說明
現在隨著黑客技術的提高,無線區域網(wlans)受到越來越多的威脅。配置無線基站(waps)的失誤導致會話劫持以及拒絕服務攻擊(dos)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路tcp/ip架構而受到攻擊,還有可能受到基於電氣和電子工程師協會 (ieee) 發行802.11標準本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅,無線區域網也使用了一種入侵檢測系統(ids)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置ids的解決方案。這篇文章將為你講述,為什麼需要無線入侵檢測系統,無線入侵檢測系統的優缺點等問題。
來自無線區域網的安全
無線區域網容易受到各種各樣的威脅。象802.11標準的加密方法和有線
對等保密(wired equivalent privacy)都很脆弱。在"weaknesses in the key scheduling algorithm of rc-4" 文件裡就說明了wep key能在傳輸中通過暴力破解攻擊。即使wep加密被用於無線區域網中,黑客也能通過解密得到關鍵資料。
黑客通過欺騙(rogue)wap得到關鍵資料。無線區域網的使用者在不知情的情況下,以為自己通過很好的訊號連入無線區域網,卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網的流行,許多使用者也可以在自己的傳統區域網架設無線基站(waps),隨之而來的一些使用者在網路上安裝的後門程式,也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置ids的解決方案的原因。或許架設無線基站的傳統區域網使用者也同樣面臨著遭到黑客的監聽的威脅。
另外一種威脅無線區域網的是ever-increasing pace。這種威脅確實存在,並可能導致大範圍地破壞,這也正是讓802.11標準越來越流行的原因。對於這種攻擊,現在暫時還沒有好的防禦方法,但我們會在將來提出乙個更好的解決方案。
入侵檢測
入侵檢測系統(ids)通過分析網路中的傳輸資料來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今,入侵檢測系統已用於無線區域網,來監視分析使用者的活動,判斷入侵事件的型別,檢測非法的網路行為,對異常的網路流量進行報警。
無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。
無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的效能,他們同時還提供無線入侵檢測系統的解決方案。如今,在市面上的流行的無線入侵檢測系統是airdefense roguewatch 和airdefense guard。象一些無線入侵檢測系統也得到了linux 系統的支援。例如:自由軟體開放源**組織的snort-wireless 和widz 。
架構無線入侵檢測系統用於集中式和分布式兩種。集中式無線入侵檢測系統通常用於連線單獨的sensors ,蒐集資料並**到儲存和處理資料的**系統中。分布式無線入侵檢測系統通常包括多種裝置來完成ids的處理和報告功能。分布式無線入侵檢測系統比較適合較小規模的無線區域網,因為它**便宜和易於管理。當過多的sensors需要時有著資料處理sensors花費將被禁用。所以,多執行緒的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。
無線區域網通常被配置在乙個相對大的場所。象這種情況,為了更好的接收訊號,需要配置多個無線基站(waps),在無線基站的位置上部署sensors,這樣會提高訊號的覆蓋範圍。由於這種物理架構,大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(waps)的距離,從而,能更好地定位黑客的詳細地理位置。
物理回應
物理定位是無線入侵檢測系統的乙個重要的部分。針對802.11 的攻擊經常在接近下很快地執行,因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的ip。就需要部署找出入侵者的ip,而且,一定要及時。不同於傳統的區域網,黑客可以攻擊的遠端網路,無線區域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的實體地址。通過802.11的sensor 資料分析找出受害者的,就可以更容易定位入侵者的位址。一旦確定攻擊者的目標縮小,特別反映小組就拿出ki**et或airopeek根據入侵檢測系統提供的線索來迅速找出入侵者,
策略執行
無線入侵檢測系統不但能找出入侵者,它還能加強策略。通過使用強有力的策略,會使無線區域網更安全。
威脅檢測
無線入侵檢測系統不但能檢測出攻擊者的行為,還能檢測到rogue waps,識別出未加密的802.11標準的資料流量。
為了更好的發現潛在的 wap 目標,黑客通常使用掃瞄軟體。netstumbler 和ki**et這樣的軟體來。使用全球衛星定位系統(global positioning system )來記錄他們的地理位置。這些工具正因為許多**對wap的地理支援而變的流行起來。
比探測掃瞄更嚴重的是,無線入侵檢測系統檢測到的dos攻擊,dos攻擊在網路上非常普遍。dos攻擊都是因為建築物阻擋造成訊號衰減而發生的。黑客也喜歡對無線區域網進行dos攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法使用者進行泛洪攻擊等。
除了上文的介紹,還有無線入侵檢測系統還能檢測到mac位址欺騙。它是通過一種順序分析,找出那些偽裝wap 的無線上網使用者。
無線入侵檢測系統的缺陷
雖然無線入侵檢測系統有很多優點,但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug,無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展,關於這個問題也會慢慢解決。
結論無線入侵檢測系統未來將會成為無線區域網中的乙個重要的部分。雖然無線入侵檢測系統存在著一些缺陷,但總體上優大於劣。無線入侵檢測系統能檢測到的掃瞄,dos攻擊和其他的802.11的攻擊,再加上強有力的安全策略,可以基本滿足乙個無線區域網的安全問題。隨著無線區域網的快速發展,對無線區域網的攻擊也越來越多,需要乙個這樣的系統也是非常必要的。
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...
IDS 入侵檢測系統
ids 詳細內容請點 開放分類 資訊科技 硬體 電腦 網路安全 ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機...