扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
对于Rogue客户,当确认客户为非法客户时,网络管理员可以断开其网络连接。通常的做法是把非法客户的MAC地址从AP的访问控制列表(ACL)中去除,ACL决定哪些MAC地址可以接入网络,那些不能接入网络。
2.1 IDS的应用
入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。在一些情况下,简单地使用防火墙或者认证系统也可以被攻破。入侵检测就是以这种技术,对未经授权的连接企图做出反应,甚至可以抵御部分可能的入侵。IETF的ID-WG将一个入侵检测系统分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。
放置在网络中的探测器检测到异常,产生一个事件,报告给分析器,通过分析后产生一个告警信息报告给管理器。管理员决定如何操作,并对事件做出响应。我们把传统网络中的IDS技术应用于无线网络,以期增强无线网络抵御攻击的能力。
我们在试验环境下,搭建了基于Infrastructure结构的WLAN网络,用于测试IDS的性能。
该检测系统是基于网络的入侵检测系统(NIDS)。网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听数据包,利用检测引擎进行检测,记录警告信息,并将警告信息发送至中心控制台。Probe的作用是捕获无线数据包,并发往监测代理。
2.2 测试结果
我们用开源IDS系统WIDZ来进行入侵检测,用非授权用户对网络进行攻击(伪造MAC地址),记录的检测告警信息如下:
Alert NON whitelist mac essid Wireless_packet_type Beacon mac1 ffffffffffff mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OO0000000000 Alert NON whitelist mac essid Wireless_packet_type Probe Request mac1 ffffffffffff mac2 00904b063d74 mac3 ffffffffffff mac4 OOOOOOOOOOOO Alert NON whitelist mac essid Wireless_packet_type Probe Response mac1 00904b063d74 mac2 0030ab1b9bcc mac3 0030ab1b9bcc mac4 OOOOOO000000 A1ert NON whitelist mac essid packet_type Authentication mac1 0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 OOOOO0000000 Alert NON whitelist mac essid Wireless_packet_type Association Request mac1 0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000000000000 Alert NON whitelist mac essid packet_type NULL Function mac1 0030ab1b9bcc mac2 00904b063d74 mac3 0030ab1b9bcc mac4 000857697265
可见,已经识别出未在ACL表中列出的合法设备的MAC地址,即可能是假冒设备。剩下事情就是查找该设备并断开它。
3、结论
无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从技术角度剖析了无线网络中特有的假冒攻击问题,提出了解决方法,并给出了一个保证无线网络安全的入侵检测方案。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。