關(guān)于無(wú)線(xiàn)網(wǎng)絡(luò)中網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)技術(shù)的探討

摘要:隨著無(wú)線(xiàn)技術(shù)的發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)在各領(lǐng)域得到了廣泛應(yīng)用，可當(dāng)無(wú)線(xiàn)網(wǎng)絡(luò)給我們帶來(lái)便捷的同時(shí)，也給系統(tǒng)和使用的信息帶來(lái)許多意外的危險(xiǎn)。本文將討論在設(shè)計(jì)網(wǎng)絡(luò)初期解決相關(guān)的規(guī)劃和部署問(wèn)題，以及如何使用當(dāng)前各種入侵檢測(cè)方法、工具和技術(shù)，以讓整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)在正式運(yùn)行之后，能夠最有效地進(jìn)行網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)。

關(guān)鍵詞:無(wú)線(xiàn)網(wǎng)絡(luò);網(wǎng)絡(luò)監(jiān)控;入侵檢測(cè)

一、引言

網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)主要部分。隨著無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)的應(yīng)用，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控變得更加重要，因?yàn)闊o(wú)線(xiàn)網(wǎng)絡(luò)增加了一個(gè)全新和開(kāi)放的訪(fǎng)問(wèn)入口。網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)就像是一個(gè)單位的保安人員，如同網(wǎng)絡(luò)的眼睛和耳朵，能提醒各種潛在的安全漏洞和入侵企圖。要想設(shè)計(jì)一個(gè)安全的無(wú)線(xiàn)網(wǎng)絡(luò)，不僅要依賴(lài)許多標(biāo)準(zhǔn)的安全工具和技術(shù)，還需要應(yīng)用一些設(shè)計(jì)技巧。

二、 有利于入侵檢測(cè)的網(wǎng)絡(luò)設(shè)計(jì)

設(shè)計(jì)一個(gè)相對(duì)安全的無(wú)線(xiàn)網(wǎng)絡(luò)，需注重對(duì)網(wǎng)絡(luò)的監(jiān)控，并關(guān)注設(shè)備的選擇、物理布局和無(wú)線(xiàn)電干擾。了解所在建筑的布局和物理障礙物，有助于判別可能轉(zhuǎn)移注意力的錯(cuò)誤警報(bào)。知道無(wú)線(xiàn)電干擾的來(lái)源和網(wǎng)絡(luò)信號(hào)的范圍，也能幫助我們?cè)谘膊榫W(wǎng)絡(luò)入侵者時(shí)，避免潛在的錯(cuò)誤警報(bào)和被誤導(dǎo)的響應(yīng)行動(dòng)。

1. 采用封閉網(wǎng)絡(luò)

為防止無(wú)線(xiàn)網(wǎng)絡(luò)的開(kāi)放性和易發(fā)現(xiàn)性帶來(lái)的安全問(wèn)題，必須采用“封閉網(wǎng)絡(luò)”(closed network)系統(tǒng)。無(wú)線(xiàn)接入點(diǎn)不再?gòu)V播自身的服務(wù)集標(biāo)識(shí)符(Service Set Identifier，SSID)，而是等待設(shè)置了合適SSID和信道的客戶(hù)端來(lái)連接。但這樣做的潛在缺點(diǎn)是，客戶(hù)端必須事先知道網(wǎng)絡(luò)的SSID和設(shè)置才能進(jìn)行連接。但從安全的角度來(lái)講，封閉網(wǎng)絡(luò)系統(tǒng)是安全無(wú)線(xiàn)網(wǎng)絡(luò)的理想基礎(chǔ)。

2. 關(guān)注環(huán)境障礙物和無(wú)線(xiàn)電干擾源

了解網(wǎng)絡(luò)環(huán)境周?chē)恼系K物，對(duì)于決定接入點(diǎn)的數(shù)量至關(guān)重要，只有這樣才能讓無(wú)線(xiàn)網(wǎng)絡(luò)具有充分且恰到好處的覆蓋范圍。相對(duì)于木頭或石膏結(jié)構(gòu)的建筑，鋼架混凝土建筑會(huì)對(duì)802.11信號(hào)傳輸造成更多的限制。由于信號(hào)是向外發(fā)送的，接入點(diǎn)應(yīng)該指向用戶(hù)所在地的中央位置。這樣可以限制到達(dá)建筑物之外的信號(hào)的數(shù)量和強(qiáng)度，信號(hào)越微弱攻擊者就越難以探聽(tīng)。還應(yīng)該考慮所在建筑的外部或內(nèi)部是否存在無(wú)線(xiàn)電干擾源。潛在的問(wèn)題來(lái)源可能是微波爐、2.4GHz無(wú)線(xiàn)電話(huà)、無(wú)線(xiàn)視頻安全監(jiān)控器以及其他的802.11b無(wú)線(xiàn)網(wǎng)絡(luò)。這些干擾源可能會(huì)導(dǎo)致安全漏洞，并減小網(wǎng)絡(luò)的覆蓋范圍。

