wifi嗅探解决方案v01.docx

1、wifi嗅探解决方案v01Wi Fi 嗅探解决方案一、 Wi-Fi 嗅探背景1.1社会背景随着互联网时代的迅速发展，无线网络的需求在人们生活中越来越高，无线网在人们生活 中、各个行业、各个领域发挥的作用也越来越大，在安防监控领域也发挥着很大的作用。随着国 家治安力度的加大， 国内治安标准的提高， 公安部需要采取更加精细化的管理和监控， 为了便加 强对于现代化城市的管理，打击违法犯罪行为，公安部决定加强对 Wi-Fi 嗅探的建设。1.2功能需求1.2.1 终端特征采集设备技术要求采集对象含有 WIFI 上网功能模块的终端设备；热点。终端设备采集内容终端MAC地址、终端品牌（可为空）、终端历史 S

2、SID列表（可为空）、采集时间、被采集终端场强、身份类型（可为空）、身份内容（可为空）、接入热点 SSID （可选）、接入热点 MAC（可选）、接入热点频道（可选）、接入热点加密类型（可选）、 X坐标（可选）、丫坐标（可选）、场所编号、设备编号、采集设备经度、采集设备纬度。被采集热点的信息内容：热点MAC地址、热点SSID热点频道、热点加密类型、采集时间、热点场强、X坐标（可 选）、 丫 坐标（可选）、场所编号、设备编号、采集设备经度、采集设备纬度。采集协议基于 IEEE802.11b/g/n 协议的无线设备信息； 可扩展采集支持 IEEE802.11a/ac 协议的无线 设备信息。采集环境设

3、备处于开放网络或各种加密网络的环境； 设备处于 2.4G 网络的环境； 可扩展支持设备处 于 5.8G 网络的环境。采集信道应采集 WIFI 网络设备全部信道的信息。采集数据上传上传途径：应将采集到的信息数据上传至管控后台，上传途径包括有线、 WIFI无线、3G/4G等其中的一种或多种。上传安全：应能保证采集设备和管控后台之间数据传输的一致性、完整性、保密性其他功能要求采集间隔时间调整；时间同步；远程维护；软件自动升级。自身安全要求鉴别初始化；鉴别数据保护。1.2.2前端硬件设备技术要求室外采集设备技术要求a） 环境适应性工作温度：-20 C70C;工作湿度：10%-95% 防护等级：GB42

4、08标准定义的IP67中关 于防水的防护等级；防雷要求： POE网络口防雷差模不低于 1.5KV，共模不低于6KV;电磁 兼容性要求：满足 GB9254标准中B类产品及GB/T17626.X相关测试等级要求。b） 采集性能无线终端设备，打开 WIFI功能，保持开屏或锁屏的操作状态，在不去除不发包终端的情况下统 计最终结果，设备并发处理能力不低于 2000个报文/秒。室外采集设备性能要求移动速度采集MACM端成功率（开屏）采集MACM端成功率（锁屏）备注10公里/小时60%25%行走速度20公里/小时50%20%十字路口行驶速度40公里/小时40%15%公共汽车市内行驶速度60公里/小时30%1

5、0%小汽车市内行驶速度室内采集设备技术需求a） 环境需求：工作温度： 0 C45 C；工作湿度：10%85%b） 采集性能：无线终端设备，打开 WIFI功能，保持开屏或锁屏的操作状态，在不去除不发包终端的情况下统计最终结果，备并发处理能力不低于 2000个报文/秒。室内采集设备性能要求停留时间采集MAC终端成功率（开屏）采集MAC终端成功率（锁屏）1分钟80%30%2分钟/50%5分钟/70%10分钟/80%采集数据回传及时性在传输网络正常情况下，采集设备采集到的数据应在 30秒内回传至后台管控中心。1.3场景需求场景需求公共区域（机场、地铁站、火车站）商业综合体（商场、超市）酒店（楼道、房间

