無線入侵檢測系統

　　現在隨著黑客技術的提高，無線局域網 (WLANs)受到越來越多的威脅。配置無線基站(WAPs)的失誤導致會話劫持以及拒絕服務攻擊(Dos)都象瘟疫一般影響著無線局域網的安全。無線網絡不但因為基於傳統有線網絡TCP/IP架構而受到攻擊，還有可能受到基於電氣和電子工程師協會(IEEE)發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防御這些潛在的威脅，無線局域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什麼需要無線入侵檢測系統，無線入侵檢測系統的優缺點等問題。

　　來自無線局域網的安全

　　無線局域網容易受到各種各樣的威脅。象802.11標准的加密方法和有線對等保密(WiredEquivalentPrivacy)都很脆弱。在 “WeaknessesintheKeySchedulingAlgorithmofRC-4”文檔裡就說明了WEPkey能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線局域網中，黑客也能通過解密得到關鍵數據。

　　黑客通過欺騙(rogue)WAP得到關鍵數據。無線局域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線局域網，卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線局域網的流行，許多用戶也可以在自己的傳統局域網架設無線基站(WAPs)，隨之而來的一些用戶在網絡上安裝的後門程序，也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統局域網用戶也同樣面臨著遭到黑客的監聽的威脅。

　　基於802.11標准的網絡還有可能遭到拒絕服務攻擊(DoS)的威脅，從而使得無線局域網難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建築物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基於802.11標准的無線網絡。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外，黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線局域網。

　　另外一種威脅無線局域網的是ever-increasingpace。這種威脅確實存在，並可能導致大范圍地破壞，這也正是讓802.11標准越來越流行的原因。對於這種攻擊，現在暫時還沒有好的防御方法，但我們會在將來提出一個更好的解決方案。

　　入侵檢測

　　入侵檢測系統(IDS)通過分析網絡中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今，入侵檢測系統已用於無線局域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。

　　無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線局域網的檢測和對破壞系統反應的特性。

　　無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。如今，在市面上的流行的無線入侵檢測系統是AirdefenseRogueWatch和AirdefenseGuard。象一些無線入侵檢測系統也得到了Linux系統的支持。例如：自由軟件開放源代碼組織的Snort-Wireless和WIDZ。

　　架構

　　無線入侵檢測系統用於集中式和分散式兩種。集中式無線入侵檢測系統通常用於連接單獨的sensors，搜集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線局域網，因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。

　　無線局域網通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站(WAPs)，在無線基站的位置上部署 sensors，這樣會提高信號的覆蓋范圍。由於這種物理架構，大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(WAPs)的距離，從而，能更好地定位黑客的詳細地理位置。

　　物理回應

　　物理定位是無線入侵檢測系統的一個重要的部分。針對802.11的攻擊經常在接近下很快地執行，因此對攻擊的回應就是必然的了，象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP，而且，一定要及時。不同於傳統的局域網，黑客可以攻擊的遠程網絡，無線局域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor數據分析找出受害者的，就可以更容易定位入侵者的地址。一旦確定攻擊者的目標縮小，特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者

　　策略執行

　　無線入侵檢測系統不但能找出入侵者，它還能加強策略。通過使用強有力的策略，會使無線局域網更安全。

　　威脅檢測

　　無線入侵檢測系統不但能檢測出攻擊者的行為，還能檢測到rogueWAPS，識別出未加密的802.11標准的數據流量。

　　為了更好的發現潛在的WAP目標，黑客通常使用掃描軟件。Netstumbler和Kismet這樣的軟件來。使用全球衛星定位系統(GlobalPositioningSystem)來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。

　　比探測掃描更嚴重的是，無線入侵檢測系統檢測到的DoS攻擊，DoS攻擊在網絡上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線局域網進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法用戶進行泛洪攻擊等。

　　除了上文的介紹，還有無線入侵檢測系統還能檢測到Mac地址欺騙。它是通過一種順序分析，找出那些偽裝WAP的無線上網用戶。

　　無線入侵檢測系統的缺陷

　　雖然無線入侵檢測系統有很多優點，但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug，無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展，關於這個問題也會慢慢解決。

　　結論

　　無線入侵檢測系統未來將會成為無線局域網中的一個重要的部分。雖然無線入侵檢測系統存在著一些缺陷，但總體上優大於劣。無線入侵檢測系統能檢測到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強有力的安全策略，可以基本滿足一個無線局域網的安全問題。隨著無線局域網的快速發展，對無線局域網的攻擊也越來越多，需要一個這樣的系統也是非常必要的。