文/本刊特約編輯 楊望

無線網(wǎng)絡(luò)目前已經(jīng)不僅僅是校園有線網(wǎng)絡(luò)的補(bǔ)充，不斷增加的各類無線終端如手機(jī)、Pad讓無線網(wǎng)絡(luò)成為校園內(nèi)越來越重要的通信載體，除了學(xué)校搭建的公用無線網(wǎng)絡(luò)，各種各樣的個(gè)人無線接入點(diǎn)也讓學(xué)校的無線網(wǎng)絡(luò)成為一個(gè)熱鬧的場(chǎng)地。但在這熱鬧中，也不乏各類惡意或無惡意的人在搜尋著無線網(wǎng)絡(luò)的漏洞，進(jìn)行著各類的攻擊活動(dòng)，除了加強(qiáng)個(gè)人的無線安全防護(hù)意識(shí)，部署無線的蜜罐和IDS也是監(jiān)控?zé)o線網(wǎng)絡(luò)安全的重要手段，目前商業(yè)的無線硬件產(chǎn)品商大都提供對(duì)應(yīng)的產(chǎn)品，如AirDefence（Motorola）、Cisco等，但價(jià)格不菲，其實(shí)利用開源的工具我們可以只花費(fèi)較小的費(fèi)用就搭建起一個(gè)分布式的無線入侵檢測(cè)系統(tǒng)。本文將介紹如何利用OpenWRT和Kismet這兩種開源工具在普通商用無線路由器的基礎(chǔ)上來建立無線IDS系統(tǒng)。

Kismet

有線網(wǎng)絡(luò)中大家最常用的IDS是Snort，但在無線網(wǎng)絡(luò)中我們不能直接使用Snort，這是因?yàn)闊o線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)在物理與鏈路層的不同，讓IDS的需要功能也有不同。傳統(tǒng)的有線網(wǎng)絡(luò)只需要考慮三層（IP層）及其以上的報(bào)文，而無線的IDS同時(shí)需要考慮物理層和鏈路層的報(bào)文內(nèi)容，因?yàn)榇罅康臒o線攻擊如無線欺騙、無線拒絕服務(wù)攻擊都是在這一層發(fā)生的。另一方面，無線的廣播性質(zhì)讓無線IDS可以通過進(jìn)入無線設(shè)備的Monitor模式收聽到覆蓋范圍內(nèi)所有的無線報(bào)文活動(dòng)，而有線網(wǎng)絡(luò)必須通過端口鏡像或分光等手段才能監(jiān)控到需要的報(bào)文。Kismet是無線網(wǎng)絡(luò)應(yīng)用中重要的一款安全工具，它可以設(shè)置無線設(shè)備的模式進(jìn)行無線報(bào)文的采集，同時(shí)可以進(jìn)行無線鏈路層的攻擊檢測(cè)，還可以輸出上層報(bào)文給傳統(tǒng)的IDS如Snort進(jìn)行更高層次的入侵檢測(cè)。

Kismet是一款用于無線網(wǎng)絡(luò)(802.11協(xié)議族)的多功能軟件，既可以用于無線網(wǎng)絡(luò)的檢測(cè)發(fā)現(xiàn)和報(bào)文采集，也可以用于無線的入侵檢測(cè)。目前可以在Linux、Windows（需要Cygwin）、

MacOS等多種系統(tǒng)上安裝。Kismet通過將支持無線芯片工作模式設(shè)為Monitor來進(jìn)行被動(dòng)的無線報(bào)文收集工作，并通過報(bào)文的協(xié)議解碼發(fā)現(xiàn)存在的AP、用戶以及他們之間的通訊。Google就曾被曝光使用制作GoogleMap的街景小車在城市漫游過程中使用Kismet收集了大量的無線數(shù)據(jù)，從而引發(fā)了用戶隱私泄漏問題。Kismet在收集和解析報(bào)文的同時(shí)，集成了二層和部分三層的入侵檢測(cè)功能，Kismet的檢測(cè)通過報(bào)文特征檢測(cè)和統(tǒng)計(jì)檢測(cè)兩種方式來實(shí)現(xiàn)。常見的警報(bào)包括：APSPOOF、DEAUTHFLOOD、DEAUTHCODEINVALID等。具體攻擊的含義可以在專門討論無線網(wǎng)絡(luò)漏洞和攻擊的網(wǎng)站（http://www.wve.org）查到。

