Wi-Fi嗅探解决方案V.docx

WiFi 嗅探解决方案31.1 社会背景随着互联网时代的快速进展，无线网络的需求在人们生活中越来越高，无线网在人们生1.2 功能需求活中、各个行业、各个领域发挥的作用也越来越大，在安防监控领域也发挥着很大的作用。随着国家治安力度的加大，国内治安标准的提高，公安部需要实行更加精细化的治理和监控， 为了便加强对于现代化城市的治理，打击违法犯罪行为，公安部打算加强对 Wi-Fi 嗅探的建 设。1.2.1 终端特征采集设备技术要求l 采集对象含有WIFI上网功能模块的终端设备；热点。l 终端设备采集内容终端 MAC 地址、终端品牌可为空、终端历史 SSID 列表可为空、采集时间、被采集终端场强、身份类型可为空、身份内容可为空、接入热点SSID可选、接入热点 MAC可选、接入热点频道可选、接入热点加密类型可选、X 坐标可选、Y 坐标可选、场所编号、设备编号、采集设备经度、采集设备纬度。l 被采集热点的信息内容：热点MAC地址、热点SSID、热点频道、热点加密类型、采集时间、热点场强、X坐标可选、Y坐标可选、场所编号、设备编号、采集设备经度、采集设备纬度。l 采集协议基于IEEE 802.11b/g/n协议的无线设备信息；可扩展采集支持IEEE 802.11a/ac协议的无线设备信息。l 采集环境设备处于开放网络或各种加密网络的环境；设备处于2.4G网络的环境；可扩展支持设备处于5.8G网络的环境。l 采集信道应采集WIFI网络设备全部信道的信息。l 采集数据上传上传途径：应将采集到的信息数据上传至管控后台，上传途径包括有线、WIFI无线、3G/4G 等其中的一种或多种。上传安全：应能保证采集设备和管控后台之间数据传输的全都性、完整性、保密性.l 其他功能要求采集间隔时间调整；时间同步；远程维护；软件自动升级。l 自身安全要求鉴别初始化；鉴别数据保护。1.2.2 前端硬件设备技术要求l 室外采集设备技术要求a环境适应性工作温度：-2070；工作湿度：10%95%；防护等级：GB 4208标准定义的IP67 中关于防水的防护等级；防雷要求： POE网络口防雷差模不低于1.5KV，共模不低于6KV； 电磁兼容性要求：满足GB 9254标准中B类产品及GB/T 17626.x相关测试等级要求。b) 采集性能无线终端设备，翻开 WIFI 功能，保持开屏或锁屏的操作状态，在不去除不发包终端的状况下统计最终结果，设备并发处理力量不低于2000 个报文/秒。移动速度采集MAC终端成功率开屏采集MAC终端成功率锁屏备注室外采集设备性能要求10公里/小时60%25%行走速度20公里/小时50%20%十字路口行驶速度40公里/小时40%15%公共汽车市内行驶速度60公里/小时30%10%小汽车市内行驶速度l 室内采集设备技术需求a)环境需求：工作温度：045；工作湿度：10%85%。b) 采集性能：无线终端设备，翻开WIFI功能，保持开屏或锁屏的操作状态，在不去除不发包终端的状况下统计最终结果，备并发处理力量不低于2000个报文/秒。室内采集设备性能要求停留时间1 分钟2 分钟5 分钟10 分钟l 采集数据回传准时性采集MAC终端成功率开屏80%/采集MAC终端成功率锁屏30%50%70%80%在传输网络正常状况下，采集设备采集到的数据应在30秒内回传至后台管控中心。1.3 场景需求1.3.1 室内场景需求公共区域机场、地铁站、火车站商业综合体商场、超市酒店楼道、房间1.3.2 室外场景需求城市十字路口、街道园林、景区写字楼公共区、办公区校园公共场所校园、教学楼球场、广场52.1 信锐嗅探 AP 根本参数2.1.1 硬件参数支持频段支持 802.11b/g/n 的 2.4G 频段全信道采集，支持 802.11ac 的 5.8G 频段全信道采集AP 接口以太网口：1*10/100/1000Mbps；Console 口：1 个 RJ45 口；PoE： 支持 802.3af/802.3at 兼容供电10防护力量扫描力量设备功耗工作温度工作湿度供电方式天线接口安装方式室内：IP41 丨室外：IP:68室内 30-50 米丨室外全向型：200-300 米；定向型>500 米<13W室内丨< 25W室外-1050室内丨-4070室外 5%95%非分散室内；0%100%非冷凝、非分散 PoE 供电外置或者内置采集天线支持吸顶、壁挂、放装等多种安装方式丨抱杆2.1.2 识别采集参数识别采集性能无线终端设备，翻开 WIFI 