WIPS

文/廖亮

——网络老爬虫（无线新技术专题）  

1      WIPS产生的背景

由于无线局域网（WLAN）的飞速发展，它逐渐在商业、生活等领域得到了更为广泛的应用。正是因为WLAN网络使用的便利性，也同时导致了它的不安全性和易攻击性。它相对于有线网络，更容易受到各种干扰源、恶意入侵者、非法客户端以及周边无线设施的威胁和影响。过去简单的WIDS（Wireless Intrusion Detection System无线入侵检测系统）已经无法满足部分用户对于无线网络安全的需求，急需一种能够有效预测攻击者的入侵意图并提供主动的入侵防御的系统来对WLAN网络的安全提供保障。WIPS(Wireless Intrusion Prevention System无线入侵防御系统)在此种背景下应运而生。它在WIDS的基础上将无线环境中的设备进行更全面的分类，同时通过监控无线网络的各种攻击后上报检测系统，并根据用户需要对攻击采取相应的防御措施，进一步保证无线网络环境的安全。

总的来说，WIPS应该具备以下三个主要功能:

•  能够检测无线网络中的典型攻击行为并自动进行分类；
  
•  能够预测攻击者的下一步攻击行为并识别最终意图；
  
•  能够主动响应检测或预测的攻击行为并提供积极的防御。

2      WIPS的实现和应用

2.1    基本概念

1)        VSD

WLAN网络在组网中可以根据职能不同在逻辑上划分成多个区域，每个区域对接入服务的安全性、安全级别、无线设备的无线行为要求不同，我们称这些不同的区域为虚拟安全域（Virtual Security Domain），即VSD。WIPS可以对无线接入网络的各个虚拟安全域采用不同的安全检测及防护策略。

2)        Sensor

当与AC关联的AP具备WIPS功能后，我们将它称为Sensor，意为传感器、感应器。WIPS通过Sensor监听无线信道来识别无线网络中的各种无线设备和无线客户端、以及无线报文，并通过Sensor对非法无线设备实施反制。一个Sensor只能工作在一个VSD下，即它只能根据一个虚拟安全域的无线监控和防护策略对无线接入网络进行检测。

3)        信任设备列表

信任设备列表中保存了允许接入无线网络的AP或无线客户端的MAC地址。用户通过静态添加和动态学习两种方式来添加信任设备的MAC地址到信任设备列表中。其中，动态学习方式是针对无线客户端的。当WIPS检测到一个无线客户端从授权AP上线后，就认为该无线客户端是受信任的，并将其添加到信任设备列表中。

4)        静态信任OUI列表

静态信任OUI列表记录了可信任设备OUI或设备厂商Vendor信息，它可以作为信任设备列表的补充。用户通过设置或导入信任OUI列表，可以决定具备哪些OUI或Vendor信息的设备被允许在无线网络中使用。

5)        禁用设备列表

禁用设备列表中保存了禁止在无线网络中使用的AP或无线客户端的MAC地址。对于禁用的无线客户端，WIPS可以通过配置阻止其接入无线服务。

6)        忽略告警地址列表

忽略告警地址列表中记录了无线网络检测中可以忽略的MAC地址表项，当AP检测到这种类型的MAC地址时，不会产生与该设备相关的任何WIPS告警信息。

2.2      WIPS工作原理

目前H3C WIPS功能应用在AC+FIT AP的组网上。WIPS功能是通过AP侦听空口的无线报文，对报文分析后上报AC来实现的。另外根据客户的配置也可以将检测的日志信息上送到iMC等智能设备管理平台达到统一监控管理的目的。

WIPS是AC、AP协同工作的一个功能。AP通过射频驱动来收集无线环境中的报文进行分析，AP再通过隧道报文与AC进行数据流和控制流的交互，上报检测结果信息，AC亦通过隧道报文通知AP WIPS的配置情况。

AC、AP之间通过CAPWAP报文来交互WIPS配置和检测到的无线环境信息。当AP通过CAPWAP协议上线后，AC通过Configuration Update Request报文向AP下发WIPS的配置，如分类规则、检测策略、反制策略等。AP通过WTP Event Request报文上报无线设备检测、攻击检测以及反制情况的信息。

