定位惡意無線接入點

未經(jīng)授權(quán)的惡意接入點會將公司的網(wǎng)絡(luò)暴露給外界，從而危及無線網(wǎng)絡(luò)的安全。為消除這種安全隱患，網(wǎng)絡(luò)管理人員必須先在網(wǎng)絡(luò)中檢測到惡意 AP 的存在，然后確定其位置。收斂法和向量法是查找惡意 AP 物理地址的兩個最常用方法。這兩種方法各有所長，需要使用的工具也不盡相同。深入了解這兩種方法有助于網(wǎng)絡(luò)管理人員確保無線網(wǎng)絡(luò)的安全性。

“惡意”接入點可能會危及無線網(wǎng)絡(luò)的安全。如果接入點 (AP) 是在公司網(wǎng)絡(luò)管理人員不知情或未獲許可的情況下安裝，則被視為惡意接入點。這種情況有可能只是某位員工將家中的無線路由器帶到了辦公室，為某個會議提供臨時的無線接入。但如果是公司外部的人安裝的 AP，而目的是免費訪問因特網(wǎng)或攻擊網(wǎng)絡(luò)以查看內(nèi)部信息，問題就嚴重了。上述兩種情況下，無論是有意還是無意，未經(jīng)授權(quán)的 AP 均未應(yīng)用合適的安全設(shè)置。這樣的 AP 會將公司網(wǎng)絡(luò)暴露給外界。

有不少方法可以幫助網(wǎng)絡(luò)管理人員檢測網(wǎng)絡(luò)中是否存在惡意 AP。不過，發(fā)現(xiàn)惡意設(shè)備只完成了任務(wù)的一半。網(wǎng)絡(luò)管理人員還必須確定該 AP 的物理位置。找到其位置后，管理人員才能將其從網(wǎng)絡(luò)中刪除，或使用適當?shù)陌踩珯C制對其進行重新配置。

查找惡意接入點物理位置的兩個最常用的搜索方法是“收斂”法和“向量”法。具體選用哪種方法取決于您可以使用的工具。

收斂法

如果使用的工具包由帶全向天線的網(wǎng)卡和信號強度儀組成，則適合采用收斂法。全向天線在各個方向上的發(fā)射和接收效果都相當好。因為它不需要使用任何特定的方向，又被稱為“無指向性”天線。圖 1 所示為全向天線的模式。

筆記本電腦的標準無線 LAN 網(wǎng)卡使用的就是全向天線。在此類應(yīng)用中，無論 PC 朝向如何，全向天線的信號強度都保持不變，因而使用特別方便。收斂法還需要使用信號強度儀。強度儀用于測量來自惡意 AP 的 RF 信號。信號越強，與 AP 的距離就越近。強度儀
有多種類型。最常見的類型是軟件實用程序，通常隨安裝在筆記本電腦中的網(wǎng)卡一起提供。不同制造廠商的此類簡單實用程序各有不同，但一般都以圖表形式顯示信號強度。此類實用程序的問題在于，依靠其簡單的圖表很難發(fā)現(xiàn)信號強度的細微差別。

您也可為筆記本電腦選用第三方軟件，這些軟件通常具有更強的信號強度測量功能。第三方應(yīng)用程序可提供更為具體的度量，圖表也更大、更便于使用。如果不使用筆記本電腦，也可選擇手持式 RF 信號強度儀。此類設(shè)備專為查找惡意設(shè)備而設(shè)計，能以用戶友好的方式顯示信號強度信息，從而加快定位速度（如圖 4 所示）。

進行收斂式惡意 AP 搜索，需使用帶全向天線的網(wǎng)卡和信號強度儀。將網(wǎng)卡與目標 AP 相關(guān)聯(lián)。在現(xiàn)場走動，同時利用強度儀監(jiān)控信號強度，粗略估計從哪里開始查找惡意 AP。將搜索區(qū)域想象成一個大矩形，然后將其分為四個象限。如圖 5 所示。走到搜索區(qū)域的一角。記錄信號強度。走到第二個角。記錄信號強度。走到第三個角并記錄信號強度。然后走到最后一個角并記錄信號強度。比較信號強度記錄，確定目標 AP 所在的位置，即測得最強信號的區(qū)域。本例中為右下象限�，F(xiàn)在將此象限作為新的搜索區(qū)域，并將其劃分為四個小象限。在這個較小的搜索區(qū)域中再次執(zhí)行信號強度測量步驟，逐次走過各個角落并記錄信號強度。在本例中，右上角子象限中的信號最強。重復(fù)上面的過程，將搜索區(qū)域劃分為更小的象限。在本例中，三次劃分、十二次測量就足以找到目標 AP。如果初始搜索區(qū)域更大的話，也可進一步劃分和測量。

向量法

另一種查找惡意接入點物理位置的搜索方法是“向量”法。如果使用的工具包由附帶單向天線的網(wǎng)卡和信號強度儀組成，則適合使用向量法。單向天線會強化來自某一方向的信號，同時抑制來自其他方向的信號。

單向天線有多種類型。對惡意 AP 檢測而言，使用外部天線的網(wǎng)卡更容易發(fā)現(xiàn)目標。我們需要使用針對此類天線設(shè)計的網(wǎng)卡。