Kismet一個(gè)重要的特點(diǎn)是客戶機(jī)-服務(wù)器的工作模式。客戶機(jī)模式下的Kismet可以看成一個(gè)探針程序，負(fù)責(zé)監(jiān)聽和收集報(bào)文，并將收集到的報(bào)文轉(zhuǎn)發(fā)給服務(wù)器。服務(wù)器模式下的Kismet進(jìn)行報(bào)文的協(xié)議檢測(cè)、檢測(cè)和其他進(jìn)一步的處理。這樣我們就可以在低成本的平臺(tái)上部署一系列的Kismet客戶端程序，從而確保檢測(cè)的范圍可以覆蓋足夠大的區(qū)域，再將每個(gè)客戶端的收集的報(bào)文統(tǒng)一集中到高性能的服務(wù)器進(jìn)行下一步的處理。服務(wù)器端的Kismet還可以再通過虛擬端口將解碼后的無線報(bào)文輸出給傳統(tǒng)的IDS，進(jìn)行高層的入侵檢測(cè)。

Kismet檢測(cè)無線網(wǎng)絡(luò)界面

無線IDS部署環(huán)境圖

OpenWRT

有了入侵檢測(cè)系統(tǒng)，還需要有好的部署平臺(tái)，盡管Kismet可以在電腦的無線網(wǎng)卡上工作，但部署一系列的主機(jī)還是成本很高的事情，如果能將Kismet部署到一系列的無線路由器則可以極大的降低成本和部署的難度。要完成這樣的功能就需要另一個(gè)重要的開源工具：OpenWRT。

OpenWRT和DDWRT是兩個(gè)著名開源的無線路由器固件程序。這兩個(gè)程序源自思科一款低端的的無線路由器Linksys WRT54G無線路由器。在這款無線路由器以前，不存在開源的無線路由器固件，而當(dāng)時(shí)有程序員意外的發(fā)現(xiàn)這款無線路由器的固件修改自Linux，按照開源版權(quán)的規(guī)定，思科既然使用了開源程序，就必須公開該路由器的固件程序，自此各類愛好者開始自該固件的基礎(chǔ)上開始設(shè)計(jì)自己的無線路由器固件程序，其中最有名的就是DDWRT和OpenWRT，而思科則將該路由器的固件從Linux平臺(tái)改到了VxWorks平臺(tái)。盡管開始的DDWRT和OpenWRT只針對(duì)這款路由器，但隨著程序的發(fā)展這兩款固件對(duì)越來越多的無線路由器提供了支持，只要該款路由器有足夠的內(nèi)存和固存（Flash）的空間。目前OpenWRT基本對(duì)所有品牌的無線路由器都有支持，具體可以查詢http://wiki.openwrt.org/toh/start。

OpenWRT采用了ipkg作為軟件包的管理程序，所以在OpenWRT上安裝kismet非常簡(jiǎn)單。部署時(shí)首先需要通過無線路由器的管理界面將OpenWRT的固件刷新到路由器上，然后重啟路由器進(jìn)入OpenWRT系統(tǒng)，在配置好網(wǎng)絡(luò)以后，通過ipkg install kismet_drone wl的命令即可以完成kismet的探針程序的安裝。

系統(tǒng)部署

有了合適的部署環(huán)境和檢測(cè)系統(tǒng)，我們就可以開始部署分布式的無線IDS系統(tǒng)。像在下圖部署的環(huán)境中，我們可以在合法的無線接入點(diǎn)附近部署一系列安裝了的Kismet探針程序的無線路由器，由于這些路由器只負(fù)責(zé)監(jiān)聽工作，所以探針無線路由器的數(shù)量可以遠(yuǎn)小于正常工作的無線路由器數(shù)量。探針無線路由器通過有線網(wǎng)絡(luò)和后臺(tái)的Kismet服務(wù)器相連，將監(jiān)聽的報(bào)文傳回，進(jìn)行具體的檢測(cè)工作。系統(tǒng)的管理人員可以通過有線或無線的網(wǎng)絡(luò)通道登陸Kismet服務(wù)器進(jìn)行檢測(cè)結(jié)果的檢查和響應(yīng)工作。限于篇幅，Kismet具體的配置方法和結(jié)果的查看分析方法我們將在后續(xù)的文章中繼續(xù)介紹。