目次
エアインターフェイス上のパケットをキャプチャして対策APデバイスがあるかどうかを判断する方法
違法機器の基本概念
違法機器の影響
1. 違法 AP は、正規 AP の無線信号の SSID とパスワードをシミュレートします (ユーザーがこの違法 AP に関連付けられ、ユーザー データが漏洩する可能性があります)
2. 環境内に他のプライベート AP があり、正規の AP のチャネルが干渉されます。
3. 違法な STA が環境内の合法的な AP に接続され、チャネル帯域幅を占有します。
違法なデバイスの分類
違法AP(3つのカテゴリに分類)
不正なAPに接続されているSTAは不正なSTAである。
1. 正規の AP の SSID と一致する(Rogue ssid-ap)
2. 正規の AP の SSID と一致しないが、信号強度がしきい値より大きい(不正 AP)
3. 正規の AP の SSID と一致せず、信号強度はしきい値を超えませんが、BSSID/SSID が静的攻撃リスト (Rogue Cofig-ap) の事前設定された BSSID/SSID と一致します。
違法なアドホック (不正なアドホック AP)
アドホック ネットワークはポイントツーポイントのワイヤレス ネットワークであり、通常は一時的なネットワークに使用されます。
ワイヤレス ネットワーク カードを備えたデバイスから発信されるワイヤレス信号 (ターミナル ホットスポットとして理解できます)
カウンター AP によって検出されたすべてのアドホック デバイスは、違法なアドホック デバイスとみなされます。
不正なデバイスの種類を特定する方法
不正なデバイスの検出が有効になっている AP は、リッスンする 802.11 MAC フレームに基づいて周囲の無線デバイスのタイプを判断できます。
802.11MAC の To/From DS フィールドを通じてデバイス タイプを決定します。
| DSへ |
DSから |
設備の種類 |
| 0 |
0 |
これに |
| 1 |
1 |
ワイヤレスブリッジ (WDS) |
| 1 |
0 |
STA |
| 0 |
1 |
AP |
不正デバイス判定処理
デバイスが不正 AP であるかどうかを検出するプロセス
Firendly フラグ: このフラグは、同じ AC に接続されている AP 間で同じです。
不正な AP デバイスを分類するプロセス
AP の役割に対抗する
1. ユーザー情報が漏洩しないようにする(不正AP対策)
2. プライベート AP による正規の AP 信号への干渉を軽減します。
AP の動作モードに対抗する
動作モードは検出と対策の 2 つの部分に分かれており、デバイスの対策を実現するにはこれらを同時にオンにする必要があります。
不正なデバイスのAP検出モード
一般に、ユーザー アクセス サービスを提供しない専用 AP を対策 AP として使用することをお勧めします。
普通
デフォルトの AP 動作モードでは、AP エア インターフェイス スキャン機能が有効になりません(AP デバイスはプローブ要求メッセージを送信できません)。
ハイブリッド
AP にはエア インターフェイス スキャン機能とユーザー アクセス機能がありますが、アクセス ユーザー信号に影響を与える可能性があります。
AP デバイスは Probe Rqueuest メッセージをアクティブに送信できます
モニター
AP は特にエア インターフェイス スキャンを有効にし、ユーザー アクセスを提供しません。
APの不正端末対策モード
AP検出で得られる情報をもとに不正な機器かどうかを判断し、対策を実施します。
対策モードは主に5つに分類される
| APカウンターモード |
偽造された違法なデバイスの種類 |
| SSID |
SSID が正規の AP と一致する不正 AP を攻撃します。 |
| 構成 |
静的攻撃リストに一致する不正 AP デバイスに対抗します |
| ローグ |
信号強度がしきい値を超える不正 AP デバイスに対抗します |
| このために |
違法なアドホックデバイスへの対抗 |
| 全て |
あらゆる不正端末への対策 |
対策装置の仕組み
対策機器は検知により不正機器を入手し、大きく2つの対策ステップを経て不正機器の対策を完了します
対策機器が不正機器の情報を取得する仕組み
対策APは主にアクティブ/パッシブスキャンフレームを通じて不正な機器情報を取得します。
不正 AP 情報
アクティブ:対策 AP は監視対象チャネルからプローブ要求を送信し、未知の AP は SSID、BSSID、信号強度などの情報を含むプローブ応答メッセージで応答します。
パッシブ:カウンタ AP は、検出されたチャネルから未知の AP デバイスからパッシブ スキャン情報ビーコン メッセージを受信します。これには SSID、BSSID、信号強度、その他の情報も含まれます。ビーコン メッセージにはフレンドリー フラグも含まれます。このビットにより、AP が不正な AP かどうかを判断します (一致していれば正当な AP、矛盾していれば再度判断する必要があります)
違法なアドホック情報
アクティブ:監視対象チャネルからプローブ要求を送信するように AP を対策します。不明なデバイスはプローブ応答メッセージで応答します。このメッセージの To/From DS フィールドを使用して、それがアドホック デバイスであるかどうかを判断します。これはアドホック デバイスであり、違法です。
パッシブ:対策 AP は、検出されたチャネル上の未知のデバイスからパッシブ スキャン情報を受信します (ビーコン メッセージによっても判断できます)。
不正 AP とアドホック デバイスの情報を確認することに加えて、未知の STA に関する情報も知る必要があります。
アクティブ:監視対象チャネルからプローブ要求を送信するように AP を対策し、それを受信した後、STA は自身の MAC アドレスを含むプローブ応答メッセージで応答します。
