信锐技术无线射频防护配置指导.pdfVIP

3.3.6版本无线射频防护配置指导手册 2017年4月2号 目录 目录2 一、功能概述 1 - 1、应用场景 1 - 2、工作原理 1 - 3、工作模式 1 - 4、名词解释 2 - （1）钓鱼AP - 2 - （2）AD-HOC 2 - （3）干扰邻居AP - 3 - （4）BSSID冲突 4 - 二、基本配置 4 - 三、反制效果 7 - 四、注意事项 8 - 一、功能概述 1、应用场景 随着公共网络建设的迅速发展，现在越来越多的商场、咖啡厅、图书馆等公共区域提供的免费Wi-Fi 网络。钓鱼Wi-Fi确实离我们很近，黑客比我们想象的要可怕得多，而且所有的上网行为几乎都会牵扯到 或多或少的账号信息。商超作为一个公共场所，非法 AP 较为集中，尤其是现在越来越多的人在商超结账 使用在线支付，当接入非法 AP 使用银行等在线支付时，黑客通过技术手段盗取客户的账号与密码，给客 户带来风险，也给商超带来不良影响。 采用信锐网科非法接入点检测及反制技术，反制非法 AP，保障客户的账号和财产安全，提高商超的安 全性和可靠性；让客户连网不再顾忌，体验更上一层楼。 2、工作原理 1) AP收集环境中的VAP，上传给无线控制器。 2) 无线控制器对信息进行匹配和监测，然后生成策略规则发送给AP。 3) AP收到策略规则后执行反制任务。 反制时，AP伪装成要反制的对象分别向STA和AP发送单播解关联帧，并实行周期性反制，反制结束后， 会清理掉STA与非法AP 已经建立的关联关系，实现钓鱼反制的效果。 3、工作模式 无线安全检测功能可以实时检测无线钓鱼、 非法 AD-Hoc、 BSSID 冲突检测、 DDOS 攻击和洪泛攻击 - 1 - 等基于 WLAN 的无线攻击行为避免无线信息泄露，化解无线风险， 为用户的无线网络安全保驾护航。 在 WAC 上激活的 AP 的三种工作模式：  normal 模式仅转发业务数据，并对工作信道做主动扫描；  Hybrid 模式转发业务数据的同时，定期执行跨信道扫描和执行反制任务；  monitor模式完全不转发业务数据，一直跨信道扫描， 并执行反制任务； 在执行反制过程中，如果 AP 处在 hybrid 和 monitor模式是都能进行反制，但是 hybrid 工作模式 定期执行反制，同时兼职进行业务数据转发，因而反制和数据转发功能都会相应减弱，默认只反制1、6、 11的hybrid模式，若自定义信道为3、8、13，则会在3、8、13信道发送反制广播包；而 monitor 工作 模式可以专门进行扫描和执行反制任务。 如果有反制需求，建议设置专门处于 monitor模式的 AP，提升 反制效果。 （注：对于支持802.11ac协议的AP，由于ac协议射频口的特性导致5.8G频段只能反制本信道） 4、名词解释  WIDS：无线入侵检测  AP：无线接入点  VAP：虚拟无线接入点 （VirtualAP）  AC：无线控制器  STA：无线接入终端  BSSID：无线接入点的MAC （AP 的机身MAC，一般在AP设备上都有标注）  SSID：服务集标识，就是无线网络名称，用来区分不同的网络，最多可以有 32 个字符 （1）钓鱼AP 所谓的钓鱼 WI-FI 就是黑客或不良分子在公共场所搭建 “免费”WI-FI，内部建立无线Wi-Fi信号名 称 （SSID）相同或相似的开放式认证的Wi-Fi网络诱使消费者连接，诱使无线客户端访问虚假的无线接入 点，从而达到截获其账号、 密码等信息的目的。 防钓鱼AP功能，即常规部署的无线网络能够嗅探发现无 线网络环境下的钓鱼AP无线信号，并能够对其进行反制，使用户无法连接非法仿造信号，确保用户信息安 全。 （2）AD-HOC 是无线网络的一种工作模式，是P2P连接，Ad-hoc 终端可以不需要任何设备支持而直接进行通讯。这 样很容易导致公司内部资料泄漏，AD-Hoc检测功能