背景
隨著無線技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,無線網(wǎng)絡(luò)正成為市場(chǎng)熱點(diǎn),然而隨著黑客技術(shù)的提高,無線局域網(wǎng)(WLAN)受到越來越多的威脅。無線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊,還有可能受到基于IEEE 802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。為了更好地檢測(cè)和防御這些潛在的威脅,本文中我們闡述了假冒設(shè)備(包括AP和Client)的檢測(cè)技術(shù),并給出了如何在基于Infrastructure架構(gòu)的WLAN中實(shí)施入侵檢測(cè)策略,防止黑客的攻擊。
1、WLAN的安全問題
來自WLAN的安全威脅很多,如刺探、拒絕服務(wù)攻擊、監(jiān)視攻擊、中間人(MITM)攻擊、從客戶機(jī)到客戶機(jī)的入侵、Rogue AP,flooding攻擊等,本文中僅研究了對(duì)Rogue AP的檢測(cè)。Rogue AP是現(xiàn)在WLAN中最大的安全威脅,黑客在WLAN中安放未經(jīng)授權(quán)的AP或客戶機(jī)提供對(duì)網(wǎng)絡(luò)的無限制訪問,通過欺騙得到關(guān)鍵數(shù)據(jù)。無線局域網(wǎng)的用戶在不知情的情況下,以為自己通過很好的信號(hào)連入無線局域網(wǎng),卻不知已遭到黑客的監(jiān)聽了。隨著低成本和易于配置造成了現(xiàn)在的無線局域網(wǎng)的流行,許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無線基站(WAPS),隨之而來的一些用戶在網(wǎng)絡(luò)上安裝的后門程序,也造成了對(duì)黑客開放的不利環(huán)境。
1.1 Rogue設(shè)備的檢測(cè)
通過偵聽無線電波中的數(shù)據(jù)包來檢測(cè)AP的存在,得到所有正在使用的AP,SSID和STA。要完成Rogue AP的檢測(cè),需要在網(wǎng)絡(luò)中放置如下部件:①探測(cè)器Sensor/Probe,用于隨時(shí)監(jiān)測(cè)無線數(shù)據(jù);②入侵檢測(cè)系統(tǒng)IDS,用于收集探測(cè)器傳來的數(shù)據(jù),并能判斷哪些是Rogue Device;③網(wǎng)絡(luò)管理軟件,用于與有線網(wǎng)絡(luò)交流,判斷出Rogue Device接入的交換機(jī)端口,并能斷開該端口。
為了發(fā)現(xiàn)AP,分布于網(wǎng)絡(luò)各處的探測(cè)器能完成數(shù)據(jù)包的捕獲和解析的功能,它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作,并報(bào)告給管理員或IDS系統(tǒng),這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP,我們只要查看各AP的相鄰AP。當(dāng)然通過網(wǎng)絡(luò)管理軟件,比如SNMP,也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。
發(fā)現(xiàn)AP后,可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測(cè)到的AP的相關(guān)參數(shù),那么就是Rogue AP識(shí)別每個(gè)AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測(cè)到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認(rèn)為是非法AP。
1.2 Rogue Client的檢測(cè)
Rogue Client是一種試圖非法進(jìn)入WLAN或破壞正常無線通信的帶有惡意的無線客戶,管理員只要多注意他們的異常行為,就不難識(shí)別假冒客戶。其異常行為的特征主要有:①發(fā)送長(zhǎng)持續(xù)時(shí)間(Duration)幀;②持續(xù)時(shí)間攻擊;③探測(cè)“any SSID”設(shè)備;④非認(rèn)證客戶。
如果客戶發(fā)送長(zhǎng)持續(xù)時(shí)間/ID的幀,其他的客戶必須要等到指定的持續(xù)時(shí)間(Duration)后才能使用無線媒介,如果客戶持續(xù)不斷地發(fā)送這樣的長(zhǎng)持續(xù)時(shí)間幀,這樣就會(huì)使其他用戶不能使用無線媒介而一直處于等待狀態(tài)。
為了避免網(wǎng)絡(luò)沖突,無線節(jié)點(diǎn)在一幀的指定時(shí)間內(nèi)可以發(fā)送數(shù)據(jù),根據(jù)802.11幀格式,在幀頭的持續(xù)時(shí)間/ID域所指定的時(shí)間間隔內(nèi),為節(jié)點(diǎn)保留信道。網(wǎng)絡(luò)分配矢量(NAV)存儲(chǔ)該時(shí)間間隔值,并跟蹤每個(gè)節(jié)點(diǎn)。只有當(dāng)該持續(xù)時(shí)間值變?yōu)镺后,其他節(jié)點(diǎn)才可能擁有信道。這迫使其他節(jié)點(diǎn)在該持續(xù)時(shí)間內(nèi)不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長(zhǎng)持續(xù)時(shí)間的數(shù)據(jù)包,其他節(jié)點(diǎn)就必須等待很長(zhǎng)時(shí)間,不能接受服務(wù),從而造成對(duì)其他節(jié)點(diǎn)的拒絕服務(wù)。
如果AP允許客戶以任意SSID接入網(wǎng)絡(luò),這將給攻擊者帶來很大的方便,如果發(fā)現(xiàn)有客戶以任意SSID方式連接,就很可能是攻擊者,管理員應(yīng)該更改AP的設(shè)置,禁止以任意SSID方式接入。如果假冒客戶在合法客戶認(rèn)證列表中出現(xiàn),可以根據(jù)客戶MAC地址和設(shè)備供應(yīng)商標(biāo)識(shí)進(jìn)行判斷,如果NIC的MAC地址或Vendor標(biāo)識(shí)未在訪問控制列表中,則可能是非法客戶。
