📜  无线安全性-工具

📅  最后修改于: 2020-12-03 06:33:59             🧑  作者: Mango


如今,在无线网络中正确实施安全控制至关重要,因为它会直接影响某些企业的盈利能力和信息保密性。应使用无线安全工具定期测试(审核)无线实施。良好的无线安全审核不仅是实际测试,而且是适当的文档,包括有关如何使WLAN更安全的建议。

有很多可能的审计,一个可以尝试执行-

  • 第1层审核
  • 第2层审核
  • WLAN安全审核
  • 有线基础设施审核
  • 社会工程审计
  • 无线入侵防御系统(WIPS)审核

Wi-Fi安全审核工具

在上一部分中,我们列出了可以执行的一组审核,以评估无线实施的安全性。我们将尝试一点一点地了解这些问题–首先,为什么要进行特定的审核,其次,如何进行审核。

第1层和第2层审核

第1层审核的目标是确定RF覆盖范围(基于性能的站点调查的一部分),并找出潜在的RF干扰源(确定第1层DoS来源的安全审核的一部分)。在进行无线安全审核期间,可以进行频谱分析以检测任何连续的发射机或故意放置的RF干扰信号(导致第1层DoS)。

对于第2层无线审核,目标是检测任何恶意设备或未经授权的802.11设备。在没有部署无线IPS(WIPS)监视的环境中,执行第2层审核至关重要(否则WIPS将自动执行此操作,因为这是其工作)。

在执行第2层站点调查时,审核员应重点关注的点是:MAC地址,SSID,使用的设备类型,流量类型,使用的通道,可能的默认配置,可能的第2层攻击,临时客户等。

在执行第1层或第2层审核时,审核员可能会使用以下工具-

  • 协议嗅探器/分析器(例如Wireshark)

  • 2.4 / 5 GHz信号注入器。

  • 攻击性工具(mdk3,Void11,Bugtraq,IKEcrack,FakeAP等)

作为示例,我将向您展示一种称为mdk3的瑞士军刀工具。它是一种概念验证工具,可用于利用无线网络。仅列举几个选项,它允许您执行以下操作:

  • 泛滥假信标工具(作为模仿假AP的一种方法)。

  • 身份验证帧的DoS(如果存在漏洞,可能会导致AP冻结或重新启动)。

  • 大量取消关联/取消身份验证的帧(将有效用户踢出网络)。

  • 802.1X无线安全测试。

  • 滥用无线入侵防御/检测系统(WIPS / WIDS)和其他有害物品。

第一层第二层审核

使用您的kali Linux(mdk3工具)创建第2层去验证帧的DoS非常简单,可以通过单个命令来完成,如以下屏幕截图所示。

取消认证帧

当然,总会有很多方法来获得相同的结果。您可以使用aireplay-ng工具获得相同的效果。 “ -a”之后的MAC地址是广播特定WLAN网络的AP的BSSID值。

打击工具

WLAN安全审核

WLAN安全审核的目标是调查特定WLAN是否以及如何受到损害。潜在攻击者将寻找的弱点类型(以及无线安全审核员应关注的弱点)主要与身份验证,加密,已部署的WLAN的类型,使用的弱密钥等相关。

最适合该用途的工具是-

  • 协议嗅探器/分析器(例如Wireshark)。

  • 无线发现工具(例如NetStumbler,Kismet,Win Sniffer,WiFiFoFum等)。

  • 加密/身份验证破坏(测试)工具(aircrack-ng,自定义脚本,各种加密分析工具)。

WLAN安全审核

如您所见,基本的WLAN安全审核不是您需要专用软件的事情。在智能手机上使用该应用程序可能会起作用!