這類卡一般都有一個與天線插頭相配的插座。與外部單向天線相連后，內(nèi)部全向天線就會被禁用。

與收斂法相同，向量法也需要使用信號強度儀。首選強度儀是專用的便攜式設(shè)備。兩種搜索方式的不同之處在于搜索算法。

進行向量式惡意 AP 搜索，需使用單向天線、兼容網(wǎng)卡和功率表。將您的網(wǎng)卡與目標 AP 相關(guān)聯(lián)。在現(xiàn)場走動，同時監(jiān)控功率表顯示的信號強度，粗略估計一下從哪里開始查找惡意設(shè)備。同收斂法一樣，將搜索區(qū)域想象成一個大矩形，然后將其分為四個部分。如圖 8 所示。先走到搜索區(qū)域的中心，將天線朝向搜索區(qū)域的某個角。記錄信號強度。在同一位置旋轉(zhuǎn) 90°，將天線指向第二個角。記錄信號強度。將天線指向第三個角并記錄信號強度。然后將天線指向最后一個角并記錄信號強度。比較信號強度記錄，確定目標 AP 所在的位置，即測得最強信號的區(qū)域。本例中為右下區(qū)域。現(xiàn)在將此區(qū)域作為新的搜索區(qū)域，進一步劃分成四個小區(qū)域。在每個小區(qū)域中再次執(zhí)行信號強度測量，仍然是在中心位置分別將天線指向每個方向并記錄信號強度。在本例中，右上角子區(qū)域中的信號最強。重復(fù)上面的過程，將搜索區(qū)域劃分為更小的區(qū)域。

在本例中，三次劃分共十二次測量就足以找到目標 AP。如果初始搜索區(qū)域更大的話，可能需要進一步劃分和測量。

方法比較

在本例中，收斂法和向量法在區(qū)域劃分和測量次數(shù)上是相同的。但收斂法需要測量者四處走動，行走的距離明顯較長。這就會延緩惡意設(shè)備的檢測過程。還有一個細微差別，體現(xiàn)在多層環(huán)境下的接入點搜索。例如，您懷疑在四層辦公樓的第二層存在惡意 AP。通過收斂法，您發(fā)現(xiàn)了信號最強的位置，但卻找不到 AP。實際上，問題不在于測量方法，而是接入點可能位于其他樓層。如果使用向量法，您可將天線旋轉(zhuǎn) ± 180°，通過垂直方向的搜索，進一步發(fā)現(xiàn)惡意 AP 所處的樓層。

實際操作說明

實際使用中，您可能需要調(diào)整搜索模式以適應(yīng)非直角空間和存在墻壁、隔間及其他障礙物的情況。測量時，請盡量使天線保持在同一高度。使天線高度超出隔間墻壁，從而使測量結(jié)果更加穩(wěn)定。在搜索接入點時，應(yīng)注意在三維方向上思考。

如果只有全向天線，那么在多個樓層中對信號強度采樣將有助于推斷惡意 AP 所在的樓層。采用向量法測量時，在旋轉(zhuǎn)天線時應(yīng)盡量使鄰近物體保持靜止（測試儀、手臂、身體）。一般來說，最簡單的方法是將定向天線安裝在信號強度儀（PC或手持設(shè)備）上，然后旋轉(zhuǎn)整個測量平臺，而不是只旋轉(zhuǎn)天線。利用已知的接入點來練習定位技巧，通過調(diào)整與 AP 的距離、天線高度和天線方向（針對單向天線）來熟悉測試工具的敏感度。請注意，金屬結(jié)構(gòu)（金屬墻筋墻、金屬框隔間、垂直百葉窗）會影響定向測量結(jié)果的準確性，特別在信號強度較弱的情況下，影響更是明顯。熟悉所處環(huán)境的特殊點有助于在需要時更快地查找 AP。

保持警惕

為確保網(wǎng)絡(luò)的安全性，員工應(yīng)接受安全培訓(xùn)，了解安裝非授權(quán) AP 的風險。適時更新公司規(guī)定。使用嚴密的網(wǎng)絡(luò)接入機制，如IEEE 802.1X。對可能存在惡意設(shè)備和無保護無線設(shè)備的區(qū)域，定期進行安全審核，以發(fā)現(xiàn)安全威脅。發(fā)現(xiàn)惡意 AP 后，應(yīng)盡快將其找到，以便從網(wǎng)絡(luò)中消除此安全隱患。遵循無線網(wǎng)絡(luò)安全最佳實踐，將網(wǎng)絡(luò)安全風險降至最低。

關(guān)于 Fluke Networks

Fluke Networks 面向企業(yè)和電信運營商所使用的銅纜、光纖和無線網(wǎng)絡(luò)，提供創(chuàng)新的安裝與認證、測試、監(jiān)控及分析解決方案。公司的網(wǎng)絡(luò)超級透視解決方案產(chǎn)品線為網(wǎng)絡(luò)安裝者、所有者和維護者提供了網(wǎng)絡(luò)性能優(yōu)化所需的超強直觀性，同時兼顧了速度、準確性而易用性。如需了解具備 802.11a/b/g WLAN 分析和惡意 AP 檢測功能的 EtherScope II 系列網(wǎng)絡(luò)通，請訪問www.flukenetworks.com.cn/etherscope/cn