入侵检测系统在无线网络中的应用.docVIP

入侵检测系统在无线网络中的应用 　　摘要:简述了无线网络安全现状,分析了各种WLAN的安全威胁原因,阐述了伪AP的检测技术,提出了两种入侵检测系统架构,具有实用价值。入侵检测系统为支持无线访问的网络提供一道强有力的安全防线。 　　关键词:入侵检测系统;WLAN;IDS;AP 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)19-5199-03 　　随着无线网络技术的发展,无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。由于无线网络的特殊性,攻击者无须物理连线就可以对其进行攻击,使 WLAN的安全问题显得尤为突出。为了加强WLAN的安全性,大部分公司会使用如防火墙、VPN等第三方的安全产品,但是他们通常将WLAN置于防火墙之后,黑客一旦攻破WLAN就能以此为跳板,攻击其他内部网络,使防火墙形同虚设。因此,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于IEEE 802.11标准本身的安全问题而受到威胁。为了更好地检测和防御这些潜在的威胁,我们将利用入侵检测系统(Intrusion Detection System,IDS)为支持无线访问的网络提供一道强有力的安全防线。本文中我们将阐述伪AP(包括AP和STA)的检测技术,并给出了如何在基于Infrastructure架构的WLAN中实施入侵检测策略,防止黑客的攻击。 　　下面我们首先简要描述目前WLAN存在的主要安全问题,并针对这些与日俱增的安全威胁,如何将IDS应用到自己的安全网络设计中。 　　1 WLAN的安全现状 　　来自WLAN的安全威胁很多,如刺探、拒绝服务攻击、监视攻击、中间人(MITM)攻击、从客户机到客户机的入侵、伪AP,flooding攻击等,本文中仅研究了对伪AP的检测。伪 AP是现在WLAN中最大的安全威胁,黑客在WLAN中安放未经授权的AP或客户机提供对网络的无限制访问,通过欺骗得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(WAPS),随之而来的一些用户在网络上安装的后门程序,也造成了对黑客开放的不利环境。 　　1.1 伪设备的检测 　　通过侦听无线电波中的数据包来检测AP的存在,得到所有正在使用的AP,SSID和STA。要完成伪 AP的检测,需要在网络中放置如下部件:① 探测器Sensor/Probe,用于随时监测无线数据;② 入侵检测系统IDS,用于收集探测器传来的数据,并能判断哪些是伪 Device;③ 网络管理软件,用于与有线网络交流,判断出伪 Device接入的交换机端口,并能断开该端口。 　　为了发现AP,分布于网络各处的探测器能完成数据包的捕获和解析的功能,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统,这种方式称为RF扫描。某些AP能够发现相邻区域的AP,我们只要查看各AP的相邻AP。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。 　　发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是伪 AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。 　　1.2 伪STA的检测 　　伪STA是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户,管理员只要多注意他们的异常行为,就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。 　　如果客户发送长持续时间/ID的帧,其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介,如果客户持续不断地发送这样的长持续时间帧,这样就会使其他用户不能使用无线媒介而一直处于等待状态。 　　为了避免网络冲突,无线节点在一帧的指定时间内可以发送数据,根据802.11帧格式,在帧头的持续时间/ID域所指定的时间间隔内,为节点保留信道。网络分配矢量(NAV)存储该时间间隔值,并跟踪每个节点。只有当该持续时间值变为O后,其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包,其他节点就必须等待很长时间,不能接受服务,从而造成对其他节点的拒绝服务。 　　如果AP允许客户以任意SSID接入网络,这将给攻击者带来很大