李越

摘要： WLAN無處不在，開放的特性使其易受攻擊，網(wǎng)絡(luò)安全性急待加強(qiáng)。該文介紹了無線網(wǎng)絡(luò)的安全問題，及其加強(qiáng)方法，并在此基礎(chǔ)上提出了解決方案。

關(guān)鍵詞：無線網(wǎng)絡(luò)；WLAN；入侵檢測；分布式

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）02-0021-02

Abstract： With the open nature of the WLAN，it is easy to be attacked， we must strengthen the security of network urgently. In this paper， the security issues and their strengthening ways of wireless networks were presented ， on this basis， the solutions were proposed .

Key words： wireless network； WLAN； intrusion detection； distributed

1 無線局域網(wǎng)背景

無線局域網(wǎng)（WLAN）是在有線網(wǎng)絡(luò)的基礎(chǔ)上，通過添加無線訪問點、無線路由器、無線網(wǎng)卡等硬件設(shè)備來實現(xiàn)對有線網(wǎng)絡(luò)的擴(kuò)充，與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)具有可移動性，只要有無線信號，可以隨時隨地的上網(wǎng)；同時，無需施工布線，省時省力，既節(jié)約成本又能靈活配置，故障易于查找和解決?；谏鲜鰞?yōu)點，WLAN成了新一代網(wǎng)絡(luò)的發(fā)展趨勢。目前，無線局域網(wǎng)（WLAN）廣泛應(yīng)用于大學(xué)、商場、家庭、賓館、車站等場合。但是，由于無線網(wǎng)絡(luò)的開放這一特性，使得其更容易受到攻擊，無線局域網(wǎng)采用IEEE 802.11標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)只對無線終端和設(shè)備進(jìn)行認(rèn)證，卻不對用戶進(jìn)行認(rèn)真，所以存在安全隱患。因此，采用入侵檢測系統(tǒng)（IDS）來加強(qiáng)WLAN的安全性就具有了必要性和緊迫性。

2 無線局域網(wǎng)

2.1 無線局域網(wǎng)概述

無線局域網(wǎng)，英文名為Wireless Local Area Networks，簡稱為WLAN，是一種采用射頻技術(shù)，使用電磁波進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)，它因為成本低廉，架構(gòu)簡單，一個無線網(wǎng)卡和一個無線AP就可以輕松實現(xiàn)“信息隨身化”，因此發(fā)展迅猛。相比有線的網(wǎng)線拖放距離，無線網(wǎng)絡(luò)的信號覆蓋范圍更廣，有阻礙的區(qū)域能傳輸35～50M，在視野空曠的區(qū)域能傳輸250M。

通常WLAN接入有三種模式：基站模式、接入點模式、混合模式。

基站模式是最單位和家庭最常用的模式，主要設(shè)備是無線路由器，網(wǎng)速由無線路由器的速度決定。

接入點模式是連接無線網(wǎng)卡，可以當(dāng)做接入點使用，網(wǎng)速由無線網(wǎng)卡的速率決定。

混合模式是既能與無線路由器連接，又能與無線網(wǎng)卡連接，這種模式可以適應(yīng)不能的無線網(wǎng)絡(luò)環(huán)境。

2.2 WLAN的安全隱患

WLAN因為其開放便捷的可移動特性被大力發(fā)展并廣泛使用，然而也正是因為這種開放便捷性導(dǎo)致了無線網(wǎng)絡(luò)的安全問題。因為沒有一個明確的防御邊界，它更容易受到攻擊，攻擊者可以來自四面八方和任意節(jié)點，不需要任何的網(wǎng)線接入就可以入侵網(wǎng)絡(luò)，截取數(shù)據(jù)包、竊取用戶信息等一系列問題使得WLAN的安全問題顯得尤為突出。無線漏洞主要有：