功能，保持开屏或锁屏的操作状态， 在不去除不发包终端的状况下统计最终结果备并发处理力量 2000 个报文/秒识别采集环境 识别采集终端类型识别采集终端系统重复数据识别采集时间间隔采集协议支持设备处于2.4G网络的环境；支持设备处于5.8G网络的环境带有 Wi-Fi 上网功能的各类终端，如手机、IPad、笔记本电脑安卓、苹果、windows、塞班等可以重复识别同一个 MAC 地址，并进展处理15 秒一个周期基于IEEE 802.11a/b/g/nac协议的无线设备信息序号12345678采集内容终端 MAC 地址采集时间终端 SSID终端信号强度终端系统类型终端类型采集设备经度采集设备纬度l 识别采集终端数据2.2 信锐嗅探 AP 掩盖方案2.2.1 室内掩盖方案l 使用场景在商场，超市，机场、火车站、汽车站候车室，办公室，银行，酒店，学校，小区等室内区域。l 型号选择信锐嗅探 NAP-2400 (适用于单频段嗅探) 信锐嗅探 NAP-2800适用于双频段嗅探l 实现功能采集内容类别终端采集信息设备信息采集内容终端 MAC 地址；采集时间；终端 SSID；终端信号强度；终；端系统类型； 终端类型；终端经度；终端纬度采集设备经度；采集设备纬度；采集设备编号场所根本信息无线掌握器AC所在地、所在场所、场所具体地址、场所效劳类型、场所经营性质、场所经度、场所纬度、场所经营法人、经营法人有效证件类型、经营法人有效证件号码、联系方式、营业开头、完毕时间、场所网络接入方式、场所网络接入效劳商、网络接入账号或固定IP 地址以上信息可事先录入到系统室内采集设备性能停留时间采集 MAC 终端成功率开屏采集 MAC 终端成功率锁屏1 分钟80%30%2 分钟90%50%5 分钟90%70%10 分钟90%80%2.2.2 室外掩盖方案l 使用场景十字路口，街道，校园，社区，停车场，广场，球场等室外区域。l 型号选择信锐嗅探 NAP-7600(双频段嗅探)l 实现功能采集内容类别终端采集信息设备信息场所 根本 信息采集内容终端 MAC 地址；采集时间；终端 SSID；终端信号强度；终；端系统类型； 终端类型采集设备经度；采集设备纬度；采集设备编号无线掌握器AC所在地、所在街道、街道具体地址、街道类型、街道经度、街道纬度以上信息可事先录入到系统室外采集设备性能移动速度采集 MAC 终端成功率开屏采集 MAC 终端成功率锁屏备注10 公里/小时60%25%行走速度20 公里/小时50%20%十字路口行驶速度40 公里/小时40%15%公共汽车市内行驶速度60 公里/小时30%10%小汽车市内行驶速度2.3 信锐嗅探 AP 网络安全方案在嗅探AP 接收报文并把嗅探到的信息回传给掌握器时，有可能出线数据泄漏或者黑客截获数据的状况，由于我们通过数据加密和报文监听隐蔽功能，保障嗅探数据的安全性。2.3.1 数据加密保护无线链路数据的私密性，是全部无线网络均需要面对的挑战。与有线网络不同， 只要持有适当的接收设备，任何人均可以被动监听帧且加以分析。为了避开数据沦落到“不对的”人手中，必需对数据进展加密，防止数据被攻击者取得。WLAN 供给了一系列的加密协议，只允许拥有密钥的授权用户访问数据，同时确保数据在传输过程中未遭篡改。数据加密方式NAC 支持两种数据加密方式：1、临时密钥完整性协议(TKIP)；2、计数器模式密码块链消息完整码协议CCMP。2.3.2 报文监听隐蔽嗅探功能是通过接收终端发送的报文，并通过接收报文读取终端信息的功能，但是不法分子往往会通过嗅探信号对内网进展攻击窃取资料。为了防止此类事情的发生，信锐嗅探AP 带有报文监听隐蔽功能，嗅探 AP 截取终端发送信息的同时，不向终端发送任何报文从而达到监听隐蔽的目的，保证了嗅探信息安全性。2.4 信锐嗅探 AP 治理维护方案2.4.1 嗅探AP 统一集中治理AP 分组集中治理全部嗅探 AP 统一由无线掌握器进展集中治理，由掌握器统一下发配置，一次配置一次性下发，嗅探 AP 端零配置；嗅探 AP 支持分组治理，最多支持 9 级分组，便利大型网络对嗅探数据的治理维护。在掌握器上可统一查看全部嗅探 AP 的运行状况如嗅探 AP 接入用户信息、设备利用率、嗅探 AP 在线状况等。2.4.2 嗅探AP 可视化治理自定义地图，可以导入背景图，便利治理员实时查看嗅探AP 的运行状态；在地图上可以查看嗅探 AP 的位置等信息。