理解 RF 监控

理解 RF 监控

以下章节提供了 RF 监控功能的概述，包含以下子节：

•

第 644 页的 RF 监控是什么？

•

管理接口概述

RF 监控是什么？

当今基于 802.11 的无线网络设备所使用的射频 (RF) 技术对入侵者颇具吸引力。如果不加管理，射频设备会使您的无线（和有线）网络对于外部的各种威胁（从拒绝服务 (DoS) 到网络安全破坏）处于开放状态。

为保护 SonicPoint 无线接入点 (AP)工作站的安全，SonicWALL 深入研究了这些威胁。通过使用直接射频 RF 监控，SonicWALL 可帮助检测威胁，而不会中断当前无线或有线网络的运行。

SonicWALL RF 监控提供对 SonicPoint 射频流量的实时威胁监控和管理。除有实时威胁监控功能外，SonicWALL RF 监控还提供了集中收集 RF 威胁和流量统计的系统；还提供了一种直接从 Dell SonicWALL 安全设备网关轻松管理射频功能的方法。

SonicWALL RF 监控的特点：

•

实时 - 实时查看记录的信息

•

透明 - 管理威胁时无需中止合法的流量。

•

全面 - 可对多种类型的射频威胁进行检测。有关上述射频威胁检测类型的完整描述，请参见实用型 RF 监控字段应用程序。

管理接口概述

SonicPoint > RF 监控管理界面提供了用于选择射频签名类型、查看已发现的 RF 威胁工作站以及将发现的威胁工作站添加到监视列表的中心位置。本节说明了SonicPoint > RF 监控页面上的组件。

表 88. RF 监控组件
名称	说明
操作项	提供接受、取消、刷新和清除 RF 监控页面的选项。请参见操作项。
RF 监控摘要面板	显示 SonicPoint RF 监控设备、射频威胁总数和测量间隔（使用秒作为测量单位）。请参见第 646 页的 RF 监控摘要。
802.11 常规帧设置	显示常见威胁的总数量和启用长久持续的选项。请参见第 646 页的 802.11 常规帧设置。
802.11 管理帧设置	针对每个设置，配置您的管理帧设置，并显示威胁的数量。请参见第 647 页的 802.11 管理帧设置。
802.11 数据帧设置	针对每个设置，配置您的数据帧设置，并显示威胁的数量。请参见第 647 页的 802.11 数据帧设置。
已发现 RF 威胁站点	显示所有已发现 RF 威胁站点的信息或仅显示监视列表群组中的站点。请参见已发现 RF 威胁工作站。

操作项

表 89. 操作项按钮
按钮名称	说明
接受	接受最新的配置设置。
取消	取消任何已更改的 RF 监控设置。
刷新	刷新 SonicPoint > RF 监视页面。
清除	清除所有配置的设置，并将页面返回到默认设置。

RF 监控摘要

表 90. RF 监控摘要组件
名称	说明
SonicPoint RF 监控设备	显示 SonicPoint 设备的总数量。
射频威胁总数：	显示 RF 威胁的总数。
测量间隔（秒）	输入所需的测量间隔，以秒为单位。默认间隔为 300 秒。

802.11 常规帧设置

表 91. 802.11 常规帧设置
名称	说明
所有常规威胁	显示常规威胁的总数。
长久持续	通过将射频光谱划分为 14 个交错的信道，无线设备可共享电视广播。每个设备在指定的（短）持续时间内都保留一个信道，在此期间，任何一个设备都保留有一个信道，其他已知的设备在该信道上不广播。长久持续攻击通过保留多个射频信道较长的时间来使用该过程，并通过找到开放的广播信道有效地停止合法的无线流量。默认情况下未指定该选项。

