下载中心  |  网站地图  |  站内搜索  |  加入收藏
最新更新
业界动态
产品信息
安恒动态
技术文章


安恒公司 / 技术文章 / 无线网络维护与测试 / 使用ES2-WLAN定位恶意无线接入点AP
使用ES2-WLAN定位恶意无线接入点AP
2007-09-04    安恒公司 技术部       阅读:

本文关键字: 网络, 路由器, 无线接入, 天线, 网卡, LAN, 测试, IEEE, 网络安全, 电信, 运营商, 光纤, WLAN

未经授权的恶意接入点会将公司的网络暴露给外界,从而危及无线网络的安全。为消除这种安全隐患,网络管理人员必须先在网络中检测到恶意 AP 的存在,然后确定其位置。收敛法和向量法是查找恶意 AP 物理地址的两个最常用方法。这两种方法各有所长,需要使用的工具也不尽相同。深入了解这两种方法有助于网络管理人员确保无线网络的安全性。

“恶意”接入点可能会危及无线网络的安全。如果接入点 (AP) 是在公司网络管理人员不知情或未获许可的情况下安装,则被视为恶意接入点。这种情况有可能只是某位员工将家中的无线路由器带到了办公室,为某个会议提供临时的无线接入。但如果是公司外部的人安装的 AP,而目的是免费访问因特网或攻击网络以查看内部信息,问题就严重了。上述两种情况下,无论是有意还是无意,未经授权的 AP 均未应用合适的安全设置。这样的 AP 会将公司网络暴露给外界。

有不少方法可以帮助网络管理人员检测网络中是否存在恶意 AP。不过,发现恶意设备只完成了任务的一半。网络管理人员还必须确定该 AP 的物理位置。找到其位置后,管理人员才能将其从网络中删除,或使用适当的安全机制对其进行重新配置。

查找恶意接入点物理位置的两个最常用的搜索方法是“收敛”法和“向量”法。具体选用哪种方法取决于您可以使用的工具。

收敛法

如果使用的工具包由带全向天线的网卡和信号强度仪组成,则适合采用收敛法。全向天线在各个方向上的发射和接收效果都相当好。因为它不需要使用任何特定的方向,又被称为“无指向性”天线。图 1 所示为全向天线的模式。

 


笔记本电脑的标准无线 LAN 网卡使用的就是全向天线。在此类应用中,无论 PC 朝向如何,全向天线的信号强度都保持不变,因而使用特别方便。收敛法还需要使用信号强度仪。强度仪用于测量来自恶意 AP 的 RF 信号。信号越强,与 AP 的距离就越近。强度仪
有多种类型。最常见的类型是软件实用程序,通常随安装在笔记本电脑中的网卡一起提供。不同制造厂商的此类简单实用程序各有不同,但一般都以图表形式显示信号强度。此类实用程序的问题在于,依靠其简单的图表很难发现信号强度的细微差别。

您也可为笔记本电脑选用第三方软件,这些软件通常具有更强的信号强度测量功能。第三方应用程序可提供更为具体的度量,图表也更大、更便于使用。如果不使用笔记本电脑,也可选择手持式 RF 信号强度仪。此类设备专为查找恶意设备而设计,能以用户友好的方式显示信号强度信息,从而加快定位速度(如图 4 所示)。

进行收敛式恶意 AP 搜索,需使用带全向天线的网卡和信号强度仪。将网卡与目标 AP 相关联。在现场走动,同时利用强度仪监控信号强度,粗略估计从哪里开始查找恶意 AP。将搜索区域想象成一个大矩形,然后将其分为四个象限。如图 5 所示。走到搜索区域的一角。记录信号强度。走到第二个角。记录信号强度。走到第三个角并记录信号强度。然后走到最后一个角并记录信号强度。比较信号强度记录,确定目标 AP 所在的位置,即测得最强信号的区域。本例中为右下象限。现在将此象限作为新的搜索区域,并将其划分为四个小象限。在这个较小的搜索区域中再次执行信号强度测量步骤,逐次走过各个角落并记录信号强度。在本例中,右上角子象限中的信号最强。重复上面的过程,将搜索区域划分为更小的象限。在本例中,三次划分、十二次测量就足以找到目标 AP。如果初始搜索区域更大的话,也可进一步划分和测量。

 


向量法

另一种查找恶意接入点物理位置的搜索方法是“向量”法。如果使用的工具包由附带单向天线的网卡和信号强度仪组成,则适合使用向量法。单向天线会强化来自某一方向的信号,同时抑制来自其他方向的信号。

 


单向天线有多种类型。对恶意 AP 检测而言,使用外部天线的网卡更容易发现目标。我们需要使用针对此类天线设计的网卡。

这类卡一般都有一个与天线插头相配的插座。与外部单向天线相连后,内部全向天线就会被禁用。

与收敛法相同,向量法也需要使用信号强度仪。首选强度仪是专用的便携式设备。两种搜索方式的不同之处在于搜索算法。

进行向量式恶意 AP 搜索,需使用单向天线、兼容网卡和功率表。将您的网卡与目标 AP 相关联。在现场走动,同时监控功率表显示的信号强度,粗略估计一下从哪里开始查找恶意设备。同收敛法一样,将搜索区域想象成一个大矩形,然后将其分为四个部分。如图 8 所示。先走到搜索区域的中心,将天线朝向搜索区域的某个角。记录信号强度。在同一位置旋转 90°,将天线指向第二个角。记录信号强度。将天线指向第三个角并记录信号强度。然后将天线指向最后一个角并记录信号强度。比较信号强度记录,确定目标 AP 所在的位置,即测得最强信号的区域。本例中为右下区域。现在将此区域作为新的搜索区域,进一步划分成四个小区域。在每个小区域中再次执行信号强度测量,仍然是在中心位置分别将天线指向每个方向并记录信号强度。在本例中,右上角子区域中的信号最强。重复上面的过程,将搜索区域划分为更小的区域。