a）未經(jīng)許可的AP是信息泄漏最大的安全隱患，它連最基本的加密功能都沒有。

b）未經(jīng)許可的無線筆記本網(wǎng)絡(luò)，這類筆記本的無線裝置沒有任何的防護(hù)偵查功能，很容易連接到惡意WLAN。

c）入侵者通過AP時無需認(rèn)證即能暢通無阻。

d）在無線AP中，存在惡意節(jié)點。

3 加強(qiáng)無線網(wǎng)絡(luò)安全的方法

3.1采用WAPI協(xié)議

當(dāng)前全球無線局域網(wǎng)領(lǐng)域僅有的兩個標(biāo)準(zhǔn)，分別是美國行業(yè)標(biāo)準(zhǔn)組織提出的IEEE 802.11系列標(biāo)準(zhǔn)（俗稱Wi-Fi，包括802.11a/b/g/n/ac等），以及中國提出的WAPI標(biāo)準(zhǔn)。WAPI ，英文全稱：Wireless LAN Authentication and Privacy Infrastructure，是一種中國無線局域網(wǎng)強(qiáng)制執(zhí)行的安全協(xié)議標(biāo)準(zhǔn)。

與WIFI的單向加密認(rèn)證不同，WAPI采用雙向認(rèn)證，從而有效的保證了傳輸?shù)陌踩?。WAPI安全協(xié)議標(biāo)準(zhǔn)采用的是密鑰管理技術(shù)，通過安裝的鑒別服務(wù)器對申請無線網(wǎng)絡(luò)的客戶端和節(jié)點頒發(fā)證書，當(dāng)無線客戶端請求節(jié)點時，鑒別服務(wù)器對客戶端和節(jié)點進(jìn)行身份驗證，根據(jù)驗證的結(jié)果來確定是否訪問權(quán)限給予通行。

3.2 入侵檢測技術(shù)的應(yīng)用

入侵檢測，英文全稱Intrusion Detection，簡稱為ID，就是發(fā)現(xiàn)入侵行為并收集數(shù)據(jù)信息進(jìn)行分析，并對此做出處理的過程。而入侵檢測系統(tǒng)（IDS）則是實現(xiàn)這些功能的系統(tǒng)。

目前，在安全市場上，按照數(shù)據(jù)來源不同將入侵檢測系統(tǒng)分為主機(jī)入侵檢測系統(tǒng)（HIDS）和網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。

主機(jī)入侵檢測系統(tǒng)采用主機(jī)上的文件作為數(shù)據(jù)源，早期的HIDS關(guān)注的是到達(dá)主機(jī)系統(tǒng)的各種安全威脅，對此進(jìn)行數(shù)據(jù)分析，得出檢測報告，但對網(wǎng)絡(luò)安全并不關(guān)注。現(xiàn)行的HIDS雖然還是著重于監(jiān)視計算機(jī)系統(tǒng)狀態(tài)并對內(nèi)部的數(shù)據(jù)檢測，但是發(fā)展多年，其檢測精度、響應(yīng)速度和文件系統(tǒng)方面都得到了很大的提升。

而NIDS則是對網(wǎng)絡(luò)入侵行為進(jìn)行檢測，通過對網(wǎng)絡(luò)運行狀態(tài)的分析來發(fā)現(xiàn)入侵對象。它的來源數(shù)據(jù)是網(wǎng)絡(luò)數(shù)據(jù)包，通過對收集來的數(shù)據(jù)信息進(jìn)行分析，與入侵特征比對，從而識別出哪些是正常訪問者，哪些是入侵攻擊者，并對入侵攻擊者采取措施及時響應(yīng)，

