背景
隨著無線技術和網絡技術的發展,無線網絡正成為市場熱點,然而隨著黑客技術的提高,無線局域網(WLAN)受到越來越多的威脅。無線網絡不但因為基于傳統有線網絡TCP/IP架構而受到攻擊,還有可能受到基于IEEE 802.11標準本身的安全問題而受到威脅。為了更好地檢測和防御這些潛在的威脅,本文中我們闡述了假冒設備(包括AP和Client)的檢測技術,并給出了如何在基于Infrastructure架構的WLAN中實施入侵檢測策略,防止黑客的攻擊。
1、WLAN的安全問題
來自WLAN的安全威脅很多,如刺探、拒絕服務攻擊、監視攻擊、中間人(MITM)攻擊、從客戶機到客戶機的入侵、Rogue AP,flooding攻擊等,本文中僅研究了對Rogue AP的檢測。Rogue AP是現在WLAN中最大的安全威脅,黑客在WLAN中安放未經授權的AP或客戶機提供對網絡的無限制訪問,通過欺騙得到關鍵數據。無線局域網的用戶在不知情的情況下,以為自己通過很好的信號連入無線局域網,卻不知已遭到黑客的監聽了。隨著低成本和易于配置造成了現在的無線局域網的流行,許多用戶也可以在自己的傳統局域網架設無線基站(WAPS),隨之而來的一些用戶在網絡上安裝的后門程序,也造成了對黑客開放的不利環境。
1.1 Rogue設備的檢測
通過偵聽無線電波中的數據包來檢測AP的存在,得到所有正在使用的AP,SSID和STA。要完成Rogue AP的檢測,需要在網絡中放置如下部件:①探測器Sensor/Probe,用于隨時監測無線數據;②入侵檢測系統IDS,用于收集探測器傳來的數據,并能判斷哪些是Rogue Device;③網絡管理軟件,用于與有線網絡交流,判斷出Rogue Device接入的交換機端口,并能斷開該端口。
為了發現AP,分布于網絡各處的探測器能完成數據包的捕獲和解析的功能,它們能迅速地發現所有無線設備的操作,并報告給管理員或IDS系統,這種方式稱為RF掃描。某些AP能夠發現相鄰區域的AP,我們只要查看各AP的相鄰AP。當然通過網絡管理軟件,比如SNMP,也可以確定AP接入有線網絡的具體物理地址。
發現AP后,可以根據合法AP認證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關參數,那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認為是非法AP。
1.2 Rogue Client的檢測
Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶,管理員只要多注意他們的異常行為,就不難識別假冒客戶。其異常行為的特征主要有:①發送長持續時間(Duration)幀;②持續時間攻擊;③探測“any SSID”設備;④非認證客戶。
如果客戶發送長持續時間/ID的幀,其他的客戶必須要等到指定的持續時間(Duration)后才能使用無線媒介,如果客戶持續不斷地發送這樣的長持續時間幀,這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態。
為了避免網絡沖突,無線節點在一幀的指定時間內可以發送數據,根據802.11幀格式,在幀頭的持續時間/ID域所指定的時間間隔內,為節點保留信道。網絡分配矢量(NAV)存儲該時間間隔值,并跟蹤每個節點。只有當該持續時間值變為O后,其他節點才可能擁有信道。這迫使其他節點在該持續時間內不能擁有信道。如果攻擊者成功持續發送了長持續時間的數據包,其他節點就必須等待很長時間,不能接受服務,從而造成對其他節點的拒絕服務。
如果AP允許客戶以任意SSID接入網絡,這將給攻擊者帶來很大的方便,如果發現有客戶以任意SSID方式連接,就很可能是攻擊者,管理員應該更改AP的設置,禁止以任意SSID方式接入。如果假冒客戶在合法客戶認證列表中出現,可以根據客戶MAC地址和設備供應商標識進行判斷,如果NIC的MAC地址或Vendor標識未在訪問控制列表中,則可能是非法客戶。
2、無線網絡攻擊的防御
當識別出假冒AP之后,應該立即采取的措施就是阻斷該AP的連接,有以下方式可以阻斷AP連接:(1)采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務;(2)網絡管理員利用網絡管理軟件,確定該非法AP的物理連接位置,從物理上斷開;(3)檢測出非法AP連接在交換機的端口,并禁止該端口。可以利用無線網絡管理軟件來完成該任務。一旦假冒AP被確認,管理軟件查找該AP的MAC地址,然后根據該MAC地址,找到其連接在交換機的哪個端口,從而斷開或阻斷所有通過該端口的網絡流量。這能自動阻止客戶連接到該假冒AP,而轉為向其他相鄰AP進行連接。這是一種最有效的方法。
對于Rogue客戶,當確認客戶為非法客戶時,網絡管理員可以斷開其網絡連接。通常的做法是把非法客戶的MAC地址從AP的訪問控制列表(ACL)中去除,ACL決定哪些MAC地址可以接入網絡,那些不能接入網絡。
2.1 IDS的應用
入侵檢測系統(IDS)通過分析網絡中的傳輸數據來判斷破壞系統和入侵事件。在一些情況下,簡單地使用防火墻或者認證系統也可以被攻破。入侵檢測就是以這種技術,對未經授權的連接企圖做出反應,甚至可以抵御部分可能的入侵。IETF的ID-WG將一個入侵檢測系統分為4個組件:事件產生器、事件分析器、響應單元、事件數據庫。傳統的有線網絡中IDS基本框架如圖1所示。
![]("/uploadfile/200611/20061128093728741.jpg")
圖1 入侵檢測系統通用框架
測試
放置在網絡中的探測器檢測到異常,產生一個事件,報告給分析器,通過分析后產生一個告警信息報告給管理器。管理員決定如何操作,并對事件做出響應。我們把傳統網絡中的IDS技術應用于無線網絡,以期增強無線網絡抵御攻擊的能力。
我們在試驗環境下,搭建了基于Infrastructure結構的WLAN網絡,用于測試IDS的性能。
該檢測系統是基于網絡的入侵檢測系統(NIDS),如圖2所示。網絡管理員中心控制臺配置檢測代理和瀏覽檢測結果,并進行關聯分析。監測代理的作用是監聽數據包,利用檢測引擎進行檢測,記錄警告信息,并將警告信息發送至中心控制臺。Probe的作用是捕獲無線數據包,并發往監測代理。
![]("/uploadfile/200611/20061128093937388.jpg")
圖2 含AP模式的入侵檢測系統
2.2 測試結果
我們用開源IDS系統WIDZ來進行入侵檢測,用非授權用戶對網絡進行攻擊(偽造MAC地址),記錄的檢測告警信息如下:
Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff
mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000
Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1
ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO
Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1
00904b063d74 mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OOOOOO000000
A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000
Alert NON whitelist mac essid Wireless_packet_type Association Request mac1
0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000000000000
Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265
可見,已經識別出未在ACL表中列出的合法設備的MAC地址,即可能是假冒設備。剩下事情就是查找該設備并斷開它。
3、結論
無線網絡由于其傳輸媒介的特殊性以及802.11標準本身的缺陷,具有很多安全問題,本文中,我們從技術角度剖析了無線網絡中特有的假冒攻擊問題,提出了解決方法,并給出了一個保證無線網絡安全的入侵檢測方案。當然,無線網絡中的安全威脅很多,這有待于我們更進一步的研究。