                                                                                             图1

AC、AP报文交互情况

2.3    WIPS使用方式以及应用场景

WIPS功能是通过在AC上启动WIPS开关，使用关联在AC上的AP实时监控无线报文类型和数量来实现的。开启了WIPS功能的AP根据用户需求可以同时监控2.4G和5G两个频段的802.11报文情况，它不仅能对合法的无线接入点和无线终端进行监督，同时还能随时扫描检测无线环境中其他非法报文和非法服务，并对非法设备进行入侵防御，从而保证用户无线网络的安全。

                                                                                                 图2 WIPS的应用组网

如图2所示，AC下关联了三个AP，分别为AP、Sensor1、Sensor2。AP提供接入服务，Station1和Station2通过AP接入无线网络；VSD1中部署Sensor1，VSD2中部署Sensor2，分别对各自的VSD做设备检测。

Sensor1在VSD1中可以检测到一个Ad-hoc网络、Station1、AP设备；Sensor2在VSD2中可以检测到AP设备、Station2、一个外部AP和一个Station3、以及一个游离Station。

以上的设备检测和分类是Sensor在启动时就自动提供的服务，同时，VSD下还可以配置攻击检测策略和反制策略，针对不同的攻击报文进行攻击检测，或根据分类规则对某种类型的设备执行反制。

2.4    WIPS支持的功能

WIPS的功能是通过AP与AC共同合作来实现的。AP作为侦听感知端，随时监控无线环境中的802.11帧信息，并实时分析，将环境中有更新的设备信息上报给AC。AC则根据用户意图来对检测到的设备进行分类、告警、或者采取相应的反制措施，以此来实现对整个无线网络环境的检测和控制。

目前H3C设备的WIPS支持以下功能：

•  设备分类：通过侦听无线信道的802.11报文来识别无线设备，判断在当前无线环境中有哪些MAC地址的AP或Client设备，并对其进行分类。
  
•  攻击检测：分为攻击检测和畸形报文检测两种。
  

a)       攻击检测：Sensor通过判断在短时间内收集到的大量泛洪报文来判断是否有无线攻击现象，并上报到管理系统；

b)      畸形报文检测：sensor根据各种畸形报文的定义来分析检测到的802.11报文，若与畸形报文定义相符，则上报到管理系统。

•  ADOS防攻击：ADOS（Anti Deny of Service，防DOS攻击）功能是指WIPS系统自身的防攻击能力。开启该功能后，将检测针对WIPS系统的攻击行为，并通过报文限速和报文过滤等方式来降低这类攻击对系统的影响。
  
•  反制：反制可以限制非受控设备的无线接入服务。它通过对发送报文对非受控接入点和非受控接入终端进行干预，使非受控设备无法正常工作，从而保护授权用户网络的安全。
  

3      WIPS功能详细介绍

3.1      设备分类

当一个Sensor接入网络后，它就对其所在无线环境中的各种无线设备、无线报文进行监控。Sensor可以根据用户的意图仅提供WIPS功能（也叫带外模式）或同时提供WIPS和接入功能（亦称为带内模式）。显而易见的，工作在带外模式的Sensor因为所有的时间都在无线局域网的各信道进行扫描和探测，所以它能够提供更好的无线监控服务；而带内模式的Sensor由于要均分接入和探测的时间，所提供的WIPS服务相对弱一些。因此，用户如何使用设备的WIPS功能要综合考虑成本、布局、服务质量等多方面因素。

WIPS功能一旦开启，AP默认开启了无线设备检测功能。AP通过侦听网络环境中的无线报文，详细的统计出检测到的无线管理帧、控制帧、数据帧的数量，通过CAPWAP协议报文传达给AC，AC按照默认的规则对检测到的统计信息进行分类。

3.1.1  设备分类的几个判断条件

信任设备列表：用户可配置，俗称白名单，用于设备分类判断。

禁用设备列表：用户可配置，俗称黑名单，用于设备分类判断。

静态信任OUI列表：可配置或导入OUI列表，用于设备分类判断。

无线服务配置是否正确：与AC上配置的服务模板对比，包括是否加密、加密套件、加密方式和认证方式等。

有线MAC列表：基于MAC判断是否有线接入网络。

是否匹配自定义AP分类规则：用户可以配置自己想要达到的分类方式，如通过认证方式、安全接入方式、在线客户端数量、在网运行时间、OUI值、RSSI范围、SSID内容等方式定义分类类型。