有线基础设施审核

对于无线网络通信,还需要保护其有线部分,以使整个系统安全。有线基础架构审核应涵盖以下指标-

  • 检查用于限制WLAN用户访问某些网络资源的防火墙。
  • 应禁用未使用的Switchport接口。
  • 如果可能,应使用强密码,并应使用具有内置加密的协议(HTTPS,SSH)。

社会工程审计

社会工程是使用非技术方法获取信息的“攻击”类型。与其尝试破解无线密码,不如要求它更容易?也许更容易获得WPS PIN,从而使您可以连接到受保护的WLAN?

这些场景听起来很棒,但我可以向您保证,它们也在现实生活中发生。为了防止这种情况发生,最重要的是要知道应将哪些数据保密,将哪些数据共享。在您是网络“管理员”的家庭环境中,只有您自己可以决定应保密的内容。另一方面,在企业环境中,安全部门的职责是发布安全意识活动,以教育人员,什么是正确使用无线网络以及什么是滥用网络。

无线入侵防御系统

在有线网络上,入侵防御系统(IPS)用于对遍历数据包进行深度数据包检查,以查找异常,特洛伊木马或其他恶意代码段。

在无线世界中,它是相似的,但是侧重于对恶意无线设备的反应,而不是安全事件。无线入侵防御系统(WIPS)专注于检测和阻止未经授权的无线设备的使用。 WIPS的整个思想是在基础架构中以WIPS模式专门配置一些AP(不要广播任何WLAN网络或允许用户进行关联)。这些AP已针对特定的频道进行了预先配置,并且它们始终一直在监听频谱,以查找异常情况。

另一种方法是拥有一组专用的无源传感器(而不是AP)来执行此工作。您可能希望看到的不同类型的异常是:大量的取消身份验证帧或大量的取消关联帧,检测由具有未知BSSID的AP广播的WLAN等。如果您想到深度数据包检查或恶意代码检测,仍然需要使用专用IPS / IDS设备在有线网络上检测到它们。

作为攻击者,您无权运行WIPS解决方案,因为这是一种防御性的技术措施。由于其价格和管理开销,只有大型企业才能运行它(仍然很少见)。 WIPS解决方案的一种可能部署可以基于思科无线基础架构模型。思科无线解决方案(以最简单的形式)基于无线局域网控制器(WLC)和一组AP。 WIPS解决方案将假定某些AP已从常规WLAN服务中删除,并设置为IPS模式,并且专门用于检查频谱。

思科无线局域网控制器(WLC)的主页如下所示(机密字段用黑色圆圈填充)。

无线入侵防御系统

该特定的WLC当前正在管理加入的38个AP。可以在“无线”选项卡下查看所有AP的详细列表以及其MAC地址,IP地址和AP模式。

无线标签

当前加入的所有AP,都在“本地模式”中设置。这意味着它们专用于提供常规的无线覆盖,并宣布所有已配置的WLAN。为了将特定的AP转换为我们所知的“ IPS模式”,我们需要单击其中一个AP,并将其“ AP模式”更改为特殊的“监视模式”。

监控模式

将AP设置为“监控”模式并应用更改后,AP将重新启动。从这一点出发,它的唯一工作就是监听频谱并检测无线侧攻击。默认情况下,WLC具有AP将寻找的预定义签名集。它们在以下屏幕截图中列出-

监控模式屏幕截图

如您所见,项目编号9是“ Deauth Flood”,具有“帧类型”-“管理”和相应的“操作”-“报告”(这意味着它只会使用日志消息通知有关攻击,而不会采取任何操作)。

通过此处的设置,当潜在的攻击者将使用mdk3或aireplay-ng工具干扰基于Cisco Wireless Infrastructure的现有WLAN网络时,将检测到攻击并通知网络管理员。还有其他产品可能会将无线安全性提高到一个新的水平。借助无线跟踪服务,该工具可能会在一些非常安全的位置检测到您的确切地理位置,也许会有保安人员来检查攻击源,或者可能会派出警察。

如前所述,您只能在企业环境中满足这种设置。在较小的部署或家庭环境中,您将无法满足此类安全措施。