802.11 管理帧设置

单击复选框启用/禁用Table 92描述的监控。默认情况下已启用所有监控。

表 92. 802.11 管理帧设置
名称	说明
所有管理威胁	显示管理威胁的总数。
管理帧淹没	DoS 攻击的变体尝试用管理帧淹没无线接入点（例如关联或验证请求），该管理帧使用伪造的请求填充管理表。
无探测响应	无线客户端发送探测请求时，攻击者返回包含空 SSID 的响应。该响应会使多个常见无线卡和设备停止响应。
广播取消验证	这个 DoS 变异发送欺骗的取消验证帧给无线客户，强迫它们连续的取消验证和持续的和接入点之间再验证
具备非法 SSID 的合法站点	在该攻击中，欺诈接入点尝试广播受信任的站点 ID (ESSID)。尽管 BSSID 通常无效，站点仍对客户端显示，好像它是受信任的接入点。该攻击的目的是通常从受信任的客户端获取验证信息。
Wellenreiter 检测	Wellenreiter 是常用的软件应用程序，攻击者可使用它检索来自周围无线网络的信息。
Ad-Hoc 站点检测	Ad-Hoc 站点是可提供无线客户端访问权限的节点，其访问方式为充当实际接入点和用户之间的网桥。无线用户通常被欺骗而连接 Ad-Hoc 站点，而不是实际的接入点，因为它们可能有相同的 SSID。这使 Ad-Hoc 站点能够拦截连接的客户端与接入点之间发送或接收的任何无线流量。

802.11 数据帧设置

单击复选框启用/禁用以下监控。默认情况下，未关联站点未被选择，其他复选框处于启用状态。

表 93. 802.11 数据帧设置
名称	说明
所有数据威胁	显示数据威胁的总数。
未关联站点	无线站点在与接入点相关联之前尝试进行验证，未关联的站点在未关联期间通过将淹没的验证请求发送给接入点可创建 DoS。
NetStumbler 检测	通常用于找到免费的互联网访问和所需的网络。Netstumbler 与 GPS 接收器和映射软件相结合，可自动映射无线网络的位置。NetStumbler 也被攻击者用于从周围的无线网络检索信息
EAPOL 数据包攻击	局域网的扩展验证协议 (EAPOL) 数据包用在 WPA 和 WPA2 验证机制中。由于这些数据包类似其他验证请求数据包，由无线接入点公开接收，因此这些数据包的攻击会使 DoS 进入您的网络。
弱 WEP IV	WEP 安全机制使用您的 WEP 密钥以及随机选择的 24 位数字作为初始向量 (IV) 来加密数据。由于随机初始向量的数字比其它数字弱，网络攻击者通常针对此类加密类型，使其更容易解密 WEP 密钥。

已发现 RF 威胁工作站

表 94. 已发现 RF 威胁工作站

显示记录的威胁的总数。如果适用，请使用箭头按钮浏览页面。

视图样式：站点

选择条目列表中显示的站点类型：

•

所有已发现的系统。

•

仅在监视列表群中的站点

按照 MAC 地址对条目排序。这是射频威胁站点的物理地址。

按照从威胁站点接收的无线信号的类型对条目排序。

按供应商对条目排序。这是威胁站点的制造商（由 MAC 地址确定）。

按照 SonicPoint 报告的接收信号的强度对条目排序。该条目以及传感器条目，在对 RF 威胁设备的实际物理位置做三角测量时非常有用。

按照威胁站点的传输速率 (Mbps) 对条目进行排序。

按照威胁站点上的无线信号加密（无或已加密）对条目进行排序。

按照射频威胁对条目进行排序（发生在最近的时间）。

按照创建/更新此日志记录的时间对条目进行排序。

按照记录此威胁的 SonicPoint 的 ID 对条目排序。该条目以及 Rssi 条目，在对 RF 威胁设备的实际物理位置做三角测量时非常有用。

显示用于添加有关威胁注释的文本框。

配置已发现站点的监视列表。


	提示：使用记录的威胁统计可找到射频威胁设备的大概位置。有关使用射频管理威胁统计的实用性建议和信息，请参见实用型 RF 监控字段应用程序。