6、）写字楼（公共区、办公区）1.3.2室外场景需求城市（十字路口、街道）校园公共场所（校园、教学楼）园林、景区球场、广场二、信锐 Wi-Fi嗅探解决方案2.1信锐嗅探AP基本参数2.1.1硬件参数支持频段支持802.11b/g/n 的2.4G频段全信道采集，支持 802.11ac的5.8G频段全信道采集AP接口以太网口： 1*10/100/1000Mbps ； Console 口： 1 个 RJ45 口； PoE:支持802.3af/802.3at 兼容供电防护能力室内：IP41丨室外：IP:68扫描能力室内30-50米丨室外全向型： 200-300米；定向型500米设备功耗13W（室内）丨 8

7、0% 30%2分钟 90% 50%5分钟 90% 70%10分钟 90% 80%222室外覆盖方案使用场景十字路口，街道，校园，社区，停车场，广场，球场等室外区域型号选择信锐嗅探NAP-7600（双频段嗅探）实现功能采集内容类别米集内容终端采集终端MAC地址；米集时间；终端 SSID；终端信号强度；终；端系统类型；终端信息类型设备信息采集设备经度；采集设备纬度；采集设备编号场所无线控制器（AC）所在地、所在街道、街道详细地址、街道类型、街道经度、街 |基本道纬度（以上信息可事先录入到系统）信息室外采集设备性能移动速度采集MAC终端成功率采集MAC终端成功率备注（开屏）（锁屏）10公里/小时 6

8、0% 25%行走速度20公里/小时 50% 20%十字路口行驶速度40公里/小时 40% 15%公共汽车市内行驶速度60公里/小时 30% 10%小汽车市内行驶速度2.3信锐嗅探AP网络安全方案在嗅探AP接收报文并把嗅探到的信息回传给控制器时，有可能出线数据泄漏或者黑客截获数据的情况，因为我们通过数据加密和报文监听隐藏功能，保障嗅探数据的安全性。保护无线链路数据的私密性， 是所有无线网络均需要面对的挑战。 与有线网络不同，只要持有适当的接收设备，任何人均可以被动监听帧且加以分析。为了避免数据沦落到“不对的”人手中，必须对数据进行加密，防止数据被攻击者取得。WLAN 提供了一系列的加密协议， 只

9、允许拥有密钥的授权用户访问数据， 同时确保数据在传输过程中未遭篡改。数据加密方式NAC支持两种数据加密方式：1临时密钥完整性协议 （TKIP）；2、计数器模式密码块链消息完整码协议（ CCMP。2.3.2报文监听隐藏嗅探功能是通过接收终端发送的报文， 并通过接收报文读取终端信息的功能， 但是不法分子往往会通过嗅探信号对内网进行攻击窃取资料。为了防止此类事情的发生，信锐嗅探 AP带有报文监听隐藏功能，嗅探 AP截取终端发送信息的同时，不向终端发送任何报文从而达到监听隐藏的目的，保证了嗅探信息安全性。2.4信锐嗅探AP管理维护方案2.4.1 嗅探AP统一集中管理AP分组集中管理所有嗅探AP统一由无

10、线控制器进行集中管理，由控制器统一下发配置，一次配置一次性下发， 嗅探AP端零配置；嗅探AP支持分组管理，最多支持 9级分组，方便大型网络对嗅探数据的管理维护。在控制器上可统一查看所有嗅探 AP的运行情况（如嗅探 AP接入用户信息、设备利用率、嗅探AP在线情况等）。2.4.2嗅探 AP 可视化管理自定义地图，可以导入背景图，方便管理员实时查看嗅探 AP的运行状态；在地图上可以查看嗅探 AP 的位置等信息。2.4.3 我们的售后承诺三十分钟问题必应客户有问题反馈给厂家工程师，信锐客服 30 分钟之内响应，并给出解决方案；嗅探AP 一年之内包换一年之内嗅探AP岀现硬件故障，信锐承诺直接更换新嗅探

11、AP,客户不用担心维修周期会耽 误时间，影响业务，或者维修后是否稳定的问题；好件先行提供好件先行服务，即岀现故障从最近的备件库直接发备件到客户现场；小时级备件库23个当地办事处备件库 +5 个大区级别备件库；提供小时级的备件服务。三、信锐 Wi-Fi 嗅探设备部署方案3.1 嗅探设备安装指南室外嗅探AP安装在天网视频杆上，采用抱杆安装需考虑桩杆的粗细，便于选择安装配件，安装 高度尽量低于探头水平高度，高于易攀爬位置。室外嗅探AP采用POE注入供电的方式，将交换机和POE注入器放在室内或者变电站等室内区域， 接六类双绞线到室外嗅探 AP。室内嗅探AP采取了普通 POE共电方式，原理与上大致相同。

