基于無線網(wǎng)絡(luò)的入侵檢測

摘要　無線網(wǎng)絡(luò)的安全問題越來越突出，而無線網(wǎng)絡(luò)中的Rogue攻擊技術(shù)更是無線網(wǎng)絡(luò)中有別于有線網(wǎng)絡(luò)的特殊情況。在分析Rogue設(shè)備的檢測原理及技術(shù)基礎(chǔ)上給出了一個在WLAN環(huán)境下的入侵檢測方案，此方案能防止黑客攻擊。

關(guān)鍵詞　無線網(wǎng)絡(luò)　入侵檢測系統(tǒng)　Rogue AP　Rogue Client

0、引言

　　隨著無線技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，無線網(wǎng)絡(luò)正成為市場熱點，然而隨著黑客技術(shù)的提高，無線局域網(wǎng)（WLAN）受到越來越多的威脅。無線網(wǎng)絡(luò)不但因為基于傳統(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于IEEE 802.11標準本身的安全問題而受到威脅。為了更好地檢測和防御這些潛在的威脅，本文中我們闡述了假冒設(shè)備（包括AP和Client）的檢測技術(shù)，并給出了如何在基于Infrastructure架構(gòu)的WLAN中實施入侵檢測策略，防止黑客的攻擊。

1、WLAN的安全問題

　　來自WLAN的安全威脅很多，如刺探、拒絕服務(wù)攻擊、監(jiān)視攻擊、中間人（MITM）攻擊、從客戶機到客戶機的入侵、Rogue AP，flooding攻擊等，本文中僅研究了對Rogue AP的檢測。Rogue AP是現(xiàn)在WLAN中最大的安全威脅，黑客在WLAN中安放未經(jīng)授權(quán)的AP或客戶機提供對網(wǎng)絡(luò)的無限制訪問，通過欺騙得到關(guān)鍵數(shù)據(jù)。無線局域網(wǎng)的用戶在不知情的情況下，以為自己通過很好的信號連入無線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。隨著低成本和易于配置造成了現(xiàn)在的無線局域網(wǎng)的流行，許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無線基站（WAPS），隨之而來的一些用戶在網(wǎng)絡(luò)上安裝的后門程序，也造成了對黑客開放的不利環(huán)境。

　　1.1　Rogue設(shè)備的檢測

　　通過偵聽無線電波中的數(shù)據(jù)包來檢測AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的檢測，需要在網(wǎng)絡(luò)中放置如下部件：①探測器Sensor/Probe，用于隨時監(jiān)測無線數(shù)據(jù)；②入侵檢測系統(tǒng)IDS，用于收集探測器傳來的數(shù)據(jù)，并能判斷哪些是Rogue Device；③網(wǎng)絡(luò)管理軟件，用于與有線網(wǎng)絡(luò)交流，判斷出Rogue Device接入的交換機端口，并能斷開該端口。

　　為了發(fā)現(xiàn)AP，分布于網(wǎng)絡(luò)各處的探測器能完成數(shù)據(jù)包的捕獲和解析的功能，它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作，并報告給管理員或IDS系統(tǒng)，這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP，我們只要查看各AP的相鄰AP。當然通過網(wǎng)絡(luò)管理軟件，比如SNMP，也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。

　　發(fā)現(xiàn)AP后，可以根據(jù)合法AP認證列表（ACL）判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù)，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor（提供商）、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor（提供商）、無線媒介類型或者信道異常，就可以認為是非法AP。

　　1.2　Rogue Client的檢測

　　Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶，管理員只要多注意他們的異常行為，就不難識別假冒客戶。其異常行為的特征主要有：①發(fā)送長持續(xù)時間（Duration）幀；②持續(xù)時間攻擊；③探測“any SSID”設(shè)備；④非認證客戶。

　　如果客戶發(fā)送長持續(xù)時間/ID的幀，其他的客戶必須要等到指定的持續(xù)時間（Duration）后才能使用無線媒介，如果客戶持續(xù)不斷地發(fā)送這樣的長持續(xù)時間幀，這樣就會使其他用戶不能使用無線媒介而一直處于解關(guān)聯(lián)狀態(tài)。

　　為了避免網(wǎng)絡(luò)沖突，無線節(jié)點在一幀的指定時間內(nèi)可以發(fā)送數(shù)據(jù)，根據(jù)802.11幀格式，在幀頭的持續(xù)時間/ID域所指定的時間間隔內(nèi)，為節(jié)點保留信道。網(wǎng)絡(luò)分配矢量（NAV）存儲該時間間隔值，并跟蹤每個節(jié)點。只有當該持續(xù)時間值變?yōu)镺后，其他節(jié)點才可能擁有信道。這迫使其他節(jié)點在該持續(xù)時間內(nèi)不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長持續(xù)時間的數(shù)據(jù)包，其他節(jié)點就必須等待很長時間，不能接受服務(wù)，從而造成對其他節(jié)點的拒絕服務(wù)。

　　如果AP允許客戶以任意SSID接入網(wǎng)絡(luò)，這將給攻擊者帶來很大的方便，如果發(fā)現(xiàn)有客戶以任意SSID方式連接，就很可能是攻擊者，管理員應(yīng)該更改AP的設(shè)置，禁止以任意SSID方式接入。如果假冒客戶在合法客戶認證列表中出現(xiàn)，可以根據(jù)客戶MAC地址和設(shè)備供應(yīng)商標識進行判斷，如果NIC的MAC地址或Vendor標識未在訪問控制列表中，則可能是非法客戶。

