現(xiàn)在隨著黑客技術(shù)的提高，無(wú)線局域網(wǎng) (WLANs)受到越來(lái)越多的威脅。配置無(wú)線基站(WAPs)的失誤導(dǎo)致會(huì)話劫持以及拒絕服務(wù)攻擊(Dos)都象瘟疫一般影響著無(wú)線局域網(wǎng)的安全。無(wú)線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于電氣和電子工程師協(xié)會(huì)(IEEE)發(fā)行802.11標(biāo)準(zhǔn)本身的安全問(wèn)題而受到威脅。為了更好的檢測(cè)和防御這些潛在的威脅，無(wú)線局域網(wǎng)也使用了一種入侵檢測(cè)系統(tǒng)(IDS)來(lái)解決這個(gè)問(wèn)題。以至于沒(méi)有配置入侵檢測(cè)系統(tǒng)的組織機(jī)構(gòu)也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什么需要無(wú)線入侵檢測(cè)系統(tǒng)，無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)等問(wèn)題。

　　來(lái)自無(wú)線局域網(wǎng)的安全

　　無(wú)線局域網(wǎng)容易受到各種各樣的威脅。象802.11標(biāo)準(zhǔn)的加密方法和有線對(duì)等保密(WiredEquivalentPrivacy)都很脆弱。在 “WeaknessesintheKeySchedulingAlgorithmofRC-4”文檔里就說(shuō)明了WEPkey能在傳輸中通過(guò)暴力破解攻擊。即使WEP加密被用于無(wú)線局域網(wǎng)中，黑客也能通過(guò)解密得到關(guān)鍵數(shù)據(jù)。

　　黑客通過(guò)欺騙(rogue)WAP得到關(guān)鍵數(shù)據(jù)。無(wú)線局域網(wǎng)的用戶在不知情的情況下，以為自己通過(guò)很好的信號(hào)連入無(wú)線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。隨著低成本和易于配置造成了現(xiàn)在的無(wú)線局域網(wǎng)的流行，許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無(wú)線基站(WAPs)，隨之而來(lái)的一些用戶在網(wǎng)絡(luò)上安裝的后門程序，也造成了對(duì)黑客開放的不利環(huán)境。這正是沒(méi)有配置入侵檢測(cè)系統(tǒng)的組織機(jī)構(gòu)開始考慮配置IDS的解決方案的原因。或許架設(shè)無(wú)線基站的傳統(tǒng)局域網(wǎng)用戶也同樣面臨著遭到黑客的監(jiān)聽的威脅。

　　基于802.11標(biāo)準(zhǔn)的網(wǎng)絡(luò)還有可能遭到拒絕服務(wù)攻擊(DoS)的威脅，從而使得無(wú)線局域網(wǎng)難于工作。無(wú)線通訊由于受到一些物理上的威脅會(huì)造成信號(hào)衰減，這些威脅包括：樹，建筑物，雷雨和山峰等破壞無(wú)線通訊的物體。象微波爐，無(wú)線電話也可能威脅基于802.11標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)。黑客通過(guò)無(wú)線基站發(fā)起的惡意的拒絕服務(wù)攻擊(DoS)會(huì)造成系統(tǒng)重起。另外，黑客還能通過(guò)上文提到的欺騙WAP發(fā)送非法請(qǐng)求來(lái)干擾正常用戶使用無(wú)線局域網(wǎng)。

　　另外一種威脅無(wú)線局域網(wǎng)的是ever-increasingpace。這種威脅確實(shí)存在，并可能導(dǎo)致大范圍地破壞，這也正是讓802.11標(biāo)準(zhǔn)越來(lái)越流行的原因。對(duì)于這種攻擊，現(xiàn)在暫時(shí)還沒(méi)有好的防御方法，但我們會(huì)在將來(lái)提出一個(gè)更好的解決方案。

　　入侵檢測(cè)

　　入侵檢測(cè)系統(tǒng)(IDS)通過(guò)分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來(lái)判斷破壞系統(tǒng)和入侵事件。傳統(tǒng)的入侵檢測(cè)系統(tǒng)僅能檢測(cè)和對(duì)破壞系統(tǒng)作出反應(yīng)。如今，入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)，來(lái)監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。

　　無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似。但無(wú)線入侵檢測(cè)系統(tǒng)加入了一些無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。

　　無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買，為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。如今，在市面上的流行的無(wú)線入侵檢測(cè)系統(tǒng)是AirdefenseRogueWatch和AirdefenseGuard。象一些無(wú)線入侵檢測(cè)系統(tǒng)也得到了Linux系統(tǒng)的支持。例如：自由軟件開放源代碼組織的Snort-Wireless和WIDZ。

　　架構(gòu)

　　無(wú)線入侵檢測(cè)系統(tǒng)用于集中式和分散式兩種。集中式無(wú)線入侵檢測(cè)系統(tǒng)通常用于連接單獨(dú)的sensors，搜集數(shù)據(jù)并轉(zhuǎn)發(fā)到存儲(chǔ)和處理數(shù)據(jù)的中央系統(tǒng)中。分散式無(wú)線入侵檢測(cè)系統(tǒng)通常包括多種設(shè)備來(lái)完成IDS的處理和報(bào)告功能。分散式無(wú)線入侵檢測(cè)系統(tǒng)比較適合較小規(guī)模的無(wú)線局域網(wǎng)，因?yàn)樗鼉r(jià)格便宜和易于管理。當(dāng)過(guò)多的sensors需要時(shí)有著數(shù)據(jù)處理sensors花費(fèi)將被禁用。所以，多線程的處理和報(bào)告的sensors管理比集中式無(wú)線入侵檢測(cè)系統(tǒng)花費(fèi)更多的時(shí)間。

