忆龙2009:WLAN IDS介绍

 

      802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等;Rogue设备对于企业网络安全来说更是一个很严重的威胁。WIDS(Wireless Intrusion Detection System)可以对有恶意的用户攻击和入侵行为进行早期检测,保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测,从而提供对各种攻击的实时防范。

WLAN IDS涉及的常用术语

  • Rogue AP:网络中未经授权或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞,黑客就有机会危害无线网络安全。
  • Rogue Client:非法客户端,网络中未经授权或者有恶意的客户端,类似于Rogue AP。
  • Rogue Wireless Bridge:非法无线网桥,网络中未经授权或者有恶意的网桥。
  • Monitor AP:这种AP在无线网络中通过扫描或监听无线介质,检测无线网络中的Rogue设备。一个AP可以同时做接入AP和Monitor AP,也可以只做Monitor AP。
  • Ad-hoc mode:把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

 

检测Rogue设备

1.对Rogue设备进行检测

      Rogue设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中制定非法设备检测规则,可以对整个WLAN网络中的异常设备进行监视。

      Rogue设备检测可以检测WLAN网络中的多种设备,例如Rogue AP,Rogue client,无线网桥,Ad-hoc终端等等。根据实际的无线环境,可以通过设定不同的模式来对Rogue设备进行检测。

  • Monitor模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。如图1中,AP 1做接入AP,AP 2做为Monitor  AP,监听所有Dot11帧,检测无线网络中的非法设备,但不能提供无线接入服务。

wps_clip_image-469

图1对Rogue设备进行检测(Monitor模式)

  • Hybrid模式:在这种模式下,AP可以在监测无线环境中设备的同时传输WLAN数据。

wps_clip_image-656

图2对Rogue设备进行检测(Hybrid模式)

2.对Rogue设备进行防攻击

      在检测到Rogue设备后,根据选用不同的反制模式,Monitor AP从AC下载攻击列表,并对指定的Rogue设备进行攻击防范。对于不同的非法设备,使能反制功能后的效果如下:

  • 如果Rogue设备为Rogue Client,则该Rogue Client会被强行下线;
  • 如果Rogue设备为Rogue AP,那么合法客户端不会接入Rogue AP;
  • 如果Rogue设备为Ad-hoc,那么Ad-Hoc客户端之间不能正常通信。

wps_clip_image-1054

图3对Rogue设备进行防攻击

你可能感兴趣的:(id)