三、 防御式監(jiān)控的考慮因素

要開(kāi)發(fā)一個(gè)入侵檢測(cè)系統(tǒng)，諸如信號(hào)強(qiáng)度、建筑物和固定裝置導(dǎo)致的信號(hào)失真、本地或遠(yuǎn)程干擾，以及用戶(hù)的移動(dòng)性等問(wèn)題都是必須考慮的。另外，最初的無(wú)線(xiàn)網(wǎng)絡(luò)安裝過(guò)程中應(yīng)該將安全監(jiān)控功能包含在內(nèi)。許多設(shè)備都有日志(logging)功能，應(yīng)該充分利用這些日志，以對(duì)網(wǎng)絡(luò)的當(dāng)前情況有盡可能全面的了解。防火墻、路由器、內(nèi)部Web服務(wù)器、DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器以及一些無(wú)線(xiàn)接入點(diǎn)都會(huì)提供日志文件，需要使用各種方法和設(shè)備對(duì)網(wǎng)絡(luò)的流量和使用進(jìn)行定期審查。

首先，在進(jìn)行網(wǎng)絡(luò)監(jiān)控時(shí)，識(shí)別網(wǎng)絡(luò)環(huán)境中的惡意干擾源需要先確定潛在的干擾源。在部署無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)遇到干擾情況，應(yīng)該先考慮各種可能的解決辦法，而不是先懷疑受到了攻擊。如無(wú)線(xiàn)電話(huà)此類(lèi)設(shè)備可能會(huì)對(duì)網(wǎng)絡(luò)連接造成間歇性影響，無(wú)線(xiàn)視頻監(jiān)控器或其他設(shè)備會(huì)導(dǎo)致嚴(yán)重的信號(hào)沖突。確定潛在問(wèn)題有助于對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中的干擾和噪聲進(jìn)行監(jiān)控。其次，須對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行定期監(jiān)控，利用實(shí)地檢查和探測(cè)工具確定網(wǎng)絡(luò)信號(hào)范圍，通過(guò)對(duì)信號(hào)強(qiáng)度的調(diào)整確定內(nèi)部和外部網(wǎng)絡(luò)可用性之間的平衡點(diǎn)。在對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控時(shí)，應(yīng)該定期對(duì)相關(guān)區(qū)域進(jìn)行檢查。第三，還應(yīng)該對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)可能遭到的拒絕服務(wù)(DoS)攻擊進(jìn)行監(jiān)控。主動(dòng)對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)查、確定信號(hào)強(qiáng)度是否減弱、是否存在未知MAC地址。

四、 入侵檢測(cè)的策略

除了網(wǎng)絡(luò)監(jiān)控，一個(gè)完整的入侵檢測(cè)系統(tǒng)還應(yīng)該包含更多的內(nèi)容，軟件需要對(duì)網(wǎng)絡(luò)中的所有流量進(jìn)行監(jiān)控，通過(guò)把傳輸?shù)臄?shù)據(jù)與預(yù)先定義的攻擊字符串(稱(chēng)為“特征”signature)進(jìn)行對(duì)比，尋找潛在的攻擊和入侵行為。因此需要對(duì)不同的入侵檢測(cè)策略進(jìn)行研究，才能充分發(fā)揮網(wǎng)絡(luò)監(jiān)控的作用。還可以通過(guò)在網(wǎng)絡(luò)中集成監(jiān)控功能，利用內(nèi)置日志功能的網(wǎng)絡(luò)設(shè)備，包括防火墻、DHCP服務(wù)器、路由器，甚至某些特定的無(wú)線(xiàn)接入點(diǎn)。根據(jù)從這些來(lái)源搜集到的信息，弄清楚其他入侵檢測(cè)系統(tǒng)發(fā)出的警報(bào)，可獲得突發(fā)事件的更多相關(guān)數(shù)據(jù)。這些數(shù)據(jù)也有助于手工檢測(cè)網(wǎng)絡(luò)中未經(jīng)授權(quán)的流量和MAC地址。

