 ü 无线安全隐患的发现与统计 配置脆弱性：未设置加密方式、加密方式为WEP、WPS功能开启、AP开启WDS功能、STA开启WDS功能、Ad-hoc设备 非法无线设备发现：未授权AP、非法信道AP、代理AP、钓鱼AP ü 涉密单位发现无线信号 涉密单位不能有无线信号，该模块可以帮用户发现并阻断所有2.4G和5.8G的无线信号 图26. 有线无线一体化扫描器网络结构图 7 产品资质 启明星辰无线安全引擎沿用天清NIPS的如下资质： 《计算机信息系统安全专用产品销售许可证》（百兆、千兆） 《涉密信息系统产品检测证书》（百兆、千兆） 《军用