无线入侵检测和保护系统

无线入侵检测系统(WIDS)和无线入侵防护系统(WIPS)用于持续保护无线网络，在某些情况下，有线网络不受未经授权的用户的侵害。这两种制度之间有一些基本的区别。在WIDS中，传感器系统用于监控网络中未经授权设备的入侵，例如非法接入点。在WIPS中，系统不仅检测未经授权的设备，而且还通过包含设备并将其从无线网络中分离出来来采取措施减轻威胁。

WIDS和WIPS全天候运行，通常不需要管理或管理参与。它们不断地保护无线局域网(WLAN)，并侦听WLAN工作频率内的所有无线电通信。WIDS和WIPS之间有许多相似之处，目前可用的大多数系统基本上都充当了WIPS，因为它们的设计目的是检测和防止无线入侵。

典型的WIPS有三个组件:服务器、管理控制台和分布式传感器集合。WIPS服务器可以基于硬件，也可以基于软件。服务器执行系统管理和配置任务，签名、行为和协议分析，以及射频频谱分析，以检测入侵。

签名分析监视与已知攻击相关的模式的流量，例如拒绝服务(DoS)和中间人攻击。行为分析寻找消息行为中的异常，例如使用有目的的畸形管理框架，允许攻击者观察网络的结果行为。这种行为可能会暴露安全或应用程序编程中的缺陷，从而允许入侵。特征分析查找已知的攻击模式，而行为分析查找可能指示新攻击的异常模式。行为分析还将历史使用指标与异常流量进行比较，以指示可能试图探测脆弱系统的异常流量。

协议分析用于检查和分解第二层信息——MAC协议数据单元(MPDU)——以发现帧头和尾中的异常。协议分析还用于分析帧体中包含的第3层至第7层数据，其中包含有效载荷。这被称为MAC服务数据单元(MSDU)。MPDU和MSDU数据都进行了分析，以寻找可能被利用来破坏系统安全性或中等仲裁功能的虚假数据。

射频频谱分析用于监控系统运行的频率，以获取不需要的或破坏性的信号。一种常见的DoS攻击方法是在工作频率上连续发射发射器，这可以使Wi-Fi系统瘫痪。蓝牙设备、婴儿监视器和微波炉都可能受到2.4 ghz系统的干扰。更好的WIPS可以进行复杂的特征分析，识别这些无害的干扰源，并定位它们以进行缓解。频谱分析的好处之一是能够识别和定位干扰源，无论是恶意的还是其他的。

WIPS体系结构类型

在撰写本文时，定义了三种类型的WIPS体系结构:

• 覆盖
• 集成
• Integration-enabled。

覆盖系统使用独立的专用传感器连续监测2.4 ghz和5 ghz频段的频谱。传感器不提供任何WLAN连接;相反，它们在后台操作，监视所有系统流量。这种方法既适用于独立接入点(AP)系统，也适用于基于控制器的系统，除了系统通信所需的AP外，传感器需要额外的成本。覆盖系统非常适合集成到现有或旧的系统中。

集成系统通常是基于控制器的系统，采用薄或轻量级ap，用作WIDS/WIPS传感器，并提供其主要通信功能。该功能集成到整个通信系统方案中，因为ap在时间划分的基础上交替充当WIPS传感器和ap。AP将在设定的时间片内进入传感器模式，以监测使用中的频谱，称为“非通道扫描”。

也有可能在丧失WLAN功能的情况下，将基于控制器的ap转换为全职传感器。虽然与覆盖系统相比效率更高，成本更低，但AP功能的时间划分可能会导致问题。如果攻击者知道公司正在使用兼职传感器，就可以在AP扫描的时间间隔内发动足够短暂的攻击。出于显而易见的原因，非通道扫描也会导致互联网协议语音(VOIP)系统中的音频不稳定。最后，当包含入侵者或流氓设备时，AP将被该任务占用，直到入侵者被移除，在此期间它不能提供WLAN连接。

支持集成的体系结构描述了一种WIPS系统，除了专用于WLAN功能的专用ap外，还使用基于控制器的ap作为专用的全职传感器。这与集成系统的不同之处在于，功能是严格执行的;AP提供WLAN连接，而AP传感器提供监控和缓解。每种类型的AP都专用于特定的功能。

授权设备和流氓遏制

传感器的数量和位置因供应商而异，但公认的经验法则是每五个ap对应一个传感器。传感器不应在整个设施中呈直线放置，而应以交错的方式放置，并靠近周界，以加强内部的三角定位和外部的入侵者探测。高度安全的站点将使用1:1的传感器和ap，并利用更密集的位置。与所有部署一样，强烈建议进行彻底的专业现场调查。调查将确定现有WLAN、干扰源，甚至是流氓或未经授权的WLAN设备的存在。

WLAN设备可分为四个基本组。授权设备是指通过所使用的访问安全方法验证为有效客户端的设备。这些设备被授权访问WLAN资源。未经授权的设备是指那些不是非法设备，但是已经被检测到，并且没有被认证到受保护的WLAN的设备。第三类设备是“邻居”设备。邻居设备是一个已知的设备，它与属于附近企业或其他实体的相邻AP相关联。邻居设备通常首先被检测为未经授权的设备，经过进一步调查，可以手动将其归类为邻居设备。流氓设备是一种未经授权的设备，它要么故意干扰WLAN的操作，要么被认为是对网络的可行威胁。流氓设备要么未知，要么不受系统管理，通常是非法连接的设备。

流氓遏制和缓解是复杂的WIPS的能力。未经授权的设备被认定为非法设备后，将被正式归类为非法设备。WIPS通常使用欺骗的去身份验证帧来终止流氓设备连接到任何其他设备的能力。WIPS将这些欺骗帧传输到流氓的MAC地址并阻塞它。必须明确确定该设备为非法设备;如果它是一个合法的邻居设备，而你的WIPS禁用了它，你可能会遇到法律问题。对于有线非法设备，采用SNMP (simple network management protocol)端口抑制技术。

然而，应该理解的是，没有任何入侵者检测系统能够检测或防止窃听。被动入侵是无线通信的一种独特危害。作为一种不受限制的媒介，任何拥有适当设备的人都可以接收空中数据。入侵者只需在AP或WLAN范围内就可以轻松拦截无线传输。最好的防御是使用强大的安全措施。在企业中，应严格遵守802.1x RSNA技术;在小型办公室，家庭办公室(SOHO)级别，使用强密码是最好的防御。

在任何一种情况下，都必须制定强有力的安全政策，并在所有层面上予以遵守。请记住，大多数安全漏洞都是内部作业。大多数人都可以被说服或骗去暴露他们的网络凭证。WIPS不能防止或减轻这种类型的破坏。

根据WIDS/WIPS的复杂程度，可以提供持续监控和/或入侵者缓解，并且有适合所有预算和级别的系统。但是，应该充分考虑升级到WIPS的复杂性和功能(以及费用)的需要，并且在部署之前应该完成完整的现场调查。在SOHO环境中使用WIPS可能会过于夸张，而在银行、医院或敏感的军事设施中使用WIPS则被认为是必不可少的。

- Daniel E. Capano，康涅狄格州斯坦福德多元化技术服务公司的所有者和总裁，是认证无线网络管理员(CWNA);dcapano@sbcglobal.net．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com。

网上临时演员

www.globalelove.com/blogs有其他无线教程从卡帕诺以下主题:

将无线局域网集成到现有的有线局域网中

选择单通道和多通道架构

虚拟和物理WLAN现场调查

www.globalelove.com/webcasts有无线网络广播，一些为PDH信用。

控制工程有一个无线页面．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。