RF 扫描方法
HPE Aruba Networking 接入点、网关和中央可以协同工作,扫描环境以检测无线网络的威胁。
扫描
HPE Aruba Networking 接入点中的无线电可以配置为以三种不同的模式扫描无线网络:接入点(AP)模式、空中监控(AM)模式和频谱监控模式。每种模式旨在优先处理不同的任务。
| 无线电模式 | 服务客户端 | 入侵检测/伪装检测 | 扫描的入侵检测/伪装频道 | 无线封锁 | 频谱分析 |
|---|---|---|---|---|---|
| AP | 是 | 是 | 所有频段 | 最佳努力 | 仅客户端服务信道 |
| 空气监测器 | 否 | 是 | 所有监管 + 罕见信道 | 是 | 否 |
| 频谱监测器 | 否 | 是 | 所有法规频段 + 罕见信道 | 否 | 是,所有信道 |
接入点模式
在接入点模式下的无线电专注于为客户端提供服务和传输无线流量,但它们也执行入侵检测系统(IDS)检测。大多数无线管理员在其网络中使用此模式。接入点提供的信息是检测的基础。IDS检测在接入点为客户端服务时进行,确保在网络内实现全面的IDS攻击检测。离频道扫描将发现来自网络外部的Rogues设备和IDS攻击。
接入点模式扫描操作
通常,接入点每10秒执行一次离频道扫描,每个信道的扫描时间略少于100毫秒。这允许接入点监控周围环境而不会错过信标,也不会导致客户端连接问题。除了WIDS/WIPS外,离频道扫描还有多种用例。
建议扫描所有法规域信道。这将包括任何法规域中的有效信道,而不仅仅是接入点所在的法规域。这是因为攻击者通常不觉得需要遵守法律。在接入点的法规域之外的信道上检测恶意设备是可行的,但接入点无法在法规域之外的信道上进行封锁。可以限制接入点只扫描分配的法规域内的信道,但这对于安全意识强的客户不推荐。
接入点使用基于桶的算法进行信道扫描。当接入点启动时,信道被分类为两个不同的桶——法规信道和非法规信道。法规信道的扫描频率高于非法规信道。在扫描过程中,随着接入点检测到有无线流量的信道,第三个“活跃”信道桶会被填充。活跃信道的扫描频率高于法规和非法规信道。这使得接入点可以在更可能存在威胁的信道上花费更多时间,而在威胁可能性较低的其他信道上花费较少时间。
接入点主要保护其分配的信道;此外,接入点还可以配置为每大约10秒进行一次离频道扫描,持续约100毫秒,以检测任何WIDS事件。
接入点模式下无线电离频道扫描的示意图。
由于扫描算法的自适应特性,回答“扫描所有信道需要多长时间?”这个问题相对困难。通常,所有信道至少会被扫描一次,时间少于一小时,而活跃信道会被更频繁地扫描。
空气监测模式
空气监测器(AM)专用于无线安全。它们不为客户端提供服务,因此不需要像接入点那样部署密度。在大多数情况下,如果需要封锁,建议接入点与空气监测器的比例为4:1或5:1,但这在很大程度上取决于接入点密度、环境和启用的WIDS/WIPS特性。
AM模式扫描操作
空气监测器使用类似于接入点的信道扫描算法,但为“罕见”信道使用了第四个分类桶。以原始频率来看,范围为2412至2484 MHz和4900至5895 MHz,间隔为5 MHz。罕见信道包括许多国家的授权公共安全频段的4.9 GHz频谱。6 GHz频段从5945 MHz扫描至7125 MHz,采用每20 MHz的组扫描技术,以捕获无线电支持的最大信道宽度。
由于无线的模拟特性,我们发现RF信号的自然泄漏可以让我们通过每5 MHz扫描找到配置在标准信道之间的Rogues设备。空气监测器扫描的信道在空气监测配置文件中设置,该配置文件是无线电配置文件的一部分。
