無線安全工具分布在WLAN各處的傳感器上執(zhí)行安全分析,或者在一臺(tái)中央服務(wù)器中完成這項(xiàng)任務(wù),但是這兩種選擇都存在著缺點(diǎn)。在采用基于服務(wù)器的方法時(shí),原始數(shù)據(jù)由不同的傳感器回傳給一臺(tái)服務(wù)器,然后在這臺(tái)服務(wù)器上執(zhí)行高級(jí)分析,如多傳感器相互關(guān)聯(lián)。但是,來自成千上萬部傳感器的數(shù)據(jù),可能會(huì)令網(wǎng)絡(luò)癱瘓,并且需要使用服務(wù)器上的大量處理能力,從而使這類解決方案難于擴(kuò)展。
基于傳感器的方式,即大量的分析工作由傳感器完成,由于必須回傳給服務(wù)器的數(shù)據(jù)較少,所以可以更有效地使用帶寬,并因此具有更好的可伸縮性。但是,這種方法需要傳感器具有更大的處理能力和內(nèi)存,因而使這種方法在大規(guī)模部署時(shí)費(fèi)用過高。覆蓋范圍的重疊會(huì)造成相鄰的傳感器向服務(wù)器傳送多余的重復(fù)信息,而且這種方法不能檢測某些類型的攻擊,如需要多傳感器相互關(guān)聯(lián)才能發(fā)現(xiàn)的MAC地址欺詐。
一種實(shí)現(xiàn)無線網(wǎng)絡(luò)安全的混合方式,即分擔(dān)分析,解決了上述兩種方案存在的問題。分擔(dān)分析將用于第一階段分析的智能專用傳感器與處理復(fù)雜的數(shù)據(jù)分析和異常檢測的服務(wù)器組合在一起。以這種方式分散智能性可以提高檢測精確度、系統(tǒng)可伸縮性和管理簡單性。若想最大限度地提高安全效力,就必須了解哪些分析工作最適合傳感器完成,哪些最適合在服務(wù)器上完成。
通過分擔(dān)分析任務(wù),傳感器只需要執(zhí)行與攻擊或安全漏洞無關(guān)的普通任務(wù)。例如,傳感器可以監(jiān)測所有輸入的WLAN活動(dòng),從802.11、擴(kuò)展認(rèn)證協(xié)議、IP和UDP/TDP包頭提取服務(wù)組標(biāo)識(shí)符或地址等信息。重復(fù)的傳輸流可以在進(jìn)行回傳之前在傳感器上被識(shí)別和壓縮,從而節(jié)省大量的帶寬。
傳感器還采集關(guān)于信道、接收信號(hào)強(qiáng)度指示、噪音等指標(biāo)的元信息,并壓縮和加密數(shù)據(jù)。整個(gè)過程將與服務(wù)器進(jìn)行通信所需帶寬減少到1到3Kbps。因此,利用分擔(dān)分析,回程網(wǎng)絡(luò)可以擴(kuò)展到使來自成千上萬部遠(yuǎn)程部署的傳感器的WLAN監(jiān)視和分析信息相互關(guān)聯(lián)。
在采用分擔(dān)分析時(shí),服務(wù)器匯集由數(shù)千部傳感器產(chǎn)生的數(shù)據(jù),并利用復(fù)雜的異常檢測算法識(shí)別安全與性能異,F(xiàn)象。異常檢測算法對(duì)傳輸流進(jìn)行分析,查看它們是否對(duì)應(yīng)于某種攻擊或安全漏洞。服務(wù)器還將數(shù)據(jù)保存在一個(gè)記錄WLAN狀態(tài)的實(shí)時(shí)數(shù)據(jù)庫中,檢測算法頻繁使用這個(gè)數(shù)據(jù)庫。最后,服務(wù)器產(chǎn)生報(bào)警和包含詳細(xì)統(tǒng)計(jì)結(jié)果的數(shù)據(jù),從而使IT部門能夠立即采取相應(yīng)的行動(dòng)。
為使IT部門能夠輕松與迅速變化的威脅保持同步,用于無線入侵檢測系統(tǒng)(IDS)的分擔(dān)分析解決方案更新服務(wù)器上新的報(bào)警。由于傳感器只完成普通的任務(wù),因此不需要升級(jí)遠(yuǎn)程傳感器上的固件。因此,分擔(dān)分析方式管理起來要容易得多。
分擔(dān)分析通過將智能性分散到不同的系統(tǒng)上,減少了資源瓶頸,使高性能、低費(fèi)用的無線入侵檢測防御和分析成為可能。(美國《Network World》供本報(bào)專稿)