很多應(yīng)用場合里HIDS和NIDS這兩種入侵檢測系統(tǒng)其實是互補(bǔ)的，一個好的網(wǎng)絡(luò)安全解決方案通常是既采用了基于主機(jī)的HIDS又采用了基于網(wǎng)絡(luò)的NIDS。在使用IDS時都配置了基于網(wǎng)絡(luò)的入侵檢測，但網(wǎng)絡(luò)監(jiān)測不能保證并防止所有的攻擊，特別是一些加密包的攻擊，網(wǎng)絡(luò)中的DNS、Email和Web等服務(wù)器經(jīng)常是首要的攻擊目標(biāo)，因為這些服務(wù)器要與外部網(wǎng)絡(luò)進(jìn)行交互，不能對其進(jìn)行數(shù)據(jù)包的屏蔽，所以，在這類服務(wù)器上安裝基于主機(jī)的入侵檢測系統(tǒng)就尤為必要。所以，即使是規(guī)模再小的網(wǎng)絡(luò)架構(gòu)也常常是兩種入侵檢測系統(tǒng)同時使用，也就是分布式入侵檢測系統(tǒng)。

4 WLAN中的分布式入侵檢測系統(tǒng)及其模型架構(gòu)

4.1系統(tǒng)結(jié)構(gòu)的分析和設(shè)計

WLAN中的分布式入侵檢測系統(tǒng)（Wireless Distributed Intrusion Detection System，WDIDS）是特別針對WLAN的全面、綜合、多層次的安檢系統(tǒng)。通過對WLAN的IEEE802.11協(xié)議進(jìn)行分析，抓取到設(shè)定區(qū)域內(nèi)的數(shù)據(jù)包，跟蹤并識別其來源和特征，監(jiān)聽并分析其危險性，從而判斷是否對WLAN產(chǎn)生威脅，分析其危害性提供有效的解決方案，這一系統(tǒng)在WLAN的規(guī)劃、設(shè)計、安裝、運維等方面起到了重要的作用。

4.2 分布式入侵檢測系統(tǒng)的模型架構(gòu)

分布式入侵檢測系統(tǒng)通常采用三層管理架構(gòu)，即分布式安全探測器、管理服務(wù)器、管理控制臺。如圖1所示：

安全探測器：分布于各個無線AP中，負(fù)責(zé)對整個無線網(wǎng)絡(luò)的安全進(jìn)行探測，它的作用是追蹤數(shù)據(jù)包并進(jìn)行分析，及時發(fā)現(xiàn)入侵對象并排除安全隱患。

管理服務(wù)器：對無線AP中的安全探測器進(jìn)行管理，并對收集來的數(shù)據(jù)和警告進(jìn)行合并整理，記入相關(guān)信息數(shù)據(jù)庫中。

管理控制臺：對相應(yīng)的管理服務(wù)器集群和安全探測器進(jìn)行集中管理和配置，實現(xiàn)數(shù)據(jù)和檢測報告的本地下載，實時顯示安全警告信息、GIS網(wǎng)絡(luò)分布圖、數(shù)據(jù)庫查詢等，供管理員分析網(wǎng)絡(luò)中的潛在威脅，并及時排除故障和網(wǎng)絡(luò)運維。

三層模型架構(gòu)的入侵檢測系統(tǒng)將安全探測、管理和控制融為一體，能夠捕捉并防止更多的入侵，形成了一個完整的網(wǎng)絡(luò)防御體系。

5 結(jié)束語

文章分析了無線局域網(wǎng)的傳播特性及其存在的安全隱患，提出了加強(qiáng)網(wǎng)絡(luò)安全的方法，詳細(xì)闡述了兩種入侵檢測系統(tǒng)，提出根據(jù)入侵?jǐn)?shù)據(jù)來源不同采用不同檢測系統(tǒng)的方法。在入侵檢測系統(tǒng)部分重點介紹了分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)，采用三層模型架構(gòu)，構(gòu)筑全方位防御體系，用于無線網(wǎng)絡(luò)檢測異常的節(jié)點活動和發(fā)現(xiàn)惡意節(jié)點。

參考文獻(xiàn)：

[1] James Stanger. CIW安全專家全息教程[M]. 北京： 電子工業(yè)出版社， 2003.