基本介紹
- 中文名:無線入侵檢測
- 初識無線:檢測非法的網路行為
- 安全威脅:無線區域網路(容易受到各種威脅
- 入侵檢測架構:初識無線入侵檢測系統
初識無線IDS,來自WLAN的安全威脅,欺騙,DDos 拒絕服務攻擊,另外一種威脅,入侵檢測架構,初識無線入侵檢測系統,物理回應,策略執行,威脅檢測,無線IDS的缺陷,
初識無線IDS
入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今,入侵檢測系統已用於無線區域網路,來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。
無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。如今,在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如:自由軟體開放原始碼組織的Snort-Wireless 和WIDZ 。
現在隨著黑客技術的提高,無線區域網路(WLANs)受到越來越多的威脅。配置無線基站(WAPs)的失誤導致會話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網路的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊,還有可能受到基於國際電氣和電子工程師協會 (IEEE) 發行802.11標準本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅,無線區域網路也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。本文將為你講述,為什麼需要無線入侵檢測系統,無線入侵檢測系統的優缺點等問題。
來自WLAN的安全威脅
無線區域網路(WLAN)容易受到各種各樣的威脅。像802.11標準的加密方法和有線對等保密(Wired Equivalent Privacy)都很脆弱。在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線區域網路中,黑客也能通過解密得到關鍵數據。
欺騙
黑客通過欺騙(rogue)WAP得到關鍵數據。無線區域網路的用戶在不知情的情況下,以為自己通過很好的信號連入無線區域網路,卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網路的流行,許多用戶也可以在自己的傳統區域網路架設無線基站(WAPs),隨之而來的一些用戶在網路上安裝的後門程式,也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統區域網路用戶也同樣面臨著遭到黑客的監聽的威脅。
DDos 拒絕服務攻擊
而基於802.11標準的網路還有可能遭到拒絕服務攻擊(DoS)的威脅,從而使得無線區域網路難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減,這些威脅包括:樹,建築物,雷雨和山峰等破壞無線通訊的物體。象微波爐,無線電話也可能威脅基於802.11標準的無線網路。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外,黑客還能通過上文提到的欺騙WAP傳送非法請求來干擾正常用戶使用無線區域網路。目前主要的拒絕服務攻擊類型包括:關聯風暴、認證風暴、解除認證風暴和解除關聯風暴。其中關聯風暴和認證風暴會消耗無線基站的資源導致無線基站無法對正常的請求進行相應,解除認證風暴和解除關聯風暴通過同時向客戶端和無線基站傳送偽造數據包,拆解雙方正常通信鏈路,達到破壞通信的目的。
另外一種威脅
另外一種威脅無線區域網路的是ever-increasing pace。這種威脅確實存在,並可能導致大範圍地破壞,這也正是讓802.11標準越來越流行的原因。對於這種攻擊,現在暫時還沒有好的防禦方法,但我們會在將來提出一個更好的解決方案。
入侵檢測架構
初識無線入侵檢測系統
無線入侵檢測系統用於集中式和分散式兩種。
集中式無線入侵檢測系統通常用於連線單獨的sensors(探測器:俗稱探頭) ,蒐集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線區域網路,因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以,多執行緒的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。
無線區域網路通常被配置在一個相對大的場所。像這種情況,為了更好的接收信號,需要配置多個無線基站(WAPs),在無線基站的位置上部署sensors,這樣會提高信號的覆蓋範圍。由於這種物理架構,大多數的黑客行為將被檢測到。另外的優點就是加強了同無線基站(WAPs)的距離,從而,能更好地定位黑客的詳細地理位置。
物理回應
物理定位是無線入侵檢測系統的一個重要的部分。針對802.11 的攻擊經常在接近下很快地執行,因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP,而且,一定要及時。不同於傳統的區域網路,黑客可以攻擊的遠程網路,無線區域網路的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。一旦確定攻擊者的目標,搜尋範圍縮小,網路安全的特別反應小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者。
策略執行
威脅檢測
無線入侵檢測系統不但能檢測出攻擊者的行為,還能檢測到rogue WAPS,識別出未加密的802.11標準的數據流量。
為了更好的發現潛在的 WAP 目標,黑客通常使用掃描軟體,如Netstumbler 和Kismet這樣的軟體,來使用全球衛星定位系統(Global Positioning System )來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。
比探測掃描更嚴重的是,無線入侵檢測系統檢測到的DoS攻擊,DoS攻擊在網路上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線區域網路進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為,象偽造合法用戶進行泛洪攻擊等。