wifi嗅探解决方案v01

Wi- Fi嗅探解决方案一、Wi-Fi嗅探背景1.1社会背景随着互联网时代的迅速发展，无线网络的需求在人们生洁中越来越高，无线网在人们生洁 中、各个业、各个领域发挥的作用也越来越大，在安防监控领域也发挥着很大的作用。随着国 家治安的加大，国内治安标准的提高，公安部需要采取加细化的管和监控，为加强对于现代化城市的管，打击违法犯罪为，公安部决定加强寸 Wi-Fi嗅探的建设。1.2功能需求1.2.1终端特征夹集设备技术要求 采集对象含有WIFI上网功能模块的终端设备；热，点。 终端设备夹集容终端MAC地址、终端品牌（可为空）、终端历史SSID表（可为空）、采集时间、被采集 终端场强、身份类型（可为空）、身份内容（可为空）、接入热，点SSID（可选）、接入热，点MAC （可选）、接入热点频道（可选）、接入热点加密类型（可选）、X坐标（可选）、Y坐标（可 选）、场所编号、设音编号、采集设音经、采集设音纬。 被采集热，点的信息内容：热点MAC地址、热点SSID、热点、频道、热点加密类型、采集时间、热，点场强、X坐标（可 选）、Y坐标（可选）、场所编号、设备编号、采集设备经、采集设备纬。 采集协议基于IEEE802.11b/g/n协议的无线设备信息 可扩展采集支持IEEE802.11a/ac协议的无线 设备信息。 采集环境设备处于开放网络或各种加密网络的环境；设备处于2.4G网络的环境；可扩展支持设备处 于5.8G网络的环境。 采集信道应采集WIFI网络设备全部信道的信息。采集数据上传 上传途径：应将采集到的信息数据上传至管控后台，上传途径包括有线、WIFI无劣、3G/4G 等其中的一种或多种。上传安全：应能保证采集设备和管控后台之间数据传输的一致性、完整性、保密性 其他功能要求采集间隔时间调整；时间同步；远程维护；软件自动升级。 自身安全要求鉴别初始化；鉴别数据保护。1.2.2前端硬件设音拄术要求 室外采集设备技术要求a）环境适应性工作温：-20C70C；工作湿：10%95% ；防护等级：GB4208标准定义的IP67中关 于防水的防护等级；防要求：POE网络口防差模低于 1.5KV，共模低于 6KV；电磁 兼容性要求：满足GB9254标准中B类产品及GB/T17626.X相关测试等级要求。b）采集性能无线终端设备，打开WIFI功能，保持开屏或锁屏的操作状态，在去除发包终端的情况下统 计最终结果，设备并发处能低于2000个报文/秒。室外采集设备性能要求移动速采集MAC终端成功（开屏）采集MAC终端成功（锁屏）备注10公/小时60%25%走速20公/小时50%20%十字口驶速40公/小时40%15%公共汽车市内驶速60公/小时30%10%小汽车市内驶速 室内采集设备技术需求a）环境需求：工作温：0C45C；工作 湿：10%85%。b）采集性能：无线终端设备，打开WIFI功能，保持开屏或锁屏的操作状态，在去除发包终端的情况下统计最终结果，备并发处能低于2000个报文/秒。室内采集设备性能要求停时间采集MAC终端成功（开屏）采集MAC终端成功（锁屏）1分钟80%30%2分钟/50%5分钟/70%10分钟/80%采集数据回传及时性在传输网络正常情况下，采集设备采集到的数据应在30秒内回传至后台管控中心。