在本例中,三次划分共十二次测量就足以找到目标 AP。如果初始搜索区域更大的话,可能需要进一步划分和测量。

在本例中,收敛法和向量法在区域划分和测量次数上是相同的。但收敛法需要测量者四处走动,行走的距离明显较长。这就会延缓恶意设备的检测过程。还有一个细微差别,体现在多层环境下的接入点搜索。例如,您怀疑在四层办公楼的第二层存在恶意 AP。通过收敛法,您发现了信号最强的位置,但却找不到 AP。实际上,问题不在于测量方法,而是接入点可能位于其他楼层。如果使用向量法,您可将天线旋转 ± 180°,通过垂直方向的搜索,进一步发现恶意 AP 所处的楼层。

http://anheng.com.cn/news/html/wlan_test/1161.html 


实际操作说明

实际使用中,您可能需要调整搜索模式以适应非直角空间和存在墙壁、隔间及其他障碍物的情况。测量时,请尽量使天线保持在同一高度。使天线高度超出隔间墙壁,从而使测量结果更加稳定。在搜索接入点时,应注意在三维方向上思考。

如果只有全向天线,那么在多个楼层中对信号强度采样将有助于推断恶意 AP 所在的楼层。采用向量法测量时,在旋转天线时应尽量使邻近物体保持静止(测试仪、手臂、身体)。一般来说,最简单的方法是将定向天线安装在信号强度仪(PC或手持设备)上,然后旋转整个测量平台,而不是只旋转天线。利用已知的接入点来练习定位技巧,通过调整与 AP 的距离、天线高度和天线方向(针对单向天线)来熟悉测试工具的敏感度。请注意,金属结构(金属墙筋墙、金属框隔间、垂直百叶窗)会影响定向测量结果的准确性,特别在信号强度较弱的情况下,影响更是明显。熟悉所处环境的特殊点有助于在需要时更快地查找 AP。

保持警惕

为确保网络的安全性,员工应接受安全培训,了解安装非授权 AP 的风险。适时更新公司规定。使用严密的网络接入机制,如IEEE 802.1X。对可能存在恶意设备和无保护无线设备的区域,定期进行安全审核,以发现安全威胁。发现恶意 AP 后,应尽快将其找到,以便从网络中消除此安全隐患。遵循无线网络安全最佳实践,将网络安全风险降至最低。

http://anheng.com.cn/news/html/wlan_test/1161.html 

责任编辑: admin

相关文章
LinkRunner PRO定位端口位置解决标签错误问题 -阅: 183970
网络诊断日记(十五):使用MicroScanner 2定位电缆故障的物理位置 -阅: 155108
网络诊断日记(十):使用智能数字查线仪(IntelliTone)定位线缆 -阅: 159517
网络故障分析案例:快速定位异常流量原因 -阅: 203015
利用硬盘标识来快速定位阵列中损坏的硬盘 -阅: 221220
技术应用案例:深入了解网络线缆定位所面临的挑战及其解决方案 -阅: 206409
模拟音频 PK 数字音频, 布线测试音频定位技术比较 -阅: 253620
HDTDR高精度时域反射计,布线测试技术性能故障定位原理 -阅: 271098
F2042跟踪和定位电缆查找线缆故障的基本原理和方法 -阅: 191872
频谱分析-无线网干扰源定位和识别方法 -阅: 264286
已有干扰蓝牙Wi-Fi的产品在售,查找定位需要使用无线网频谱仪 -阅: 271060
融合数字音频和TDR技术加快LAN环境中的电缆定位和故障诊断 -阅: 236751
Wi-Fi防火墙5个重要特征:规划、检测、分类、保护、定位 -阅: 206898
CableIQ电缆鉴定测试仪的定位与应用 -阅: 246383
IntelliTone网络数字音频和探头技术帮助您即时查看网络中的移动、增加及改变, 链路定位与标识 -阅: 241351
TDR 测试——如何帮助您识别并定位外部设备电缆故障 -阅: 186386
业界人士是如何定位电缆故障的。阅读一下来自于我们读者的经历 -阅: 159918
“频域”和“时域”结合的990DSL环路测试仪可以更好地识别和定位室外通讯电缆 -阅: 184759
网络测试应用技术:定位网络线缆——布线管理与维护 -阅: 210230
相关产品
布线故障演示箱-分析线缆链路故障、演示故障成因、定位故障 -阅: 1069638
2.4GHz无线网移动型平板天线, 用于现场勘测、路测、定位、定向测试 -阅: 852134
无线网测试专用定向天线 Wi-Fi勘测定位工具 -阅: 900179
福禄克Fluke 2042电缆探测仪音频探测故障定位 -阅: 725290
VisiFault光缆可视故障定位仪,Visual Fault Locator -阅: 1249262
掌上型OTDR - FRFL光缆/光纤故障定位仪 -阅: 1324660

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   dsl.anheng.com.cn   All Rights Reserved    
北京市海淀区首体南路9号 主语国际商务中心4号楼8层 (邮编100048) 电话:010-88018877