無線局域網(wǎng)作為傳統(tǒng)有線局域網(wǎng)絡(luò)的延伸,主要是為了讓用戶擺脫網(wǎng)線的束縛,用戶在完成無線接入的過程之后,其使用的大部分網(wǎng)絡(luò)資源、內(nèi)容、流量等還是來自于有線網(wǎng)絡(luò),需要有線網(wǎng)絡(luò)進(jìn)行最后的落地。
因此,分析無線網(wǎng)絡(luò)安全威脅,不能只單純考慮無線網(wǎng)絡(luò)部分,同時(shí)需要涉及無線局域網(wǎng)最后落地的有線網(wǎng)絡(luò),只有將無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)統(tǒng)一考慮,進(jìn)行一體化的關(guān)聯(lián)分析,才能更準(zhǔn)確的定位無線網(wǎng)絡(luò)安全威脅。
無線安全引擎會智能的將無線網(wǎng)絡(luò)設(shè)備進(jìn)行內(nèi)外網(wǎng)分類:
首先,無線安全引擎會通過有線網(wǎng)絡(luò)接口,定期向所在的局域網(wǎng)內(nèi)發(fā)送特定的探測報(bào)文,該探測報(bào)文在局域網(wǎng)內(nèi)以廣播或組播的方式發(fā)送,確保送達(dá)至局域網(wǎng)內(nèi)每臺網(wǎng)絡(luò)設(shè)備或主機(jī)。同時(shí),該探測報(bào)文在遇到橋接設(shè)備時(shí),可以穿越相應(yīng)設(shè)備,繼續(xù)傳遞。當(dāng) AP 的有線網(wǎng)絡(luò)接口接收到該探測報(bào)文時(shí),會通過其無線網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)該報(bào)文,繼續(xù)向網(wǎng)絡(luò)末端傳遞。
其次,無線安全引擎通過其無線網(wǎng)絡(luò)接口持續(xù)偵聽,當(dāng)偵聽到自己通過有線網(wǎng)絡(luò)發(fā)送的特殊探測報(bào)文時(shí),無線安全引擎即可以確認(rèn)轉(zhuǎn)發(fā)探測報(bào)文的AP是工作在局域網(wǎng)絡(luò)內(nèi)部。
最后,當(dāng)無線內(nèi)網(wǎng)探測完成之后,無線安全引擎會持續(xù)在無線網(wǎng)絡(luò)接口偵聽所在區(qū)域的無線局域網(wǎng)絡(luò),進(jìn)而學(xué)習(xí)到更多的無線網(wǎng)絡(luò)設(shè)備,并在學(xué)習(xí)的同時(shí),根據(jù)既定的分類原則,將無線網(wǎng)絡(luò)設(shè)備進(jìn)行分類。隨著無線網(wǎng)絡(luò)設(shè)備分類的不斷完善,無線安全設(shè)備就可以更加精確的將無線連接進(jìn)行分類、管理,從而為進(jìn)一步分析、識別、定位無線網(wǎng)絡(luò)中的安全威脅做好準(zhǔn)備工作。
根據(jù)之前所完成的無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的掃描和探測,無線安全引擎會持續(xù)偵聽網(wǎng)絡(luò)中攻擊特征,并不斷匯總無線網(wǎng)絡(luò)攻擊特征、無線網(wǎng)絡(luò)設(shè)備屬性、有線網(wǎng)絡(luò)側(cè)的設(shè)備特征和屬性,實(shí)時(shí)進(jìn)行一體化的關(guān)聯(lián)分析,一旦發(fā)現(xiàn)預(yù)定義的安全威脅類型,實(shí)時(shí)上報(bào)給數(shù)據(jù)分析中心。
通過一體化關(guān)聯(lián)分析,無線安全引擎可以實(shí)現(xiàn)更加準(zhǔn)確、高效的無線威脅檢測。