1.3场景需求场景需求公共区域（机场、地铁站、火车站）商业综合体（商场、超市）酒店（楼道、房间）写字楼（公共区、办公区）1.3.2室外场景需求城市（十字口、彳街道）校园公共场所（校园、教学楼）园、景区球场、广场二、信锐Wi-Fi嗅探解决方案2.1信锐嗥探AP基本参卷2.1.1硬件参卷支持频段支持802.11b/g/n的2.4G频段全信道采集，支持802.11ac的5.8G频段全 信道采集AP接口以太网 口： 1*10/100/1000Mbps ； Console 口： 1 个 RJ45 口； PoE ：支持 802.3af/802.3at 兼容供电防护能室内：IP41 | 室 外: IP:68扫描能室内30-50米|室外全向型：200-300米；定向型500米设音*耗13W （室 P）, 80%30%2分钟90%50%5分钟90%70%10分钟90%80%2.2.2室外覆盖方案 使用场景十字口，街道，校园，社区，停车场，广场，球场等室外区域。 型号选择信锐嗅探NAP-7600（双频段嗅探）实现功能采集内容类别采集内容终端采集 信息终端MAC地址；采集时间；终端SSID ；终端信号强；终；端系统类型；终端 类型设备信息采集技音经；夹集技音纬；夹集技音编号场所基本信息无线控制器（AC）所在地、所在街道、街道详细地址、街道类型、街道经、街 道纬（以上信息可事先录入到系统）室外采集设备性能移动速采集MAC终端成功夹集MAC终端成功备注（开屏）（锁屏）10公/小时60%25%走速20公/小时50%20%十字口驶速40公/小时40%15%公共汽车市内驶速60公/小时30%10%小汽车市内驶速2.3信锐嗅探AP网络安全方案在嗅探AP接收报文并把嗅探到的信息回传给控制器时，有可能出线数据法或者黑客截获 数据的情况，因为我们通过数据加密和报文监听隐蔽功能，保障嗅探数据的安全性。保护无线等数据的私密性， 是所有无线网络均需要面对的挑战。与有线网络同，只要持 有适当的接收设备，任何人均可以被动监听帧且加以分析。为避免数据沦到 “对的 人手中，必须对数据进加密，防止数据被攻击者取得。WLAN 提供一系的加密协议， 只允许拥有密钥的授权用户访问数据，同时确保数据在传输过程中未 遭篡改。 数据加帝方式NAC支持两种数据加密方式：1、临时密钥完整性协议（TKIP）；2、计数器模式密码块链消息完整码协议（CCMP）。2.3.2报。监听隐草嗅探功能是通过接收终端发送的报文，并通过接收报文读取终端信息的功能，但是法分子 往往会通过嗅探信号对内网进攻击窃取资。为防止此类事情的发生，信锐嗅探 AP带 有报文监听隐蔽功能，嗅探AP截取终端发送信息的同时，向终端发送任何报文从而达到 监听隐蔽的目的，保证嗅探信息安全性。2.4信锐嗅探AP管维护方案2.4.1 嗅探AP统一集中管 AP分组集中管所有嗅探AP统-由无线控制器进集中管，由控制器统-下发配置，-或配置-或性下发， 嗅探AP端配置；嗅探AP支持分组管，最多支持 9级分组，方大型网络对嗅探数据的管维护。在控制器上可统-查看所有嗅探AP的运情况（如嗅探 AP接入用户信息、设备用、嗅探 AP在线情况等）。2.4.2 嗅探AP可视化管自定义地图，可以导入背景图，方管员实时查看嗅探AP的运状态；在地图上可以查看嗅探AP的位置等信息。2.4.3 我们的售后承诺 三十分钟问题必应客户有问题反馈给厂家工程师，信锐客服30分钟之内响应，并给出解决方案； 嗅探AP -之内包换-之内嗅探 AP出现硬件故障，信锐承诺直接换新嗅探 AP，客户用担心维修周期会耽 误时间，影响业务，或者维修后是否稳定的问题； 好件先提供好件先服务，即出现故障以最近的备件库直接发备件到客户现场； 小时级音件库23个当地办事处备件库+5个大区级别备件库；提供小时级的备件服务。三、信锐Wi-Fi嗅探设备部署方案3.1嗅探玫音安装布南室外嗅探AP安装在天网视频杆上，采用抱杆安装需考虑桩杆的粗细，于选择安装配件，安装 高尽低于探头水平高，高于攀爬位置。