2、無線網(wǎng)絡(luò)攻擊的防御

　　當識別出假冒AP之后，應(yīng)該立即采取的措施就是阻斷該AP的連接，有以下方式可以阻斷AP連接：（1）采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務(wù)；（2）網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法AP的物理連接位置，從物理上斷開；（3）檢測出非法AP連接在交換機的端口，并禁止該端口。可以利用無線網(wǎng)絡(luò)管理軟件來完成該任務(wù)。一旦假冒AP被確認，管理軟件查找該AP的MAC地址，然后根據(jù)該MAC地址，找到其連接在交換機的哪個端口，從而斷開或阻斷所有通過該端口的網(wǎng)絡(luò)流量。這能自動阻止客戶連接到該假冒AP，而轉(zhuǎn)為向其他相鄰AP進行連接。這是一種最有效的方法。

　　對于Rogue客戶，當確認客戶為非法客戶時，網(wǎng)絡(luò)管理員可以斷開其網(wǎng)絡(luò)連接。通常的做法是把非法客戶的MAC地址從AP的訪問控制列表（ACL）中去除，ACL決定哪些MAC地址可以接入網(wǎng)絡(luò)，那些不能接入網(wǎng)絡(luò)。

　　2.1　IDS的應(yīng)用

　　入侵檢測系統(tǒng)（IDS）通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件。在一些情況下，簡單地使用防火墻或者認證系統(tǒng)也可以被攻破。入侵檢測就是以這種技術(shù)，對未經(jīng)授權(quán)的連接企圖做出反應(yīng)，甚至可以抵御部分可能的入侵。IETF的ID-WG將一個入侵檢測系統(tǒng)分為4個組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。傳統(tǒng)的有線網(wǎng)絡(luò)中IDS基本框架如圖1所示。


圖1　入侵檢測系統(tǒng)通用框架

　　放置在網(wǎng)絡(luò)中的探測器檢測到異常，產(chǎn)生一個事件，報告給分析器，通過分析后產(chǎn)生一個告警信息報告給管理器。管理員決定如何操作，并對事件做出響應(yīng)。我們把傳統(tǒng)網(wǎng)絡(luò)中的IDS技術(shù)應(yīng)用于無線網(wǎng)絡(luò)，以期增強無線網(wǎng)絡(luò)抵御攻擊的能力。

　　我們在試驗環(huán)境下，搭建了基于Infrastructure結(jié)構(gòu)的WLAN網(wǎng)絡(luò)，用于測試IDS的性能。

　　該檢測系統(tǒng)是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS），如圖2所示。網(wǎng)絡(luò)管理員中心控制臺配置檢測代理和瀏覽檢測結(jié)果，并進行關(guān)聯(lián)分析。監(jiān)測代理的作用是監(jiān)聽數(shù)據(jù)包，利用檢測引擎進行檢測，記錄警告信息，并將警告信息發(fā)送至中心控制臺。Probe的作用是捕獲無線數(shù)據(jù)包，并發(fā)往監(jiān)測代理。


圖2　含AP模式的入侵檢測系統(tǒng)

　　2.2　測試結(jié)果

　　我們用開源IDS系統(tǒng)WIDZ來進行入侵檢測，用非授權(quán)用戶對網(wǎng)絡(luò)進行攻擊（偽造MAC地址），記錄的檢測告警信息如下：

　　Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff

　　mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000

　　Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1

　　ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO

　　Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1

　　00904b063d74　mac2　0030ab1b9bcc　mac3 0030ab1b9bcc mac4 OOOOOO000000

　　A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc

　　mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000

　　Alert NON whitelist mac essid Wireless_packet_type Association Request mac1

　　0030ab1b9bcc　mac2　00904b063d74 mac3 0030ab1b9bcc mac4 000000000000

　　Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc

　　mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265

　　可見，已經(jīng)識別出未在ACL表中列出的合法設(shè)備的MAC地址，即可能是假冒設(shè)備。剩下事情就是查找該設(shè)備并斷開它。

3、結(jié)論

　　無線網(wǎng)絡(luò)由于其傳輸媒介的特殊性以及802.11標準本身的缺陷，具有很多安全問題，本文中，我們從技術(shù)角度剖析了無線網(wǎng)絡(luò)中特有的假冒攻擊問題，提出了解決方法，并給出了一個保證無線網(wǎng)絡(luò)安全的入侵檢測方案。當然，無線網(wǎng)絡(luò)中的安全威脅很多，這有待于我們更進一步的研究。

　　參考文獻：

　　[1]　Draft-ietf-idwg-requirements-10.txt.Intrusion Detection Message Exchange Requirements[EB/OL].[2006-02-25].http：//iet-freport.isoc.org/a11-ids/draft-ietf-idwg-re-quirements-1O.txt

　　[2]　STEFAN A. Intrusion Detection Systems：A Survey and Taxonomy[EB/OL].[2006-02-26].http：//www.mnlab.cs.depaul.edu/seminar/spr2003/IDSSurvey.pdf.

　　[3]　MAZDA S，JULIE H. Intrusion Detection in 802.11 Wireless Local Area Networks[EB/OL].[2006-03-02].http：//www.ottawa.drdc-rddc.gc.ca/docs/e/TM2004-120.pdf.

　　[4]　ANAND D. Rogue Detection and Blocking [EB/OL].[2006-03-05].http：//www.adventnet.com.

　　[5]　蔣見春，馮登國.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京：國防工業(yè)出版社，2001.

　　[6]　唐正軍 網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京：電子工業(yè)出版社，2002.