1. 非法流量、協(xié)議監(jiān)控和未經(jīng)授權(quán)的MAC地址過(guò)濾

網(wǎng)絡(luò)管理員應(yīng)該持續(xù)不斷地對(duì)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控，以了解網(wǎng)絡(luò)負(fù)載。同時(shí)，關(guān)注網(wǎng)絡(luò)中有哪些類(lèi)型的網(wǎng)絡(luò)協(xié)議被經(jīng)常使用，一般情況下會(huì)有SMTP、DNS查詢(xún)、Telnet、Web或SSH流量。還需要關(guān)注網(wǎng)絡(luò)中某些特定設(shè)備還會(huì)使用到特定端口下的特定協(xié)議。如我們單位大部分部門(mén)使用的HP(惠普)打印機(jī)會(huì)使用9100端口產(chǎn)生JetDirect(HP推出的一種將打印機(jī)連接到網(wǎng)絡(luò)上的技術(shù))流量。通過(guò)比對(duì)可以分析出那些未知的、可能存在問(wèn)題的數(shù)據(jù)流量，并及時(shí)追蹤到這些不明流量的來(lái)源，及時(shí)處理。最后在安全策略中定義某些類(lèi)型的應(yīng)用程序和間諜軟件，禁止其在網(wǎng)絡(luò)中使用。IRC(互聯(lián)網(wǎng)即時(shí)通信)流量是網(wǎng)絡(luò)出現(xiàn)可疑情況的一個(gè)重要跡象，攻擊者通常會(huì)使用IRC來(lái)共享非法信息。MAC地址過(guò)濾對(duì)在保證無(wú)線(xiàn)網(wǎng)絡(luò)安全方面也非常實(shí)用，這種機(jī)制只允許具有指定MAC地址的無(wú)線(xiàn)網(wǎng)卡在網(wǎng)絡(luò)中通信。大部分接入點(diǎn)具有MAC過(guò)濾功能，否則也可通過(guò)設(shè)置DHCP服務(wù)器達(dá)到同樣的效果。在大型組織網(wǎng)絡(luò)中，因?yàn)閿?shù)量巨大，以至于難以記錄全部的MAC地址，這種情況下可把來(lái)自同一廠(chǎng)商的所有無(wú)線(xiàn)產(chǎn)品(MAC地址前部分相同)添加到允許列表中。

2. 對(duì)攻擊特征的科學(xué)定義

有經(jīng)驗(yàn)的攻擊者可能了解常見(jiàn)IDS檢測(cè)器的特征文件，比如在某一特定類(lèi)型的攻擊數(shù)據(jù)包里，包含字符“Hacked by SuWeiPing.”默認(rèn)的過(guò)濾器可能因此專(zhuān)門(mén)去搜索字符串“SuWeiPing”，攻擊者會(huì)利用這點(diǎn)向網(wǎng)絡(luò)發(fā)送大量無(wú)害的數(shù)據(jù)包，且數(shù)據(jù)包中只包含字符串“SuWeiPing”，即使這些數(shù)據(jù)包對(duì)網(wǎng)絡(luò)和系統(tǒng)沒(méi)有造成任何傷害，但I(xiàn)DS系統(tǒng)會(huì)被欺騙，并對(duì)每個(gè)數(shù)據(jù)包發(fā)出警報(bào)，從而導(dǎo)致一系列混亂的響應(yīng)活動(dòng)，使整個(gè)系統(tǒng)處于極大的處理壓力之下。如管理員因此而關(guān)閉IDS系統(tǒng)，則真正的攻擊馬上開(kāi)始。因此需要對(duì)攻擊特征進(jìn)行科學(xué)地自定義，并不斷地更新，從而挫敗此類(lèi)攻擊策略。

五、 結(jié)束語(yǔ)

以上簡(jiǎn)單討論了入侵檢測(cè)和監(jiān)控的一些概念，以及如何把相應(yīng)技術(shù)應(yīng)用到無(wú)線(xiàn)網(wǎng)絡(luò)中。我們尤其關(guān)注這樣的事實(shí):從無(wú)線(xiàn)網(wǎng)絡(luò)的初始設(shè)計(jì)階段就應(yīng)該注重安全問(wèn)題。安全是需要規(guī)劃和行動(dòng)的一個(gè)過(guò)程，而不能只依賴(lài)于計(jì)算機(jī)市場(chǎng)上出售的包裝得漂漂亮亮的某個(gè)工具。通過(guò)適當(dāng)?shù)卣{(diào)查，我們就能建立一個(gè)相對(duì)安全的無(wú)線(xiàn)網(wǎng)絡(luò)，并在危險(xiǎn)到來(lái)之前就知曉其中存在的潛在問(wèn)題。并通過(guò)把專(zhuān)用的監(jiān)控軟件和安全設(shè)備日志相結(jié)合使用，從而獲得更有價(jià)值的網(wǎng)絡(luò)狀態(tài)信息，并據(jù)此采取措施，以減少可能發(fā)生的危險(xiǎn)。如果發(fā)現(xiàn)網(wǎng)絡(luò)處于遠(yuǎn)大于正常情況的負(fù)載之下，則是一個(gè)可能遭到入侵的信號(hào)。

參考文獻(xiàn):

[1]王達(dá).網(wǎng)絡(luò)測(cè)試、監(jiān)控和實(shí)驗(yàn)[M].北京:電子工業(yè)出版社，2008.

[2]海吉.網(wǎng)絡(luò)安全技術(shù)與解決方案(修訂版)[M].北京:人民郵電出

版社，2010.

(韓山師范學(xué)院潮州師范分院)