Cracking Recon DoS Rogue AP/Clients Ad Hoc Connections
威胁管理过程
Over-the-Air Attacks
侦测
分类
告警 Log
消除
报告 归档
思科无线网络对于蜜罐攻击三大安全防范措施
1
DENIAL OF SERVICE
2
HACKER’S AP
3
攻击工具
•
—— Top无线攻击
在有线网络攻击
Ad-hoc 无线网桥
HACKER
无线空口攻击
蜜罐攻击
HACKER’S AP
扫描
HACKER
Client-to-client backdoor access
Connection to malicious AP
Seeking network vulnerabilities
Channel 60
2nd
Floor
Channel 48 Ch 64
Channel 56 Channel 36
Channel 40
1st Floor
Channel 44
Channel 52
Ch 60
网络中是否存在干扰源？在哪里？影响范围多大？
如何找到干扰并控制干扰？
方法1:频谱分析仪 使用频谱分析仪分析空口频谱。由于wlan因为我们通常不知道象蓝牙、微波炉的实际的 频谱图形，因此使用频谱分析仪来找干扰通常需要有专业的频谱分析技能。使用频谱分 析仪需要到现场，因为体积和电源的原因十分不方便。 方法2:无线频谱分析卡 通过在笔记本的PC卡里无线频谱分析卡携带方便，通过频谱分析软件里内置各种无线干 扰的特征，可以直观地识别出各种各样的干扰，比如蓝牙、摄像头。频谱分析卡需要使 用者到现场，频谱分析仪无法定位干扰。
3.网站分类与上网 行为管控
4.智能化入侵防御 策略
5. APT防御与恶意 文件轨迹跟踪
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
23
3.高密度接入
思科基于硬件芯片的资源调度实现AP的高密度接入能力
性能加速
改善空口利用率和信道容量
思科射频资源管理Radio Resource Management
• 手动射频 管理 动态智能的射 频 管理简化 IT 运维
简化射频管理
之前
现在
动态射频管理
信道 发射功率 信号覆盖
LWAPP LWAPP LWAPP
手动 信道分配 手动 发射功率调整 手动 覆盖漏洞侦测和消除
动态智能 信道分配 动态智能Dynamic 发射功率调整 动态智能Dynamic 覆盖漏洞侦测和消除
应用流量
区域分类
知彼—对威胁运筹帷幄 决胜千里之外
攻击源头
攻击目标 攻击时间
地图定位
攻击轨迹
攻击详细
思科ASA 平台亮点
基于云的威胁智能 CSIO
恶意代码防 护
安全漏洞数 据库
入侵规则
Sourcefire NGIPS 和
ASA FirePOWER
信誉过滤
1.主机和应用 的安全扫描
2.应用识别与访问 控制
学院校园网络设计方案
2005-2010
2010-2015
2015-将来
1
校园部分无线覆盖 全校无线覆盖
2
3
满足互联网+的智能无线网络
无线网络运维
远程办公
高密度接入
语音和视频接入 手机课堂
校庆
图书馆 新生入学
挑战杯
体育馆
Wifi网络将接入 越来越多语音和视频
研讨会通过无线连接会校园内网
家庭办公话机和语音接入
WLAN Stateful Switchover
•
•
用户服务 用户登录自助服务 简单的访客处理 基于位置的服务
设备管理 计划、部署、监控、故障处理, 补 救、优化
部署灵活 支持虚拟部署组件 Secure Group Access 智能操作
2.网络接入的安全防范
央视315揭秘免费商用无线网络的安全：蜜罐攻击
DRAM (128MB)
CPU
DRAM (512Mb )
其它厂商
1x DualCore 处理器
思科AP 6x Total
(1x Dual-Core, 2x Radio, 2x DSP)
CPU 512 MHz
DSP
CPU 800 MHz
DRAM (512MB )
512MB
内存
768MB
高性能案例--贵阳大数据产业博览会Wifi用户使用概况
X
X
内置无线入侵模块防止无线Flood泛洪攻击
思科AP在接入用户同时可以进行扫瞄 发现名字相同的假冒AP，自动进行压制
设置安全策略不允许无线用户之间互相访问
阻止攻击
防止欺骗
禁止假冒互访
思科无线定位引擎可以定位恶意AP的物理位置
