无线安全 - 工具

现在,无线网络中安全控制的正确实施至关重要,因为它直接影响某些企业的盈利能力和信息机密性.无线安全工具应该用于定期测试(审计)无线实施.良好的无线安全审计不仅是实际测试,还包括适当的文档,包括如何使WLAN更安全的建议.

有许多可能的审计,可以尝试执行和减去;

  • 第1层审核

  • 第2层审核

  • WLAN安全审计

  • 有线基础设施审计

  • 社会工程审计

  • 无线入侵防御系统(WIPS) )审核

Wi-Fi安全审核工具

在上一部分中,我们列出了一组审核可以进行,以评估无线实施的安全性.我们将逐一审视这些要点,并首先看看 - 为什么特定的审计是相关的,其次是如何执行它.

第1层和第2层审计

第1层审计的目标是确定RF覆盖范围(基于性能的站点调查的一部分)并找出潜在的RF干扰源(用于识别源的安全审计的一部分)第1层DoS).在无线安全审计期间,进行频谱分析以检测任何连续发射机或故意放置RF干扰机(导致第1层DoS).

至于第2层无线审计,目标是是检测任何恶意设备或未经授权的802.11设备.在未部署无线IPS(WIPS)监控的环境中执行第2层审核至关重要(否则WIPS将自动执行此操作,因为这是它的工作).

A审核员应该关注的点列表,同时执行第2层站点调查的是:MAC地址,SSID,正在使用的设备类型,流量类型,正在使用的通道,可能的默认配置,可能发生的第2层攻击, ad-hoc客户等.

在执行第1层或第2层审核时,审核员可能会使用以下工具 :

  • 协议嗅探器/分析仪(例如Wireshark)

  • 2.4/5 GHz信号注入器.

  • 攻击性工具(mdk3,Void11,Bugtraq,IKEcrack,FakeAP等)

作为一个例子,我将向您展示一种名为 mdk3 的瑞士军刀工具.它是一种概念验证工具,可以利用无线网络.仅举几个选项,它允许你做&减;

  • 洪水假灯塔工具(作为一种模仿方式假的AP).

  • 认证帧的DoS(如果易受攻击,可能导致AP冻结或重启).

  • 解除关联/取消身份验证框架泛滥(将有效用户从网络中踢出).

  • 802.1X无线安全测试.

  • 滥用无线入侵防御/检测系统(WIPS/WIDS)和其他一些有害的东西.

Layer1 Layer2 Audit

创建第2层去认证DoS使用kali Linux(mdk3工具)的帧非常简单,可以使用单个命令实现,如下面的屏幕截图所示.

取消身份验证框架

当然,总有很多方法可以获得相同的结果.您可以使用 aireplay-ng 工具获得相同的效果. "-a"之后的MAC地址是广播特定WLAN网络的AP的BSSID值.

Aircrack -ng工具

WLAN安全审核

WLAN安全审核的目标是调查特定WLAN是否以及如何受到危害.潜在攻击者会寻找的弱点类型(以及无线安全审核员应该关注的弱点)主要与身份验证,加密,部署的WLAN类型,使用中的弱密钥等相关.

与该用途相匹配的工具是 :

  • 协议嗅探器/分析器(例如: Wireshark).

  • 无线发现工具(例如NetStumbler,Kismet,Win Sniffer,WiFiFoFum等).

  • 加密/身份验证破解(测试)工具(aircrack-ng,自定义脚本,各种加密分析工具).

WLAN安全审核

如您所见,基本的WLAN安全审核不是您需要的专业软件.使用智能手机上的应用程序可以完成工作!

有线基础设施审核

关于无线网络通信,它的有线部分也需要保证整个系统安全.有线基础设施审计应涵盖以下指示和减号;

  • 检查用于限制WLAN用户访问某些网络的防火墙资源.

  • 应禁用未使用的Switchport接口.

  • A应使用强密码,如果可能,应使用内置加密协议(HTTPS,SSH).

社会工程审核

社交工程是一种使用非技术方法获取信息的"攻击".而不是试图破解无线密码,也许它更容易要求它?也许更容易获得WPS PIN,这将允许您连接到受保护的WLAN?

这些场景听起来很棒,但我可以向您保证,它们也发生在现实生活中.为了防范它,最重要的是要知道哪些数据应该保密,哪些数据应该共享.在您是网络"管理员"的家庭环境中,只有您才能决定应该保密的内容.另一方面,在企业环境中,安全部门的角色是发布安全意识活动,以教育人员,正确使用无线网络以及什么是滥用.

无线入侵防御系统

在有线网络中,入侵防御系统(IPS)用于对遍历数据包执行深度数据包检查,以查找异常情况,特洛伊木马或其他恶意代码.

在无线世界中,它类似,但重点是对流氓无线设备做出反应,而不是安全事件.无线入侵防御系统(WIPS)专注于检测和防止未经授权的无线设备的使用. WIPS背后的整个想法是让您的基础架构中的一些AP专用于在WIPS模式下配置(不要广播任何WLAN网络或允许用户关联).这些AP是针对特定频道预先配置的,它们只是一直听频谱,寻找异常.

另一种方法是拥有一套专用无源传感器(而不是APs)执行这项工作.您可能期望看到的不同类型的异常是:大量的解除认证帧,或大量的解除关联帧,检测到AP使用未知BSSID广播的WLAN等.如果您考虑深度数据包检测或恶意代码检测,它们仍然需要使用专用的IPS/IDS设备在有线网络上进行检测.

您作为攻击者无法运行WIPS解决方案,因为它是一种防御性技术措施.由于其价格和管理费用,只有大型企业可能会运行它(仍然很少见). WIPS解决方案的可能部署之一可以基于思科无线基础设施模型.思科无线解决方案(最简单的形式)基于无线局域网控制器(WLC)和一组AP. WIPS解决方案将假设某些AP从常规WLAN服务中取出,并设置为IPS模式,并专门用于检查频谱.

思科无线的主页局域网控制器(WLC)如下所示(机密字段覆盖着黑色圆圈).

无线入侵防御系统

这个特殊的WLC目前正在管理加入它的38个AP.可以在"无线"选项卡下查看所有AP的详细列表及其MAC地址,IP地址和AP模式.

无线选项卡

当前加入的所有AP都设置为"本地模式".这意味着他们致力于提供定期无线覆盖,并宣布所有已配置的WLAN.为了将特定的AP转换为我们所知的"IPS模式",我们需要点击其中一个AP并将其"AP模式"更改为特殊的"监控模式".

监控模式

将AP设置为"监控"模式并应用更改后,AP将重新启动.从那时起,它唯一的工作就是收听频谱,并检测无线端攻击.默认情况下,WLC具有AP将要查找的预定义签名集.它们列在以下屏幕截图中;<

监控模式截图

如您所见,项目编号9是"Deauth flood",框架类型 - 管理和相应的操作 - 报告(这意味着它只会通过日志消息通知攻击,但不会采取任何行动).

通过我们这里的设置,当潜在的攻击者使用mdk3或aireplay-ng工具干扰基于思科无线基础设施的现有WLAN网络时,将检测到攻击并且网络管理员将会通知.还有其他产品可能将无线安全性提升到新的水平.通过无线跟踪服务,该工具可以在一些非常安全的位置检测您的确切地理位置,可能会有一名警卫来检查攻击来源,或警察可能会被召唤.

As我之前提到过,只有在企业环境中才能满足这样的设置.在较小的部署或家庭环境中,您将无法满足此类安全措施.