扫描驻留时间基于桶系统。当处于接入点模式时,离频道驻留时间较短,以最大程度减少对客户端设备的影响,并允许定期发送信标。由于空气监测器不为客户端服务,也不发送信标,因此不需要定期在任何特定信道上运行。
空气监测器(AM)持续扫描所有信道,算法将RF信道划分为三个桶(活跃、法规和罕见)。空气监测器将在活跃信道上花费约500毫秒,在法规信道上约250毫秒,在罕见信道上约100毫秒。
空气监测器模式下无线电利用不同桶进行信道扫描的示意图。
被扫描的具体信道将随机选择。上述列出的驻留时间会略有随机化,以确保Rogues设备无法预测何时可以传输以避免检测。
空气监测器比法规信道更频繁地扫描活跃信道,法规信道的扫描频率高于罕见信道。完成所有信道的循环时间因上述算法而异。扫描所有法规信道大约需要5分钟。接入点和空气监测器能够解调、监控并检测IEEE 802.11标准和协议。
根据检测到的Wi-Fi活动,信道会随时被提升到活跃信道列表。如果长时间没有检测到活动,该信道将被降级回原始桶。
频谱监测
无线网络在电气和射频设备可能干扰网络通信的环境中运行。微波炉、无绳电话,甚至邻近的Wi-Fi网络,都是持续或间歇性干扰的潜在源。支持频谱分析软件模块并配置为频谱监测器(SM)模式的接入点,能够检查Wi-Fi网络运行的射频(RF)环境,识别干扰并分类干扰源。分析结果可以用来快速隔离数据包传输、信道质量和由与其他设备在相同频段或信道中争用引起的流量拥塞问题。
在SM模式下运行的接入点无线电将收集频谱数据,但不为客户端提供服务。每个SM将扫描并分析由其无线电服务的频谱带。混合接入点模式下的接入点无线电将继续作为接入点为客户端服务,同时分析其所用信道的频谱分析数据。可以选择记录两种频谱分析设备的数据信息,以便后续回放和分析。
有线Rogues接入点检测与关联
网关有几种不同的方法帮助判断网络中发现的接入点是否为Rogues。
最基本的方法是通过最后一个八位组的MAC地址进行+/- 1的检查,判断是否为已在有线和无线中观察到的Rogues设备。如果观察到的有线流量的MAC地址与无线MAC地址相差1位,则该设备将被标记为有线Rogues。例如,MAC地址64-16-4A-54-E4-72和64-16-4A-54-E4-71将被检测为Rogues设备。
还有一些更复杂的方法。接入点和空气监测器将监控空中检测到的流量,并通过检查无线流量是否与已知的有线网关MAC地址匹配,判断流量是否源自有线网络。已知有线网关MAC地址的列表由网关、接入点和空气监测器建立。为了确保此功能正常运行,所有面向客户端的VLAN都需要被中继到网关、接入点或空气监测器。虽然检测只需将流量中继到一个接入点或空气监测器,但建议将VLAN中继到所有已部署的接入点或空气监测器。有线封锁需要此设置,相关内容在封锁章节中讨论。
中央将检查桥接转发表和ARP表,从网络中收集Rogues信息。桥接转发表显示有线MAC地址到交换机端口的映射关系。ARP表显示有线MAC地址和IP地址的映射关系。中央随后会将有线MAC地址列表与空中检测到的内容进行关联。如果两个MAC地址的偏移在可配置范围内,则视为同一设备并关联在一起。
为了获得最佳效果,建议只开启值得调查的攻击检测。安全意识强的客户可以选择高级别。高级别不会启用HPE Aruba Networking系统能检测到的每一种事件。例如,默认未启用NetStumbler检测。NetStumbler检测意味着客户端设备运行着旧的扫描系统,并不一定意味着网络已被攻破。管理员可以选择自定义设置,单独启用或禁用每个攻击检测。
最后修改时间:2024年7月29日(6115eca)