室外嗅探AP采用POE注入供电的方式，将交换机和POE注入器放在室内或者空电站等室内区域， 接类双绞线到室外嗅探AP。室内嗅探AP采取普通POE供电方式，原与上大致相同。3.1.2安装必音条件 设音供电户外型设备安装点必须要能取电，一般将交换机放在室内，POE注入器以灯电线杆的弱电 挂箱取电，部分交通卡口的弱电箱，安装在地面。支持交 220V,通过双绞线对嗅探AP进 供电。 数据传输嗅探AP通过有线网络实现数据回传，复用弱电箱面的由交换网络和线，故弱电箱面的 交换机需要有闲置的多余的RJ45端。控制交换机设备需要分配IP地址，数据汇聚，点服务器需要分配IP地址，所有控制交换机设备需 要与数据汇聚点服务器进IP通信。3.1.3图片实3.2嗅探设备配置指南 实现目标嗅探AP定时上报扫描到的终端信息，包括扫描到终端的APMAC、终端的MAC地址、出现时间等；嗅探AC收集AP上报信息，打包通过公网传输给公安三所的xx服务器，进审计。3.2.2控制器基本配置 嗅探AP设备基础信息音江：进入接入，点配置-无线接入点，点击具体AP，查看嗅探AP技音基础信息，可添加AP所 在位置的经纬以及所在楼层或者具体位置信息。 场所配置场所配置：填写的是无线控制器（AC）所在地即xx分营业部的场所信息。如下信息以上海嗅探的无线控制器所在地上海分营业部为具体名词解释：1）上网服务场所政区域编码：无线控制器（AC）所在地，即xx分营业部机房所在地市区域2）上网服务场所名称：无线控制器（AC）所在场所，如：xx分营业部3）场所详细地址：无线控制器（AC）具体地位置，xx市xx新区xx xx号4）场所服务类型：融服务场所5）场所经营性质：非经营6）场所经：xx分营业部所在经7 ）场所纬：xx分营业部所在纬8）场所经营法人：xx分负责人9）经营法人有效证件类型：选择证件类型10）经营法人有效证件号码：证件号码11）联系方式：联系方式，手机或者固话12）营业开始时间：分营业部运营每天开始时间13）营业结束时间：分营业部运营每天结束时间14）场所网络接入方式：选择无线控制器公网的连接方式15）场所网络接入服务商：选择无线控制器公网出口对应的运营商16）网络接入账号或固定IP地址：选择无线控制器公网出口的IP地址 17）场所顺序号：保持默认即可 厂商配置厂商配置：配置设备厂商信息，其中厂商软件版本、数据交换标准版本和安全厂商信源标识是 向派博备案的信锐安全厂商信息，如有需要可修改具体名词解释：1）厂商组织机构代码：固定为vendor_sf2）厂商名称：深圳市信锐网络技术有限公司3）厂商地址：深圳市南山区学苑大道1001号南山智园A1栋4）厂商联系人：厂商联系人姓名5）联系人电话：厂商联系人电话6）电子邮件地址：厂商联系人邮箱7）安全厂商软件版本：固定为3.08）数据交换标准版本：固定为4.3.19）安全厂商信源标识：固定为83 公安三所xx服务器配置xx服务器配置：填写xx服务器的IP，端口已经默认为xx服务器分配给信锐的端口号，现场如 有变动确认清楚修改相应端口即可。具体名词解释：1）服务器地址：xx服务器的可通信地址2）TCP服务器端口： xx服务器TCP通信端3）UDP服务器端口： xx服务器UDP通信端4）心跳服务器端口： xx服务器UDP心跳保洁端口5）心跳本地端口：信锐设备UDP心跳保洁端口AP操作指导 AP配置激洁上线AP/AP设备基本信息配置AP工作模式配置无线网络配置启用客分析3.2.4注意事项 AP 工 作模式 需配置为 monitor 模式 厂商信息必须填写正确，参数可自修改