2.4.3 我们的售后承诺l 三格外钟问题必应客户有问题反响给厂家工程师，信锐客服30 分钟之内响应，并给出解决方案；l 嗅探 AP 一年之内包换一年之内嗅探 AP 消灭硬件故障，信锐承诺直接更换嗅探 AP，客户不用担忧修理周期会耽误时间，影响业务，或者修理后是否稳定的问题；l 好件先行供给好件先行效劳，即消灭故障从最近的备件库直接发备件到客户现场；l 小时级备件库23 个当地办事处备件库+5 个大区级别备件库；供给小时级的备件效劳。三、信锐 WIFI嗅探设备部署方案3.1 嗅探设备安装指南3.1.1 安装连线室外嗅探AP 安装在天网视频杆上，承受抱杆安装需考虑桩杆的粗细，便于选择安装配件， 安装高度尽量低于探头水平高度，高于易攀爬位置。室外嗅探AP 承受POE 注入供电的方式，将交换机和POE 注入器放在室内或者变电站等室内区域，接六类双绞线到室外嗅探AP。室内嗅探AP 实行了一般POE 供电方式，原理与上大致一样。3.1.2 安装必备条件l 设备供电户外型设备安装饰必需要能取电，一般将交换机放在室内，POE 注入器从路灯电线杆的弱电挂箱取电，局部交通卡口的弱电箱，安装在地面。支持沟通220V,通过双绞线对嗅探 AP 进展供电。l 数据传输嗅探 AP 通过有线网络实现数据回传，复用弱电箱里面的路由交换网络和线路，故弱电箱里面的交换机需要有闲置的多余的RJ45 端口。掌握交换机设备需要安排IP 地址，数据会聚点效劳器需要安排 IP 地址，全部掌握交换机设备需要与数据会聚点效劳器进展IP 通信。3.1.3 图片实例3.2 嗅探设备配置指南3.2.1 工作原理l 实现目标嗅探 AP 定时上报扫描到的终端信息，包括扫描到终端的AP MAC、终端的 MAC 地址、消灭时间等；嗅探 AC 收集 AP 上报信息，打包通过公网传输给公安三所的xx 效劳器，进展审计。3.2.2 掌握器根本配置l 嗅探 AP 设备根底信息备注：进入接入点配置-无线接入点，点击具体AP，查看嗅探 AP 设备根底信息，可添加AP 所在位置的经纬度以及所在楼层或者具体位置信息。场所配置场所配置：填写的是无线掌握器AC所在地即 xx 分行营业部的场所信息。如下信息以上海嗅探的无线掌握器所在地上海分行营业部为例具体名词解释：1） 上网效劳场所行政区域编码：无线掌握器AC所在地，即 xx 分行营业部机房所在地市区域2） 上网效劳场所名称：无线掌握器AC所在场所，如：xx 分行营业部号3） 场所具体地址：无线掌握器AC具体地理位置，xx 市 xx 区 xx 路 xx4场所效劳类型：金融效劳场所5场所经营性质：非经营分行营业部所在经度6） 场所经度：xx分行营业部所在纬度7） 场所纬度：xx8场所经营法人：xx分行负责人9经营法人有效证件类型：选择证件类型10经营法人有效证件号码：证件号码11联系方式：联系方式，手机或者固话12营业开头时间：分行营业部运营每天开头时间13营业完毕时间：分行营业部运营每天完毕时间14场所网络接入方式：选择无线掌握器公网的连接方式15场所网络接入效劳商：选择无线掌握器公网出口对应的运营商16网络接入账号或固定 IP 地址：选择无线掌握器公网出口的IP 地址17场所挨次号：保持默认即可厂商配置厂商配置：配置设备厂商信息，其中厂商软件版本、数据交换标准版本和安全厂商信源标识都是向派博备案的信锐安全厂商信息，如有需要可修改具体名词解释： 1厂商组织机构代码：固定为 vendor_sf 2厂商名称：深圳市信锐网络技术3厂商地址：深圳市南山区学苑大道1001 号南山智园 A1 栋4厂商联系人：厂商联系人姓名5联系人 ：厂商联系人 6电子邮件地址：厂商联系人邮箱7安全厂商软件版本：固定为3.08数据交换标准版本：固定为4.3.19) 安全厂商信源标识：固定为83l 公安三所 xx 效劳器配置xx 效劳器配置：填写 xx 效劳器的 IP，端口已经默认为 xx 效劳器安排给信锐的端口号，现场如有变动确认清楚修改相应端口即可。具体名词解释：1） 效劳器地址：xx 效劳器的可通信地址2） TCP 效劳器端口：xx 效劳器 TCP 通信端口3） UDP 效劳器端口：xx 效劳器 UDP 通信端口4） 心跳效劳器端口：xx 效劳器 UDP 心跳保活端口5） 心跳本地端口：信锐设备 UDP 心跳保活端口3.2.3 嗅探AP 操作指导l AP 配置激活上线 AP/AP 设备根本信息配置AP 工作模式配置无线网络配置启用客流分析3.2.4 留意事项l AP 工作模式需配置为 monitor 模式l 厂商信息必需填写正确，参数不行自行修改