3.1.2  设备分类流程

基于以上的设备分类条件，当Sensor侦听到一个Beacon帧时，会对其携带的MAC地址进行分析，从而完成对检测到AP的分类。分析流程图如下：

                                                                                                     图3 AP分类规则

同样，基于侦听的Probe Request报文中携带的MAC地址可以对无线环境中的Client进行分类。Client的分类流程相对简单，具体如下：

                                                                                                   图4 Client分类规则

AC设备通过探测无线环境中的Beacon和Probe Request报文来识别无线AP和无线客户端，并对检测到的无线AP和无线客户端按照图3和图4的流程图进行分类。通过与AC上WIPS分类规则配置对比来确定走流程图中的是或否分支。

此外，检测到的无线AP除了按照以上流程中的自动方式分类，H3C设备还支持对检测到的AP实行自定义分类和手工分类。

自定义分类：图3中红色框标注的部分为自定义分类在分类规则中的位置。自定义分类的用户可以自主的根据SSID、接入认证方式、安全方式、在线用户数等多种方式将设备分类成授权AP、外部AP、配置错误的AP、Rogue AP四种类型。

手工分类：直接针对某个MAC地址将设备分类成某种AP。

AP分类的优先级为：手工分类>自定义分类>自动分类。

3.2      攻击检测

WIPS通过分析侦听到的802.11无线报文，来检测针对WLAN网络的无意或者恶意的攻击，并以告警的方式通知网络管理员。

H3C设备支持的攻击检测方式很多，而且在不断完善。WIPS检测的每种攻击方式都有自己的定义，它通过分析单位时间内侦听到的802.11无线报文类型、内容、数量等信息来判断是否与用户想要检测的攻击方式一致。

下面简要列举几种攻击检测的方式：

Spoofing攻击：俗称为仿冒攻击。它是指潜在的攻击者会仿冒其他设备来威胁无线网络的安全。例如：无线网络中的客户端已经和AP关联，并处于正常工作状态，此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线，从而达到破坏无线网络正常工作的目的；又或者攻击者仿冒成合法的AP来诱使合法的客户端关联，攻击者仿冒成合法的客户端与AP关联等，从而可能导致用户账户信息的泄露。Spoofing攻击检测通过对比无线报文中的时间戳信息以及设备上是否已存在对应表项等方面来判断是否存在仿冒AP或仿冒客户端攻击。

Ad hoc网络：Ad hoc网络是一类特殊的网络，它是由若干无线客户端组成，不需要使用AP即可直接进行通信的无线网络。Ad hoc网络的结构特点导致该类型网络的安全性是不可预计的，所以Ad hoc网络更容易遭受各种无线入侵威胁并导致无线客户端感染病毒等问题。例如，如果组成Ad hoc网络的无线客户端不使用加密，则它们之间通信都将暴露给监听者，从而导致用户私密信息的泄露。WIPS通过检测Beacon帧中From DS、to DS都设置为1的网络为Ad hoc网络。

弱IV检测：WLAN在使用WEP链路加密的时候，会使用一个3字节的伪随机序列IV（Initialization Vector，初始向量）连同享密钥一起用于加密报文、序列。且用于加密报文的IV是保持明文发送的，而在验证发送的某些类型IV的时候，可能对于潜在的攻击者会暴露共享的密钥，这些IV被称为弱IV。弱IV的定义是：报文中IV值符合：XX:FF:**，其中XX < 0x10, **表示可取0x00~0xFF的任意值，比如03:FF:01。当检测到的WEP加密报文中的IV符合以上定义则定义为弱IV。

Flood攻击: 即为泛洪攻击检测。泛洪攻击就是指无线设备在短时间内收到大量同种类型的报文，此时无线设备因被泛洪的攻击报文淹没而无法处理合法无线客户端的报文的现象。当检测到规定时间内同种报文数量达到阈值即判断为Flood攻击。Flood攻击的目标通常是AP，使其无法正常处理合法客户端的请求。Flood攻击支持检测Beacon、Probe 、Authentication、Association、EAPoL等多种类型的报文。

Signature Flood攻击检测：为什么叫Signature？因为攻击检测的类型可以按照用户的意图自由定义，精确到各个字节的数值，当设备在检测周期内扫描到的同种类型报文与用户定义一致时，即刻提出报警。

