深入剖析WIDS(无线入侵检测系统)和WIPS(无线入侵防御系统)
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2016年6月刊杂志,原标题为:浅析入侵检测和防御系统
确保无线网络的安全并免受未授权用户的攻击,需要对WIDS和WIPS系统的深入了解以及正确的软件策略。
无线入侵检测系统(WIDS)以及无线入侵防御系统(WIPS)被用来持续保护无线网络以及在一定情况下的有线网络免受未授权用户的攻击。在一个WIDS中,通常使用一套传感器系统来监控该网络接收到的未授权设备的入侵,例如未授权访问点。在一个WIPS中,系统检测到未授权的设备后会通过采取将其从无线网络中分离出去的步骤来减轻威胁。
WIDS和WIPS的工作是24/7不间断的,并且一般不需要管理的介入。它们不间断地保护无线本地局域网(WLAN)并收听所有WLAN工作频率上的无线通信量。WIDS与WIPS有相似性,大多数目前可用的系统都扮演着WIPS的角色,因为它们被设计用来检测并防止无线的入侵。
一个典型的WIPS具有三个部分:一台服务器、一个管理控制台和分布式传感器。WIPS服务器可以是基于硬件的,也可以是基于软件的。服务器承担着系统管理和配置的任务、对信号、行为和协议进行分析、以及用来检测入侵的射频(RF)频谱分析。
信号分析监控通信量的模式与已知的攻击有关联,例如拒绝服务(DoS)以及中间人攻击。行为分析寻找信息行为方面的异常情况,例如故意使用扭曲的管理帧使攻击者可以观察到网络所做出的行为结果。这种行为会揭示安全方面或者应用程序方面的缺陷,该缺陷可能会导致入侵。在信号分析寻找已知的攻击模式的时候,行为分析寻找新的攻击的异常模式。行为分析同时会将历史上使用的软件度量与异常通信量进行对比,来指出异常的通信量可能是在尝试寻找有漏洞的系统。
协议分析被用来检查并拆分第2层信息——MAC协议数据单元(MPDU),来发现帧头和帧尾中的异常现象。协议分析也用来分析帧主体第3层到第7层的数据,其中包含了净负荷。这被称为MAC服务数据单元(MSDU)。MPDU和MSDU数据经过分析鉴别那些可能会被利用,来危害系统安全或中间仲裁功能的伪造数据。
有三种WIPS架构类型,分别定义如下:重叠的、集成的以及可以集成的。
重叠系统使用独立的、专用的传感器来不间断监控2.4-5GHz频段的频谱。传感器不提供任何WLAN连接;它们在后台运行,监控所有系统通信量。这种方式可以应用于独立的接入点(AP)系统以及基于控制的系统,但是与AP分离的传感器,需要花费额外的成本。一套重叠系统很适合与现有的或老的系统进行集成。
集成的系统通常是部署轻型或瘦AP的基于控制器的系统,这些AP被用作WIDS/WIPS的传感器,同时提供通讯功能。这个功能与整个通讯系统规则集成在一起;AP也可以作为WIPS传感器,而且AP是基于时间分隔的。
将基于控制器的AP转化为全职传感器有可能会损失WLAN的功能。尽管比重叠系统有效并且更经济,但是AP功能的时间分隔可能会导致一些问题。如果一个攻击者了解到一个公司正在使用兼职的传感器,他就可以在AP扫描的时间间隔中发动一个很短的攻击。
根据WIDS/WIPS的复杂程度不同,可以获得持续的监控以及减少被攻击的次数,而且也有系统可以满足所有的预算和级别。WIPS要求更复杂、更多功能以及更多花费;在部署之前应该进行完整的现场调研。