不正機器対策の原則
対策APは認証解除/関連付け解除フレームによる対策を実施
不正 AP 対策方法 1、不正 STA に認証解除/アソシエーション フレームを送信 (対策 AP が送信するメッセージの送信元は不正 AP BSSID、宛先はブロードキャスト)
不正な AP デバイスとしてブロードキャスト認証解除フレーム (Deauthentication) および関連付け解除フレーム (Disassociation) を送信する AP に対抗します。
不正な STA を受信すると、不正な AP との接続が切断されます。
不正 AP 対策方法 2、不正 AP に認証解除/アソシエーション フレームを送信します(対策 AP が送信するメッセージの送信元は STA MAC、宛先は不正 AP BSSID)
反撃 AP は、不正な STA の ID を使用して、STA に接続されている不正な AP にユニキャスト認証解除および関連付け解除フレームを送信します。
メッセージを受信した後、不正な AP は不正な STA との接続を切断します。
つまり、AP に対抗するには、ユニキャスト フレームとブロードキャスト フレームの 2 つの方法があるのです。
一部の端末はブロードキャスト フレームを受け入れないため、不正な AP と STA の間の接続をブロックするために、STA の MAC を取得してユニキャスト フレームを送信する必要があります。
アドホックデバイス対策(送信元がアドホックデバイスのMAC、宛先がアドホックBSSID)
ユニキャスト認証解除および関連付け解除フレームをアドホック デバイスとして STA に送信します。
アドホック デバイスに接続されている STA はメッセージを受信すると、不正な AP から切断されます。
エアインターフェイス上のパケットをキャプチャして対策APデバイスがあるかどうかを判断する方法
1. 認証解除/関連付けメッセージの信号強度とビーコン フレームの信号強度の間には大きな違いがあります。
対策デバイスとAPデバイスは異なる場所にあるため、2つのデバイスが送信するパケットの信号強度は異なります。
2. 認証解除/関連付けメッセージの宛先アドレスがブロードキャストの場合、通常は対策デバイスが存在します。
3. AC では低レートが無効になっていますが、認証解除パケットは確かに低レートで送信されるため、このパケットは対策デバイスによって送信されます。
4. 対策装置が送信する認証解除Dauthメッセージのシーケンスパケットは変化しない(シーケンス番号を変えて送信する対策装置も存在する。この方法では対策装置の有無を正確に判定することはできない)
AP上のログから対策機器の有無を判断する方法
APログに端末から送信された認証解除/アソシエーションメッセージが大量に存在する場合は、対策機器があることを示します。
Ruijie の対策 AP 手順の設定
対策 AP 構成の考慮事項
- AP はモニター モードを使用することをお勧めします
- 反撃時間を最小限に調整する
- 対策 AP は不正 AP と同じチャネルを設定します
- 不正な AP の BSSID を静的攻撃リスト (ブラックリスト) に追加します。
対策を構成する手順
1. AP の検出モードを変更し、スキャンして検出する必要があるチャネルを指定します。
2. APの対策モードを設定する
3. 不明な STA スキャンを有効にする
AP 検出モードを有効にする
AP構成123
デバイス モード モニター AP の動作モードはモニターです。
スキャンチャネル 802.11b チャネル 1 6 11 スキャンするチャネルを設定します (デフォルトのスキャンされるチャネルは、対策 AP によって使用されるチャネルです)
スキャンチャネル 802.11a チャネル 149 165
APの対策機能を有効にする
ウィズ
対策有効 対策機能を有効にする
対策チャネルマッチ チャネル対策に基づいて対策APを設定
対策モード ssid AP と同じ SIID を送信する未知の AP に対策します
対策 ap-max 10 対策の最大数を設定します
対策 rssi-min 20 信号強度のしきい値を設定する
対策間隔 100 は対策間隔を設定します (デフォルトは 1 秒)
不明な STA スキャンを有効にする
ウィズ
Deviceunknown-stadynamic-enable は、ユニキャスト対策を有効にし、不明なデバイス情報を動的に検出するためにプローブリクエストを送信します。
Deviceunknown-sta mac-address 0000.0001.0001 不正な STA MAC 情報の静的設定
WIDS によって許可されるデバイスのリスト (ホワイトリスト) を構成する
ウィズ
デバイス許可 mac-address 0000.0001.0001 許可された MAC アドレス リスト
デバイス許可 SSID 管理者許可 SSID アドレス リスト
デバイス許可ベンダー bssid 0000.0001.0002 許可されたベンダー リスト
静的攻撃リスト(ブラックリスト)の設定
ウィズ
デバイス攻撃 MAC アドレス 0000.0002.0001 静的攻撃 MAC リストの設定
デバイス black-ssid admin1 静的攻撃 SSID リストを設定する
AP閲覧コマンドの対策
wids known-sta 不明な STA デバイス ビューを表示
検出されたすべての Wid を表示 検出されたすべての AP を表示
検出された友好的な AP を表示する 正規の AP を表示する
干渉する AP が検出された Wid を表示する 未分類の違法な AP を表示する
不正な adhoc-ap/ap/config-ap/ssid-ap が検出された Wid を表示 不正なアドホック/信号強度 AP/静的攻撃 AP/SSID 一貫性のある AP デバイスを表示