2、無線網(wǎng)絡(luò)攻擊的防御
當(dāng)識(shí)別出假冒AP之后,應(yīng)該立即采取的措施就是阻斷該AP的連接,有以下方式可以阻斷AP連接:(1)采用DoS攻擊的辦法,迫使其拒絕對(duì)所有客戶的無線服務(wù);(2)網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件,確定該非法AP的物理連接位置,從物理上斷開;(3)檢測(cè)出非法AP連接在交換機(jī)的端口,并禁止該端口。可以利用無線網(wǎng)絡(luò)管理軟件來完成該任務(wù)。一旦假冒AP被確認(rèn),管理軟件查找該AP的MAC地址,然后根據(jù)該MAC地址,找到其連接在交換機(jī)的哪個(gè)端口,從而斷開或阻斷所有通過該端口的網(wǎng)絡(luò)流量。這能自動(dòng)阻止客戶連接到該假冒AP,而轉(zhuǎn)為向其他相鄰AP進(jìn)行連接。這是一種最有效的方法。
對(duì)于Rogue客戶,當(dāng)確認(rèn)客戶為非法客戶時(shí),網(wǎng)絡(luò)管理員可以斷開其網(wǎng)絡(luò)連接。通常的做法是把非法客戶的MAC地址從AP的訪問控制列表(ACL)中去除,ACL決定哪些MAC地址可以接入網(wǎng)絡(luò),那些不能接入網(wǎng)絡(luò)。
2.1 IDS的應(yīng)用
入侵檢測(cè)系統(tǒng)(IDS)通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件。在一些情況下,簡(jiǎn)單地使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測(cè)就是以這種技術(shù),對(duì)未經(jīng)授權(quán)的連接企圖做出反應(yīng),甚至可以抵御部分可能的入侵。IETF的ID-WG將一個(gè)入侵檢測(cè)系統(tǒng)分為4個(gè)組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。傳統(tǒng)的有線網(wǎng)絡(luò)中IDS基本框架如圖1所示。
![]("/uploadfile/200611/20061128093728741.jpg")
圖1 入侵檢測(cè)系統(tǒng)通用框架
測(cè)試
放置在網(wǎng)絡(luò)中的探測(cè)器檢測(cè)到異常,產(chǎn)生一個(gè)事件,報(bào)告給分析器,通過分析后產(chǎn)生一個(gè)告警信息報(bào)告給管理器。管理員決定如何操作,并對(duì)事件做出響應(yīng)。我們把傳統(tǒng)網(wǎng)絡(luò)中的IDS技術(shù)應(yīng)用于無線網(wǎng)絡(luò),以期增強(qiáng)無線網(wǎng)絡(luò)抵御攻擊的能力。
我們?cè)谠囼?yàn)環(huán)境下,搭建了基于Infrastructure結(jié)構(gòu)的WLAN網(wǎng)絡(luò),用于測(cè)試IDS的性能。
該檢測(cè)系統(tǒng)是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS),如圖2所示。網(wǎng)絡(luò)管理員中心控制臺(tái)配置檢測(cè)代理和瀏覽檢測(cè)結(jié)果,并進(jìn)行關(guān)聯(lián)分析。監(jiān)測(cè)代理的作用是監(jiān)聽數(shù)據(jù)包,利用檢測(cè)引擎進(jìn)行檢測(cè),記錄警告信息,并將警告信息發(fā)送至中心控制臺(tái)。Probe的作用是捕獲無線數(shù)據(jù)包,并發(fā)往監(jiān)測(cè)代理。
![]("/uploadfile/200611/20061128093937388.jpg")
圖2 含AP模式的入侵檢測(cè)系統(tǒng)
2.2 測(cè)試結(jié)果
我們用開源IDS系統(tǒng)WIDZ來進(jìn)行入侵檢測(cè),用非授權(quán)用戶對(duì)網(wǎng)絡(luò)進(jìn)行攻擊(偽造MAC地址),記錄的檢測(cè)告警信息如下:
Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff
mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000
Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1
ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO
Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1
00904b063d74 mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OOOOOO000000
A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000
Alert NON whitelist mac essid Wireless_packet_type Association Request mac1
0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000000000000
Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265
可見,已經(jīng)識(shí)別出未在ACL表中列出的合法設(shè)備的MAC地址,即可能是假冒設(shè)備。剩下事情就是查找該設(shè)備并斷開它。
3、結(jié)論
無線網(wǎng)絡(luò)由于其傳輸媒介的特殊性以及802.11標(biāo)準(zhǔn)本身的缺陷,具有很多安全問題,本文中,我們從技術(shù)角度剖析了無線網(wǎng)絡(luò)中特有的假冒攻擊問題,提出了解決方法,并給出了一個(gè)保證無線網(wǎng)絡(luò)安全的入侵檢測(cè)方案。當(dāng)然,無線網(wǎng)絡(luò)中的安全威脅很多,這有待于我們更進(jìn)一步的研究。