　　無(wú)線局域網(wǎng)通常被配置在一個(gè)相對(duì)大的場(chǎng)所。象這種情況，為了更好的接收信號(hào)，需要配置多個(gè)無(wú)線基站(WAPs)，在無(wú)線基站的位置上部署 sensors，這樣會(huì)提高信號(hào)的覆蓋范圍。由于這種物理架構(gòu)，大多數(shù)的黑客行為將被檢測(cè)到。另外的好處就是加強(qiáng)了同無(wú)線基站(WAPs)的距離，從而，能更好地定位黑客的詳細(xì)地理位置。

　　物理回應(yīng)

　　物理定位是無(wú)線入侵檢測(cè)系統(tǒng)的一個(gè)重要的部分。針對(duì)802.11的攻擊經(jīng)常在接近下很快地執(zhí)行，因此對(duì)攻擊的回應(yīng)就是必然的了，象一些入侵檢測(cè)系統(tǒng)的一些行為封鎖非法的IP。就需要部署找出入侵者的IP，而且，一定要及時(shí)。不同于傳統(tǒng)的局域網(wǎng)，黑客可以攻擊的遠(yuǎn)程網(wǎng)絡(luò)，無(wú)線局域網(wǎng)的入侵者就在本地。通過(guò)無(wú)線入侵檢測(cè)系統(tǒng)就可以估算出入侵者的物理地址。通過(guò)802.11的sensor數(shù)據(jù)分析找出受害者的，就可以更容易定位入侵者的地址。一旦確定攻擊者的目標(biāo)縮小，特別反映小組就拿出Kismet或Airopeek根據(jù)入侵檢測(cè)系統(tǒng)提供的線索來(lái)迅速找出入侵者

　　策略執(zhí)行

　　無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者，它還能加強(qiáng)策略。通過(guò)使用強(qiáng)有力的策略，會(huì)使無(wú)線局域網(wǎng)更安全。

　　威脅檢測(cè)

　　無(wú)線入侵檢測(cè)系統(tǒng)不但能檢測(cè)出攻擊者的行為，還能檢測(cè)到rogueWAPS，識(shí)別出未加密的802.11標(biāo)準(zhǔn)的數(shù)據(jù)流量。

　　為了更好的發(fā)現(xiàn)潛在的WAP目標(biāo)，黑客通常使用掃描軟件。Netstumbler和Kismet這樣的軟件來(lái)。使用全球衛(wèi)星定位系統(tǒng)(GlobalPositioningSystem)來(lái)記錄他們的地理位置。這些工具正因?yàn)樵S多網(wǎng)站對(duì)WAP的地理支持而變的流行起來(lái)。

　　比探測(cè)掃描更嚴(yán)重的是，無(wú)線入侵檢測(cè)系統(tǒng)檢測(cè)到的DoS攻擊，DoS攻擊在網(wǎng)絡(luò)上非常普遍。DoS攻擊都是因?yàn)榻ㄖ镒钃踉斐尚盘?hào)衰減而發(fā)生的。黑客也喜歡對(duì)無(wú)線局域網(wǎng)進(jìn)行DoS攻擊。無(wú)線入侵檢測(cè)系統(tǒng)能檢測(cè)黑客的這種行為。象偽造合法用戶進(jìn)行泛洪攻擊等。

　　除了上文的介紹，還有無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到Mac地址欺騙。它是通過(guò)一種順序分析，找出那些偽裝WAP的無(wú)線上網(wǎng)用戶。

　　無(wú)線入侵檢測(cè)系統(tǒng)的缺陷

　　雖然無(wú)線入侵檢測(cè)系統(tǒng)有很多優(yōu)點(diǎn)，但缺陷也是同時(shí)存在的。因?yàn)闊o(wú)線入侵檢測(cè)系統(tǒng)畢竟是一門新技術(shù)。每個(gè)新技術(shù)在剛應(yīng)用時(shí)都有一些bug，無(wú)線入侵檢測(cè)系統(tǒng)或許也存在著這樣的問(wèn)題。隨著無(wú)線入侵檢測(cè)系統(tǒng)的飛速發(fā)展，關(guān)于這個(gè)問(wèn)題也會(huì)慢慢解決。

　　結(jié)論

　　無(wú)線入侵檢測(cè)系統(tǒng)未來(lái)將會(huì)成為無(wú)線局域網(wǎng)中的一個(gè)重要的部分。雖然無(wú)線入侵檢測(cè)系統(tǒng)存在著一些缺陷，但總體上優(yōu)大于劣。無(wú)線入侵檢測(cè)系統(tǒng)能檢測(cè)到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強(qiáng)有力的安全策略，可以基本滿足一個(gè)無(wú)線局域網(wǎng)的安全問(wèn)題。隨著無(wú)線局域網(wǎng)的快速發(fā)展，對(duì)無(wú)線局域網(wǎng)的攻擊也越來(lái)越多，需要一個(gè)這樣的系統(tǒng)也是非常必要的。