12、3.1.2安装必备条件设备供电户外型设备安装点必须要能取电， 一般将交换机放在室内， POE注入器从路灯电线杆的弱电挂箱取电，部分交通卡口的弱电箱， 安装在地面。支持交流220V,通过双绞线对嗅探 AP进行供电。数据传输嗅探AP通过有线网络实现数据回传，复用弱电箱里面的路由交换网络和线路，故弱电箱里面的 交换机需要有闲置的多余的 RJ45端口。控制交换机设备需要分配 IP 地址，数据汇聚点服务器需要分配 IP 地址， 所有控制交换机设备需要与数据汇聚点服务器进行 IP 通信。3.1.3 图片实例3.2嗅探设备配置指南实现目标嗅探AP定时上报扫描到的终端信息， 包括扫描到终端的 APMAC终端的

13、MAC地址、岀现时间等；嗅探AC收集AP上报信息，打包通过公网传输给公安三所的 xx服务器，进行审计。3.2.2控制器基本配置嗅探AP设备基础信息备注：进入接入点配置 无线接入点，点击具体 AP,查看嗅探AP设备基础信息，可添加 AP所在位置的经纬度以及所在楼层或者具体位置信息。场所配置场所配置：填写的是无线控制器（ AC所在地即xx分行营业部的场所信息。如下信息以上海嗅探的无线控制器所在地上海分行营业部为例具体名词解释：1） 上网服务场所行政区域编码：无线控制器（ AC所在地，即xx分行营业部机房所在地市区域2） 上网服务场所名称：无线控制器（ AC）所在场所，如：xx分行营业部3） 场所详

14、细地址：无线控制器（ AC）具体地理位置，xx市xx新区xx路xx号4） 场所服务类型：金融服务场所5） 场所经营性质：非经营6） 场所经度：xx分行营业部所在经度7） 场所纬度：xx分行营业部所在纬度8） 场所经营法人：xx分行负责人9） 经营法人有效证件类型：选择证件类型10） 经营法人有效证件号码：证件号码11） 联系方式：联系方式，手机或者固话12） 营业开始时间：分行营业部运营每天开始时间13） 营业结束时间：分行营业部运营每天结束时间14） 场所网络接入方式：选择无线控制器公网的连接方式15）场所网络接入服务商：选择无线控制器公网岀口对应的运营商16） 网络接入账号或固定 IP地址

15、：选择无线控制器公网岀口的 IP地址17） 场所顺序号：保持默认即可厂商配置厂商配置：配置设备厂商信息， 其中厂商软件版本、 数据交换标准版本和安全厂商信源标识都是向派博备案的信锐安全厂商信息，如有需要可修改具体名词解释：1） 厂商组织机构代码：固定为 ven dor_sf2） 厂商名称：深圳市信锐网络技术有限公司3） 厂商地址：深圳市南山区学苑大道 1001号南山智园A1栋4） 厂商联系人：厂商联系人姓名5） 联系人电话：厂商联系人电话6） 电子邮件地址：厂商联系人邮箱7） 安全厂商软件版本：固定为 3.08） 数据交换标准版本：固定为 4.3.19） 安全厂商信源标识：固定为 83公安三所XX服务器配置XX服务器配置：填写 XX服务器的IP，端口已经默认为 XX服务器分配给信锐的端口号，现场如 有变动确认清楚修改相应端口即可。具体名词解释：1） 服务器地址：XX服务器的可通信地址2） TCP服务器端口： xx服务器TCP通信端口3） UDP服务器端口： xx服务器UDP通信端口4） 心跳服务器端口： xx服务器UDP心跳保活端口5） 心跳本地端口：信锐设备 UDP心跳保活端口AP操作指导AP配置激活上线AP/AP设备基本信息配置AP工作模式配置无线网络配置启用客流分析324注意事项AP工作模式需配置为 monitor模式厂商信息必须填写正确，参数不可自行修改