2、無(wú)線網(wǎng)絡(luò)攻擊的防御
當(dāng)識(shí)別出假冒AP之后,應(yīng)該立即采取的措施就是阻斷該AP的連接,有以下方式可以阻斷AP連接:(1)采用DoS攻擊的辦法,迫使其拒絕對(duì)所有客戶的無(wú)線服務(wù);(2)網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件,確定該非法AP的物理連接位置,從物理上斷開;(3)檢測(cè)出非法AP連接在交換機(jī)的端口,并禁止該端口。可以利用無(wú)線網(wǎng)絡(luò)管理軟件來(lái)完成該任務(wù)。一旦假冒AP被確認(rèn),管理軟件查找該AP的MAC地址,然后根據(jù)該MAC地址,找到其連接在交換機(jī)的哪個(gè)端口,從而斷開或阻斷所有通過(guò)該端口的網(wǎng)絡(luò)流量。這能自動(dòng)阻止客戶連接到該假冒AP,而轉(zhuǎn)為向其他相鄰AP進(jìn)行連接。這是一種最有效的方法。
對(duì)于Rogue客戶,當(dāng)確認(rèn)客戶為非法客戶時(shí),網(wǎng)絡(luò)管理員可以斷開其網(wǎng)絡(luò)連接。通常的做法是把非法客戶的MAC地址從AP的訪問(wèn)控制列表(ACL)中去除,ACL決定哪些MAC地址可以接入網(wǎng)絡(luò),那些不能接入網(wǎng)絡(luò)。
2.1 IDS的應(yīng)用
入侵檢測(cè)系統(tǒng)(IDS)通過(guò)分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來(lái)判斷破壞系統(tǒng)和入侵事件。在一些情況下,簡(jiǎn)單地使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測(cè)就是以這種技術(shù),對(duì)未經(jīng)授權(quán)的連接企圖做出反應(yīng),甚至可以抵御部分可能的入侵。IETF的ID-WG將一個(gè)入侵檢測(cè)系統(tǒng)分為4個(gè)組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。傳統(tǒng)的有線網(wǎng)絡(luò)中IDS基本框架如圖1所示。
![""]("http://netsecurity.51cto.com/files/uploadimg/20060830/1055060.jpg")
498)this.style.width=498;">
圖1 入侵檢測(cè)系統(tǒng)通用框架
放置在網(wǎng)絡(luò)中的探測(cè)器檢測(cè)到異常,產(chǎn)生一個(gè)事件,報(bào)告給分析器,通過(guò)分析后產(chǎn)生一個(gè)告警信息報(bào)告給管理器。管理員決定如何操作,并對(duì)事件做出響應(yīng)。我們把傳統(tǒng)網(wǎng)絡(luò)中的IDS技術(shù)應(yīng)用于無(wú)線網(wǎng)絡(luò),以期增強(qiáng)無(wú)線網(wǎng)絡(luò)抵御攻擊的能力。
我們?cè)谠囼?yàn)環(huán)境下,搭建了基于Infrastructure結(jié)構(gòu)的WLAN網(wǎng)絡(luò),用于測(cè)試IDS的性能。
該檢測(cè)系統(tǒng)是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS),如圖2所示。網(wǎng)絡(luò)管理員中心控制臺(tái)配置檢測(cè)代理和瀏覽檢測(cè)結(jié)果,并進(jìn)行關(guān)聯(lián)分析。監(jiān)測(cè)代理的作用是監(jiān)聽數(shù)據(jù)包,利用檢測(cè)引擎進(jìn)行檢測(cè),記錄警告信息,并將警告信息發(fā)送至中心控制臺(tái)。Probe的作用是捕獲無(wú)線數(shù)據(jù)包,并發(fā)往監(jiān)測(cè)代理。
![""]("http://netsecurity.51cto.com/files/uploadimg/20060830/1055061.jpg")
498)this.style.width=498;">
圖2 含AP模式的入侵檢測(cè)系統(tǒng)
