無線局域網(wǎng)入侵檢測現(xiàn)狀和要點分析

隨著無線技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，無線網(wǎng)絡(luò)正成為市場熱點，其中無線局域網(wǎng)(WLAN)正廣泛應(yīng)用于大學校園、各類展覽會、公司內(nèi)部乃至家用網(wǎng)絡(luò)等場合。但是，由于無線網(wǎng)絡(luò)的特殊性，攻擊者無須物理連線就可以對其進行攻擊，使 WLAN的安全問題顯得尤為突出。對于大部分公司來說，WLAN通常置于防火墻后，黑客一旦攻破防火墻就能以此為跳板，攻擊其他內(nèi)部網(wǎng)絡(luò)，使防火墻形同虛設(shè)。與此同時，由于WLAN國家標準WAPI的無限期推遲，IEEE 802.11網(wǎng)絡(luò)仍將為市場的主角，但因其安全認證機制存在極大安全隱患，無疑讓WLAN的安全狀況雪上加霜。因此，采用入侵檢測系統(tǒng)(IDS—— intrusion detection system)來加強WLAN的安全性將是一種很好的選擇。盡管入侵檢測技術(shù)在有線網(wǎng)絡(luò)中已得到認可，但由于無線網(wǎng)絡(luò)的特殊性，將其應(yīng)用于WLAN尚需進一步研究，本文通過分析WLAN的特點，提出可以分別用于有接入點模式WLAN和移動自組網(wǎng)模式WLAN的兩種入侵檢測模型架構(gòu)。

上面簡單描述了WLAN的技術(shù)發(fā)展及安全現(xiàn)狀。本文主要介紹入侵檢測技術(shù)及其應(yīng)用于WLAN時的特殊要點，給出兩種應(yīng)用于不同架構(gòu) WLAN的入侵檢測模型及其實用價值。需要說明的是，本文研究的入侵檢測主要針對采用射頻傳輸?shù)腎EEE802.11a/b/g WLAN，對其他類型的WLAN同樣具有參考意義。

1、WLAN概述

1.1 WLAN的分類及其國內(nèi)外發(fā)展現(xiàn)狀

對于WLAN，可以用不同的標準進行分類。根據(jù)采用的傳播媒質(zhì)，可分為光WLAN和射頻WLAN。光WLAN采用紅外線傳輸，不受其他通信信號的干擾，不會被穿透墻壁偷聽，而早發(fā)射器的功耗非常低;但其覆蓋范圍小，漫射方式覆蓋16m，僅適用于室內(nèi)環(huán)境，最大傳輸速率只有4 Mbit/s，通常不能令用戶滿意。由于光WLAN傳送距離和傳送速率方面的局限，現(xiàn)在幾乎所有的WLAN都采用另一種傳輸信號——射頻載波。射頻載波使用無線電波進行數(shù)據(jù)傳輸，IEEE 802.11采用2.4GHz頻段發(fā)送數(shù)據(jù)，通常以兩種方式進行信號擴展，一種是跳頻擴頻(FHSS)方式，另一種是直接序列擴頻(DSSS)方式。最高帶寬前者為3 Mbit/s，后者為11Mbit/s，幾乎所有的WLAN廠商都采用DSSS作為網(wǎng)絡(luò)的傳輸技術(shù)。根據(jù)WLAN的布局設(shè)計，通常分為基礎(chǔ)結(jié)構(gòu)模式WLAN和移動自組網(wǎng)模式WLAN兩種。前者亦稱合接入點(AP)模式，后者可稱無接入點模式。分別如圖1 和圖2所示。

圖1 基礎(chǔ)結(jié)構(gòu)模式WLAN

圖2 移動自組網(wǎng)模式WLAN

1.2 WLAN中的安全問題 WLAN的流行主要是由于它為使用者帶來方便，然而正是這種便利性引出了有線網(wǎng)絡(luò)中不存在的安全問題。比如，攻擊者無須物理連線就可以連接網(wǎng)絡(luò)，而且任何人都可以利用設(shè)備竊聽到射頻載波傳輸?shù)膹V播數(shù)據(jù)包。因此，著重考慮的安全問題主要有：

a)針對IEEE 802.11網(wǎng)絡(luò)采用的有線等效保密協(xié)議(WEP)存在的漏洞，進行破解攻擊。

b)惡意的媒體訪問控制(MAC)地址偽裝，這種攻擊在有線網(wǎng)中同樣存在。

C)對于含AP模式，攻擊者只要接入非授權(quán)的假冒AP，就可登錄欺騙合法用戶。

d)攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果嚴重的攻擊方式。此外，對移動自組網(wǎng)模式內(nèi)的某個節(jié)點進行攻擊，讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常稱為能源消耗攻擊。

e)在移動自組網(wǎng)模式的局域網(wǎng)內(nèi)，可能存在惡意節(jié)點，惡意節(jié)點的存在對網(wǎng)絡(luò)性能的影響很大。

2、入侵檢測技術(shù)及其在WLAN中的應(yīng)用

IDS可分為基于主機的入侵檢修系統(tǒng)(HIDS)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)。HIDS采用主機上的文件(特別是日志文件或主機收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包)作為數(shù)據(jù)源。HIDS最早出現(xiàn)于20世紀80年代初期，當時網(wǎng)絡(luò)拓撲簡單，入侵相當少見，因此側(cè)重于對攻擊的事后分析�，F(xiàn)在的 HIDS仍然主要通過記錄驗證，只不過自動化程度提高，且能做到精確檢測和快速響應(yīng)，并融入文件系統(tǒng)保護和監(jiān)聽端口等技術(shù)。與HIDS不同，NIDS采用原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，從中發(fā)現(xiàn)入侵跡象。它能在不影響使用性能的情況下檢測入侵事件，并對入侵事件進行響應(yīng)。分布式網(wǎng)絡(luò)IDS則把多個檢測探針分布至多個網(wǎng)段，最后通過對各探針發(fā)回的信息進行綜合分析來檢測入侵，這種結(jié)構(gòu)的優(yōu)點是管理起來簡單方便，單個探針失效不會導致整個系統(tǒng)失效，但配置過程復雜�；�礎(chǔ)結(jié)構(gòu)模式入侵檢測模型將采用這種分布式網(wǎng)絡(luò)檢測方法，而對于移動自組網(wǎng)模式內(nèi)的入侵檢測模型將采用基于主機的入侵檢測模型。

當前，對WLAN的入侵檢測大都處于試驗階段，比如開源入侵檢測系統(tǒng)Snort發(fā)布的Snort-wire-less測試版，增加了 Wifi協(xié)議字段和選項關(guān)鍵字，采用規(guī)則匹配的方法進行入侵檢測，其AP由管理員手工配置，因此能很好地識別非授權(quán)的假冒AP，在擴展AP時亦需重新配置。但是，由于其規(guī)則文件無有效的規(guī)則定義，使檢測功能有限，而且不能很好地檢測MAC地址偽裝和泛洪拒絕服務(wù)攻擊。2003年下半年，IBM提出 WLAN入侵檢測方案，采用無線感應(yīng)器進行監(jiān)測，該方案需要聯(lián)入有線網(wǎng)絡(luò)，應(yīng)用范圍有限而且系統(tǒng)成本昂貴，要真正市場化、實用化尚需時日。此外，作為概念模型設(shè)計的WIDZ系統(tǒng)實現(xiàn)了AP監(jiān)控和泛洪拒絕服務(wù)檢測，但它沒有一個較好的體系架構(gòu)，存在局限性。