畸形报文检测：畸形报文是指一种有缺陷的报文，它的某些字节、字段长度或IE（Information Element，信息元素）等字段与正常报文有偏差。当攻击者发送这种报文时，会使得客户端在处理这样的报文时出现崩溃。检测这种报文类型的方式就叫畸形报文检测，WIPS设备将分析检测的结果进行归类处理，以发送告警、写日志事件等，同时也为后续模块处理或者人工干预做好准备。目前畸形报文检测能检测IE长度非法、重复IE、多余IE、报文长度非法、Duration超大等约16种畸形报文。

当然，随着WIPS功能的不断完善，对于新定义的攻击类型也在逐步实现，如Omerta检测、节点攻击检测、软AP检测、Windows网桥检测、热点攻击检测、AP扮演者攻击检测、绿野模式检测等。

3.3      防攻击

ADoS功能都是在Sensor上实现的。它主要是Sensor的一种自我保护，包括速率监控、DoS攻击检测、规则过滤、报文限速。除了速率监控中速率异常会产生告警上报AC外，其它几个功能，可以说对用户而言，基本都是无感知的。

当ADoS功能开启时，Sensor的射频驱动收集了无线环境中的报文后，首先会经过ADoS的防攻击处理，对数量过多，速度太快的报文进行限速，将限速后的报文上送到WIPS模块进行处理，也可以降低对CPU的冲击。

•  速率监控：Sensor对驱动检测到的各类空口报文进行检测、分析和统计，并根据各类报文的默认速率分析报文速率是否异常，当检测到速率异常时，会给AC发一条速率异常告警信息。一旦AC上使能ADOS后，Sensor上会自动开启速率监控功能。
  
•  DOS攻击检测：AC上使能ADOS后，Sensor的攻击检测功能即自动开启了。而是否需要上报AC并输出告警是由AC上的攻击检测策略来控制的。
  
•  规则过滤：AC使能ADOS后，Sensor也会对报文进行分析并进行DoS攻击检测。检测到攻击后，会继续分析源MAC变化规律，如果源MAC的后2个Byte变化次数大于动态过滤规则的生成门限，则以该帧类型、目的MAC和源MAC前4Byte为索引生成动态过滤规则，对于符合此规则的报文进行过滤。
  
•  报文限速：也是对WIPS系统本身的保护，ADOS对WIPS报文队列进行监控，当WIPS报文队列达到一定负荷时会自动开启限速功能，以令牌桶机制对各类报文进行限速，以降低报文进入WIPS队列的速率，防止WIPS队列长时间负荷较重；当WIPS队列报文低于某种占用率时，则自动关闭限速功能。
  

3.4      设备反制

前面介绍了WIPS的设备分类，分类最主要的作用就是方便管理员对各种类型无线设备的管理。针对一些非法设备，他们可能存在安全漏洞或被攻击者操作，会对用户网络的安全造成严重的威胁或危害。基于以上考虑，WIPS仅仅提供检测和告警的功能是远远不够的，还需要对这些非法设备进行控制。目前采用的控制方式称为反制。何为反制呢？反制就是指WIPS系统为了阻止指定的非法AP或无线客户端与网络中的合法设备进行通信所采取的限制措施。

目前实现的反制方式主要分成两种形式：

•  通过配置黑名单的方式控制授权AP阻止非法客户端的接入；
  
•  使用Sensor发送802.11协议的解除认证帧来阻断静态或动态反制列表中无线终端的连接。
  

目前，H3C WIPS的反制功能，可以基于对无线设备的动态分类来进行反制，支持对External-AP、Misconfigured-AP等七种AP分类以及Misassociation-Client等三种Client分类进行反制。它有如下几个特点：

•  能够择优选择最佳反制Sensor执行反制工作；
  
•  根据设备分类的情况动态反制，若设备类型发生变化，则对反制对象动态调整反制策略；
  
•  能够根据反制设备的活跃状态来动态实施反制；
  
•  能够根据反制效果动态调整反制频率、强度；
  
•  同一个AC管理的多台Sensor可以采用多种反制策略，互不干扰；
  
•  AC会保留一个反制知识库，记载对各种MAC类型报文的反制方法，并定期更新。
  

WIPS是个很强大的无线入侵检测和防御系统，涉及的不同报文类型的检测和对攻击的防御方式复杂多样。