扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着无线技术和网络技术的发展,无线网络正成为市场热点,然而随着黑客技术的提高,无线局域网(WLAN)受到越来越多的威胁。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于IEEE 802.11标准本身的安全问题而受到威胁。
为了更好地检测和防御这些潜在的威胁,本文中我们阐述了假冒设备(包括AP和Client)的检测技术,并给出了如何在基于Infrastructure架构的WLAN中实施入侵检测策略,防止黑客的攻击。
1、WLAN的安全问题
来自WLAN的安全威胁很多,如刺探、拒绝服务攻击、监视攻击、中间人(MITM)攻击、从客户机到客户机的入侵、Rogue AP,flooding攻击等,本文中仅研究了对Rogue AP的检测。Rogue AP是现在WLAN中最大的安全威胁,黑客在WLAN中安放未经授权的AP或客户机提供对网络的无限制访问,通过欺骗得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(WAPS),随之而来的一些用户在网络上安装的后门程序,也造成了对黑客开放的不利环境。
1.1 Rogue设备的检测
通过侦听无线电波中的数据包来检测AP的存在,得到所有正在使用的AP,SSID和STA。要完成Rogue AP的检测,需要在网络中放置如下部件:①探测器Sensor/Probe,用于随时监测无线数据;②入侵检测系统IDS,用于收集探测器传来的数据,并能判断哪些是Rogue Device;③网络管理软件,用于与有线网络交流,判断出Rogue Device接入的交换机端口,并能断开该端口。
为了发现AP,分布于网络各处的探测器能完成数据包的捕获和解析的功能,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统,这种方式称为RF扫描。某些AP能够发现相邻区域的AP,我们只要查看各AP的相邻AP。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。
发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。