背景
隨著無線技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,無線網(wǎng)絡(luò)正成為市場熱點(diǎn),然而隨著黑客技術(shù)的提高,無線局域網(wǎng)(WLAN)受到越來越多的威脅。無線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊,還有可能受到基于IEEE 802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。為了更好地檢測和防御這些潛在的威脅,本文中我們闡述了假冒設(shè)備(包括AP和Client)的檢測技術(shù),并給出了如何在基于Infrastructure架構(gòu)的WLAN中實(shí)施入侵檢測策略,防止黑客的攻擊。
1、WLAN的安全問題
來自WLAN的安全威脅很多,如刺探、拒絕服務(wù)攻擊、監(jiān)視攻擊、中間人(MITM)攻擊、從客戶機(jī)到客戶機(jī)的入侵、Rogue AP,flooding攻擊等,本文中僅研究了對Rogue AP的檢測。Rogue AP是現(xiàn)在WLAN中最大的安全威脅,黑客在WLAN中安放未經(jīng)授權(quán)的AP或客戶機(jī)提供對網(wǎng)絡(luò)的無限制訪問,通過欺騙得到關(guān)鍵數(shù)據(jù)。無線局域網(wǎng)的用戶在不知情的情況下,以為自己通過很好的信號連入無線局域網(wǎng),卻不知已遭到黑客的監(jiān)聽了。隨著低成本和易于配置造成了現(xiàn)在的無線局域網(wǎng)的流行,許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無線基站(WAPS),隨之而來的一些用戶在網(wǎng)絡(luò)上安裝的后門程序,也造成了對黑客開放的不利環(huán)境。
1.1 Rogue設(shè)備的檢測
通過偵聽無線電波中的數(shù)據(jù)包來檢測AP的存在,得到所有正在使用的AP,SSID和STA。要完成Rogue AP的檢測,需要在網(wǎng)絡(luò)中放置如下部件:①探測器Sensor/Probe,用于隨時(shí)監(jiān)測無線數(shù)據(jù);②入侵檢測系統(tǒng)IDS,用于收集探測器傳來的數(shù)據(jù),并能判斷哪些是Rogue Device;③網(wǎng)絡(luò)管理軟件,用于與有線網(wǎng)絡(luò)交流,判斷出Rogue Device接入的交換機(jī)端口,并能斷開該端口。
為了發(fā)現(xiàn)AP,分布于網(wǎng)絡(luò)各處的探測器能完成數(shù)據(jù)包的捕獲和解析的功能,它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作,并報(bào)告給管理員或IDS系統(tǒng),這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP,我們只要查看各AP的相鄰AP。當(dāng)然通過網(wǎng)絡(luò)管理軟件,比如SNMP,也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。
發(fā)現(xiàn)AP后,可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù),那么就是Rogue AP識別每個(gè)AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認(rèn)為是非法AP。
1.2 Rogue Client的檢測
Rogue Client是一種試圖非法進(jìn)入WLAN或破壞正常無線通信的帶有惡意的無線客戶,管理員只要多注意他們的異常行為,就不難識別假冒客戶。其異常行為的特征主要有:①發(fā)送長持續(xù)時(shí)間(Duration)幀;②持續(xù)時(shí)間攻擊;③探測“any SSID”設(shè)備;④非認(rèn)證客戶。
如果客戶發(fā)送長持續(xù)時(shí)間/ID的幀,其他的客戶必須要等到指定的持續(xù)時(shí)間(Duration)后才能使用無線媒介,如果客戶持續(xù)不斷地發(fā)送這樣的長持續(xù)時(shí)間幀,這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態(tài)。
為了避免網(wǎng)絡(luò)沖突,無線節(jié)點(diǎn)在一幀的指定時(shí)間內(nèi)可以發(fā)送數(shù)據(jù),根據(jù)802.11幀格式,在幀頭的持續(xù)時(shí)間/ID域所指定的時(shí)間間隔內(nèi),為節(jié)點(diǎn)保留信道。網(wǎng)絡(luò)分配矢量(NAV)存儲該時(shí)間間隔值,并跟蹤每個(gè)節(jié)點(diǎn)。只有當(dāng)該持續(xù)時(shí)間值變?yōu)镺后,其他節(jié)點(diǎn)才可能擁有信道。這迫使其他節(jié)點(diǎn)在該持續(xù)時(shí)間內(nèi)不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長持續(xù)時(shí)間的數(shù)據(jù)包,其他節(jié)點(diǎn)就必須等待很長時(shí)間,不能接受服務(wù),從而造成對其他節(jié)點(diǎn)的拒絕服務(wù)。
如果AP允許客戶以任意SSID接入網(wǎng)絡(luò),這將給攻擊者帶來很大的方便,如果發(fā)現(xiàn)有客戶以任意SSID方式連接,就很可能是攻擊者,管理員應(yīng)該更改AP的設(shè)置,禁止以任意SSID方式接入。如果假冒客戶在合法客戶認(rèn)證列表中出現(xiàn),可以根據(jù)客戶MAC地址和設(shè)備供應(yīng)商標(biāo)識進(jìn)行判斷,如果NIC的MAC地址或Vendor標(biāo)識未在訪問控制列表中,則可能是非法客戶。
2、無線網(wǎng)絡(luò)攻擊的防御
