忆龙2009：WLAN IDS介绍

 

      802.11网络很容易受到各种网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等；Rogue设备对于企业网络安全来说更是一个很严重的威胁。WIDS（Wireless Intrusion Detection System）可以对有恶意的用户攻击和入侵行为进行早期检测，保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。

WLAN IDS涉及的常用术语

• Rogue AP：网络中未经授权或者有恶意的AP，它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞，黑客就有机会危害无线网络安全。
• Rogue Client：非法客户端，网络中未经授权或者有恶意的客户端，类似于Rogue AP。
• Rogue Wireless Bridge：非法无线网桥，网络中未经授权或者有恶意的网桥。
• Monitor AP：这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时做接入AP和Monitor AP，也可以只做Monitor AP。
• Ad-hoc mode：把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

 

检测Rogue设备

1.对Rogue设备进行检测

      Rogue设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中制定非法设备检测规则，可以对整个WLAN网络中的异常设备进行监视。

      Rogue设备检测可以检测WLAN网络中的多种设备，例如Rogue AP，Rogue client，无线网桥，Ad-hoc终端等等。根据实际的无线环境，可以通过设定不同的模式来对Rogue设备进行检测。

• Monitor模式：在这种模式下，AP需要扫描WLAN中的设备，此时AP仅做监测AP，不做接入AP。当AP工作在Monitor模式时，该AP提供的所有WLAN服务都将关闭。如图1中，AP 1做接入AP，AP 2做为Monitor  AP，监听所有Dot11帧，检测无线网络中的非法设备，但不能提供无线接入服务。

图1对Rogue设备进行检测（Monitor模式）

• Hybrid模式：在这种模式下，AP可以在监测无线环境中设备的同时传输WLAN数据。

图2对Rogue设备进行检测（Hybrid模式）

2.对Rogue设备进行防攻击

      在检测到Rogue设备后，根据选用不同的反制模式，Monitor AP从AC下载攻击列表，并对指定的Rogue设备进行攻击防范。对于不同的非法设备，使能反制功能后的效果如下：

• 如果Rogue设备为Rogue Client，则该Rogue Client会被强行下线；
• 如果Rogue设备为Rogue AP，那么合法客户端不会接入Rogue AP；
• 如果Rogue设备为Ad-hoc，那么Ad-Hoc客户端之间不能正常通信。

图3对Rogue设备进行防攻击