隨著無(wú)線技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)正成為市場(chǎng)熱點(diǎn)，然而隨著黑客技術(shù)的提高，無(wú)線局域網(wǎng)(WLAN)受到越來越多的威脅。無(wú)線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還有可能受到基于IEEE 802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅。為了更好地檢測(cè)和防御這些潛在的威脅，本文中我們闡述了假冒設(shè)備(包括AP和Client)的檢測(cè)技術(shù)，并給出了如何在基于Infrastructure架構(gòu)的WLAN中實(shí)施入侵檢測(cè)策略，防止黑客的攻擊。

1、WLAN的安全問題

來自WLAN的安全威脅很多，如刺探、拒絕服務(wù)攻擊、監(jiān)視攻擊、中間人(MITM)攻擊、從客戶機(jī)到客戶機(jī)的入侵、Rogue AP，flooding攻擊等，本文中僅研究了對(duì)Rogue AP的檢測(cè)。Rogue AP是現(xiàn)在WLAN中最大的安全威脅，黑客在WLAN中安放未經(jīng)授權(quán)的AP或客戶機(jī)提供對(duì)網(wǎng)絡(luò)的無(wú)限制訪問，通過欺騙得到關(guān)鍵數(shù)據(jù)。無(wú)線局域網(wǎng)的用戶在不知情的情況下，以為自己通過很好的信號(hào)連入無(wú)線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。隨著低成本和易于配置造成了現(xiàn)在的無(wú)線局域網(wǎng)的流行，許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無(wú)線基站(WAPS)，隨之而來的一些用戶在網(wǎng)絡(luò)上安裝的后門程序，也造成了對(duì)黑客開放的不利環(huán)境。

1.1　Rogue設(shè)備的檢測(cè)

通過偵聽無(wú)線電波中的數(shù)據(jù)包來檢測(cè)AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的檢測(cè)，需要在網(wǎng)絡(luò)中放置如下部件:①探測(cè)器Sensor/Probe，用于隨時(shí)監(jiān)測(cè)無(wú)線數(shù)據(jù);②入侵檢測(cè)系統(tǒng)IDS，用于收集探測(cè)器傳來的數(shù)據(jù)，并能判斷哪些是Rogue Device;③網(wǎng)絡(luò)管理軟件，用于與有線網(wǎng)絡(luò)交流，判斷出Rogue Device接入的交換機(jī)端口，并能斷開該端口。

為了發(fā)現(xiàn)AP，分布于網(wǎng)絡(luò)各處的探測(cè)器能完成數(shù)據(jù)包的捕獲和解析的功能，它們能迅速地發(fā)現(xiàn)所有無(wú)線設(shè)備的操作，并報(bào)告給管理員或IDS系統(tǒng)，這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP，我們只要查看各AP的相鄰AP。當(dāng)然通過網(wǎng)絡(luò)管理軟件，比如SNMP，也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。

發(fā)現(xiàn)AP后，可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測(cè)到的AP的相關(guān)參數(shù)，那么就是Rogue AP識(shí)別每個(gè)AP的MAC地址、SSID、Vendor(提供商)、無(wú)線媒介類型以及信道。判斷新檢測(cè)到AP的MAC地址、SSID、Vendor(提供商)、無(wú)線媒介類型或者信道異常，就可以認(rèn)為是非法AP。

1.2　Rogue Client的檢測(cè)

Rogue Client是一種試圖非法進(jìn)入WLAN或破壞正常無(wú)線通信的帶有惡意的無(wú)線客戶，管理員只要多注意他們的異常行為，就不難識(shí)別假冒客戶。其異常行為的特征主要有:①發(fā)送長(zhǎng)持續(xù)時(shí)間(Duration)幀;②持續(xù)時(shí)間攻擊;③探測(cè)“any SSID”設(shè)備;④非認(rèn)證客戶。

如果客戶發(fā)送長(zhǎng)持續(xù)時(shí)間/ID的幀，其他的客戶必須要等到指定的持續(xù)時(shí)間(Duration)后才能使用無(wú)線媒介，如果客戶持續(xù)不斷地發(fā)送這樣的長(zhǎng)持續(xù)時(shí)間幀，這樣就會(huì)使其他用戶不能使用無(wú)線媒介而一直處于等待狀態(tài)。

為了避免網(wǎng)絡(luò)沖突，無(wú)線節(jié)點(diǎn)在一幀的指定時(shí)間內(nèi)可以發(fā)送數(shù)據(jù)，根據(jù)802.11幀格式，在幀頭的持續(xù)時(shí)間/ID域所指定的時(shí)間間隔內(nèi)，為節(jié)點(diǎn)保留信道。網(wǎng)絡(luò)分配矢量(NAV)存儲(chǔ)該時(shí)間間隔值，并跟蹤每個(gè)節(jié)點(diǎn)。只有當(dāng)該持續(xù)時(shí)間值變?yōu)镺后，其他節(jié)點(diǎn)才可能擁有信道。這迫使其他節(jié)點(diǎn)在該持續(xù)時(shí)間內(nèi)不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長(zhǎng)持續(xù)時(shí)間的數(shù)據(jù)包，其他節(jié)點(diǎn)就必須等待很長(zhǎng)時(shí)間，不能接受服務(wù)，從而造成對(duì)其他節(jié)點(diǎn)的拒絕服務(wù)。

如果AP允許客戶以任意SSID接入網(wǎng)絡(luò)，這將給攻擊者帶來很大的方便，如果發(fā)現(xiàn)有客戶以任意SSID方式連接，就很可能是攻擊者，管理員應(yīng)該更改AP的設(shè)置，禁止以任意SSID方式接入。如果假冒客戶在合法客戶認(rèn)證列表中出現(xiàn)，可以根據(jù)客戶MAC地址和設(shè)備供應(yīng)商標(biāo)識(shí)進(jìn)行判斷，如果NIC的MAC地址或Vendor標(biāo)識(shí)未在訪問控制列表中，則可能是非法客戶。