思科ASA实现对华夏学院内网情况了如指掌
操作系统
主机流量
主机漏洞
应用分析
5
7
无线控制器HA
Clean Air 强抗干扰
4
校园无缝漫游
6
宿舍区面板 AP接入
8
化
校园语音视频优
10
上网络运维
掌
9
11
室外覆盖、校园导航、人流统计
可租赁给运营 商的SSID资源
1.有线无线网络的统一管理
有线/无线网络数据平面
传统瘦AP架构
无线控制器
融合接入架构 • 集中管理
• 数据分布交换 • 策略部署:ACL,QOS作用 于接入交换机上，有线 无线相同
方法3:Clean Air
Cisco将无线频谱分析卡做到一块专门的ASIC芯片上，然后把这块芯片放在 AP里，频谱芯片和Cisco的射频算法、定位等功能结合起来，这个就是 Clean Air技术。 Clean Air可以准确地侦测各种无线网络干扰，有四个优点，第一不用到现 场,降低运维成本；第二能定位到干扰源的位置；第三能够自动消除干扰带 来的影响。这个是原来通过频谱分析仪或者频谱分析卡无法做到的。第四 频谱分析通过专门的ASIC芯片来进行，对接入无线用户没有任何影响。
央视315截屏 可以探知无线用户终端类型以及使用的应用
央视315截屏 可以截获微信朋友圈分享的照片
央视315截屏 可以获知邮箱地址甚至密码
• •
免费商用无线网络的最大威胁：无线网络蜜罐攻击 蜜罐攻击的步骤： 步骤1: 当你连接到无线网络以后，攻击者通过使用户下线，然后通过Flood泛洪攻击使正常无线网络无法连接 步骤2: 无线攻击者开放和当前无线网络相同的SSID，当你的无线终端自动重新连接无线网络时，实际已经联入攻 击者的恶意无线系统 步骤3: 攻击者配合其他应用的攻击软件，即可以获取用户私密信息
CORE
802.11ac
• 集中管理 • 数据集中在控制器交换 • 策略部署:ACL,QOS作用 于控制器上，有线最高 60G • 适用于802.11a/b/g/n
统一接入 接入交换机 交换机
• 融合交换机无线网处理 能力最高：单台40G • 适用于 802.11a/b/g/n/ac • 过度为无线为主的接入
1)
有线、无线网络的统一管理问题
2)
3) 4)
网络接入安全防范
高密度用户接入 射频干扰问题
5)
6) 7) 8) 9)
如何识别用户的应用并控制
音视频的组播在无线中的传输问题 802.11ac wave2高速网络传输问题 基于无线网络的校园创新服务 提升校园的无线访问体验
10) 产品质量
802.11ac wave2
问题原因及建议解决方案
•
干扰问题应对措施和优化方案
1.通过行政干预 要求 运营商2G/3G/4G室内分布系统的发射功率，控制运营商部 署的SP WiFi AP的发射功率、信道配置； 2. 关闭自建WiFi，要求统一规划、统一部署；合理的信道及安装位置选择；排除 WiFi及非WiFi干扰源；
3. 无线信道控制 由于802.11b/g模式下只有三个完全隔离的信道（1、6 & 11），
展会第一天
展会第二天
参展人员Wifi终端分布： 苹果33%、 三星16%、华为10%、小米10%
贵阳大数据产业博览会AP使用概况 单个AP最高用户数量为262个，展厅以及峰会的多个AP同时在线用户数量超过100个或者接近100个
4.射频干扰的处理
问题原因及建议解决方案
•
2.4G频段干扰问题
由于2.4G技术本身接入控制方式为争抢方式， 且频段开放、频点少；因此存在先天性弊端易干 扰、环境变化带来网络质量抖动。 同时目前遍布 校园的移动运营商的SP WiFi，运营商的基站、师 生自建的WiFi热点以及师生自己的各种2.4G传感 设备等， 这些都给原来已经非常拥挤的2.4G频段 更加繁忙、同时也增大了背景的噪音、在测试过 程中，我们也经常发现在2.4G频段下，经常会超 过80%空口的利用率。 所有这些因素都导致了校 园换进内无线信号干扰严重。
单位及个人网络设备
整合移动设备管理MDM
• •
高效的操作 智能故障排查
内容感知的控制 Who, what, which, when, where, and how 高级隔离
•
次秒级的收敛 LAN Stateful Switchover
自动报告生成
IPv4 and IPv6 支持
•
LAN Non-Stop Forwarding
传统无线接入点设计
定制化无线接入点设计
Radio – 2.4GHz