當(dāng)識別出假冒AP之后,應(yīng)該立即采取的措施就是阻斷該AP的連接,有以下方式可以阻斷AP連接:(1)采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務(wù);(2)網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件,確定該非法AP的物理連接位置,從物理上斷開;(3)檢測出非法AP連接在交換機(jī)的端口,并禁止該端口。可以利用無線網(wǎng)絡(luò)管理軟件來完成該任務(wù)。一旦假冒AP被確認(rèn),管理軟件查找該AP的MAC地址,然后根據(jù)該MAC地址,找到其連接在交換機(jī)的哪個(gè)端口,從而斷開或阻斷所有通過該端口的網(wǎng)絡(luò)流量。這能自動(dòng)阻止客戶連接到該假冒AP,而轉(zhuǎn)為向其他相鄰AP進(jìn)行連接。這是一種最有效的方法。
對于Rogue客戶,當(dāng)確認(rèn)客戶為非法客戶時(shí),網(wǎng)絡(luò)管理員可以斷開其網(wǎng)絡(luò)連接。通常的做法是把非法客戶的MAC地址從AP的訪問控制列表(ACL)中去除,ACL決定哪些MAC地址可以接入網(wǎng)絡(luò),那些不能接入網(wǎng)絡(luò)。
2.1 IDS的應(yīng)用
入侵檢測系統(tǒng)(IDS)通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件。在一些情況下,簡單地使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測就是以這種技術(shù),對未經(jīng)授權(quán)的連接企圖做出反應(yīng),甚至可以抵御部分可能的入侵。IETF的ID-WG將一個(gè)入侵檢測系統(tǒng)分為4個(gè)組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。傳統(tǒng)的有線網(wǎng)絡(luò)中IDS基本框架如圖1所示。
![]("/uploadfile/200611/20061128093728741.jpg")
圖1 入侵檢測系統(tǒng)通用框架
測試
放置在網(wǎng)絡(luò)中的探測器檢測到異常,產(chǎn)生一個(gè)事件,報(bào)告給分析器,通過分析后產(chǎn)生一個(gè)告警信息報(bào)告給管理器。管理員決定如何操作,并對事件做出響應(yīng)。我們把傳統(tǒng)網(wǎng)絡(luò)中的IDS技術(shù)應(yīng)用于無線網(wǎng)絡(luò),以期增強(qiáng)無線網(wǎng)絡(luò)抵御攻擊的能力。
我們在試驗(yàn)環(huán)境下,搭建了基于Infrastructure結(jié)構(gòu)的WLAN網(wǎng)絡(luò),用于測試IDS的性能。
該檢測系統(tǒng)是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS),如圖2所示。網(wǎng)絡(luò)管理員中心控制臺配置檢測代理和瀏覽檢測結(jié)果,并進(jìn)行關(guān)聯(lián)分析。監(jiān)測代理的作用是監(jiān)聽數(shù)據(jù)包,利用檢測引擎進(jìn)行檢測,記錄警告信息,并將警告信息發(fā)送至中心控制臺。Probe的作用是捕獲無線數(shù)據(jù)包,并發(fā)往監(jiān)測代理。
![]("/uploadfile/200611/20061128093937388.jpg")
圖2 含AP模式的入侵檢測系統(tǒng)
2.2 測試結(jié)果
我們用開源IDS系統(tǒng)WIDZ來進(jìn)行入侵檢測,用非授權(quán)用戶對網(wǎng)絡(luò)進(jìn)行攻擊(偽造MAC地址),記錄的檢測告警信息如下:
Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff
mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000
Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1
ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO
Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1
00904b063d74 mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OOOOOO000000
A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000
Alert NON whitelist mac essid Wireless_packet_type Association Request mac1
0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000000000000
Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc
mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265
可見,已經(jīng)識別出未在ACL表中列出的合法設(shè)備的MAC地址,即可能是假冒設(shè)備。剩下事情就是查找該設(shè)備并斷開它。
3、結(jié)論
無線網(wǎng)絡(luò)由于其傳輸媒介的特殊性以及802.11標(biāo)準(zhǔn)本身的缺陷,具有很多安全問題,本文中,我們從技術(shù)角度剖析了無線網(wǎng)絡(luò)中特有的假冒攻擊問題,提出了解決方法,并給出了一個(gè)保證無線網(wǎng)絡(luò)安全的入侵檢測方案。當(dāng)然,無線網(wǎng)絡(luò)中的安全威脅很多,這有待于我們更進(jìn)一步的研究。
