基于无线网络的入侵检测技术(3)

　　对于Rogue客户，当确认客户为非法客户时，网络管理员可以断开其网络连接。通常的做法是把非法客户的MAC地址从AP的访问控制列表(ACL)中去除，ACL决定哪些MAC地址可以接入网络，那些不能接入网络。

　　2.1　IDS的应用

　　入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。在一些情况下，简单地使用防火墙或者认证系统也可以被攻破。入侵检测就是以这种技术，对未经授权的连接企图做出反应，甚至可以抵御部分可能的入侵。IETF的ID-WG将一个入侵检测系统分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。

　　放置在网络中的探测器检测到异常，产生一个事件，报告给分析器，通过分析后产生一个告警信息报告给管理器。管理员决定如何操作，并对事件做出响应。我们把传统网络中的IDS技术应用于无线网络，以期增强无线网络抵御攻击的能力。

　　我们在试验环境下，搭建了基于Infrastructure结构的WLAN网络，用于测试IDS的性能。

　　该检测系统是基于网络的入侵检测系统(NIDS)。网络管理员中心控制台配置检测代理和浏览检测结果，并进行关联分析。监测代理的作用是监听数据包，利用检测引擎进行检测，记录警告信息，并将警告信息发送至中心控制台。Probe的作用是捕获无线数据包，并发往监测代理。

　　2.2　测试结果

　　我们用开源IDS系统WIDZ来进行入侵检测，用非授权用户对网络进行攻击(伪造MAC地址)，记录的检测告警信息如下:

　　Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000 Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1 ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1 00904b063d74　mac2　0030ab1b9bcc　 mac3 0030ab1b9bcc mac4 OOOOOO000000 A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000 Alert NON whitelist mac essid Wireless_packet_type Association Request mac1 0030ab1b9bcc　mac2　00904b063d74 mac3 0030ab1b9bcc mac4 000000000000 Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265

　　可见，已经识别出未在ACL表中列出的合法设备的MAC地址，即可能是假冒设备。剩下事情就是查找该设备并断开它。

　　3、结论

　　无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷，具有很多安全问题，本文中，我们从技术角度剖析了无线网络中特有的假冒攻击问题，提出了解决方法，并给出了一个保证无线网络安全的入侵检测方案。当然，无线网络中的安全威胁很多，这有待于我们更进一步的研究。