论文部分内容阅读
摘要:随着无线技术的发展,无线网络在各领域得到了广泛应用,可当无线网络给我们带来便捷的同时,也给系统和使用的信息带来许多意外的危险。本文将讨论在设计网络初期解决相关的规划和部署问题,以及如何使用当前各种入侵检测方法、工具和技术,以让整个无线网络系统在正式运行之后,能够最有效地进行网络监控和入侵检测。
关键词:无线网络;网络监控;入侵检测
一、引言
网络监控和入侵检测已经成为了网络安全领域的一个主要部分。随着无线网络访问的应用,对网络进行监控变得更加重要,因为无线网络增加了一个全新和开放的访问入口。网络监控和入侵检测就像是一个单位的保安人员,如同网络的眼睛和耳朵,能提醒各种潜在的安全漏洞和入侵企图。要想设计一个安全的无线网络,不仅要依赖许多标准的安全工具和技术,还需要应用一些设计技巧。
二、 有利于入侵检测的网络设计
设计一个相对安全的无线网络,需注重对网络的监控,并关注设备的选择、物理布局和无线电干扰。了解所在建筑的布局和物理障碍物,有助于判别可能转移注意力的错误警报。知道无线电干扰的来源和网络信号的范围,也能帮助我们在巡查网络入侵者时,避免潜在的错误警报和被误导的响应行动。
1. 采用封闭网络
为防止无线网络的开放性和易发现性带来的安全问题,必须采用“封闭网络”(closed network)系统。无线接入点不再广播自身的服务集标识符(Service Set Identifier,SSID),而是等待设置了合适SSID和信道的客户端来连接。但这样做的潜在缺点是,客户端必须事先知道网络的SSID和设置才能进行连接。但从安全的角度来讲,封闭网络系统是安全无线网络的理想基础。
2. 关注环境障碍物和无线电干扰源
了解网络环境周围的障碍物,对于决定接入点的数量至关重要,只有这样才能让无线网络具有充分且恰到好处的覆盖范围。相对于木头或石膏结构的建筑,钢架混凝土建筑会对802.11信号传输造成更多的限制。由于信号是向外发送的,接入点应该指向用户所在地的中央位置。这样可以限制到达建筑物之外的信号的数量和强度,信号越微弱攻击者就越难以探听。还应该考虑所在建筑的外部或内部是否存在无线电干扰源。潜在的问题来源可能是微波炉、2.4GHz无线电话、无线视频安全监控器以及其他的802.11b无线网络。这些干扰源可能会导致安全漏洞,并减小网络的覆盖范围。
三、 防御式监控的考虑因素
要开发一个入侵检测系统,诸如信号强度、建筑物和固定装置导致的信号失真、本地或远程干扰,以及用户的移动性等问题都是必须考虑的。另外,最初的无线网络安装过程中应该将安全监控功能包含在内。许多设备都有日志(logging)功能,应该充分利用这些日志,以对网络的当前情况有尽可能全面的了解。防火墙、路由器、内部Web服务器、DHCP(动态主机配置协议)服务器以及一些无线接入点都会提供日志文件,需要使用各种方法和设备对网络的流量和使用进行定期审查。
首先,在进行网络监控时,识别网络环境中的恶意干扰源需要先确定潜在的干扰源。在部署无线网络时遇到干扰情况,应该先考虑各种可能的解决办法,而不是先怀疑受到了攻击。如无线电话此类设备可能会对网络连接造成间歇性影响,无线视频监控器或其他设备会导致严重的信号冲突。确定潜在问题有助于对无线网络环境中的干扰和噪声进行监控。其次,须对网络信号进行定期监控,利用实地检查和探测工具确定网络信号范围,通过对信号强度的调整确定内部和外部网络可用性之间的平衡点。在对网络进行监控时,应该定期对相关区域进行检查。第三,还应该对无线网络可能遭到的拒绝服务(DoS)攻击进行监控。主动对网络进行调查、确定信号强度是否减弱、是否存在未知MAC地址。
四、 入侵检测的策略
除了网络监控,一个完整的入侵检测系统还应该包含更多的内容,软件需要对网络中的所有流量进行监控,通过把传输的数据与预先定义的攻击字符串(称为“特征”signature)进行对比,寻找潜在的攻击和入侵行为。因此需要对不同的入侵检测策略进行研究,才能充分发挥网络监控的作用。还可以通过在网络中集成监控功能,利用内置日志功能的网络设备,包括防火墙、DHCP服务器、路由器,甚至某些特定的无线接入点。根据从这些来源搜集到的信息,弄清楚其他入侵检测系统发出的警报,可获得突发事件的更多相关数据。这些数据也有助于手工检测网络中未经授权的流量和MAC地址。
1. 非法流量、协议监控和未经授权的MAC地址过滤
网络管理员应该持续不断地对网络中的流量进行监控,以了解网络负载。同时,关注网络中有哪些类型的网络协议被经常使用,一般情况下会有SMTP、DNS查询、Telnet、Web或SSH流量。还需要关注网络中某些特定设备还会使用到特定端口下的特定协议。如我们单位大部分部门使用的HP(惠普)打印机会使用9100端口产生JetDirect(HP推出的一种将打印机连接到网络上的技术)流量。通过比对可以分析出那些未知的、可能存在问题的数据流量,并及时追踪到这些不明流量的来源,及时处理。最后在安全策略中定义某些类型的应用程序和间谍软件,禁止其在网络中使用。IRC(互联网即时通信)流量是网络出现可疑情况的一个重要迹象,攻击者通常会使用IRC来共享非法信息。MAC地址过滤对在保证无线网络安全方面也非常实用,这种机制只允许具有指定MAC地址的无线网卡在网络中通信。大部分接入点具有MAC过滤功能,否则也可通过设置DHCP服务器达到同样的效果。在大型组织网络中,因为数量巨大,以至于难以记录全部的MAC地址,这种情况下可把来自同一厂商的所有无线产品(MAC地址前部分相同)添加到允许列表中。
2. 对攻击特征的科学定义
有经验的攻击者可能了解常见IDS检测器的特征文件,比如在某一特定类型的攻击数据包里,包含字符“Hacked by SuWeiPing.”默认的过滤器可能因此专门去搜索字符串“SuWeiPing”,攻击者会利用这点向网络发送大量无害的数据包,且数据包中只包含字符串“SuWeiPing”,即使这些数据包对网络和系统没有造成任何伤害,但IDS系统会被欺骗,并对每个数据包发出警报,从而导致一系列混乱的响应活动,使整个系统处于极大的处理压力之下。如管理员因此而关闭IDS系统,则真正的攻击马上开始。因此需要对攻击特征进行科学地自定义,并不断地更新,从而挫败此类攻击策略。
五、 结束语
以上简单讨论了入侵检测和监控的一些概念,以及如何把相应技术应用到无线网络中。我们尤其关注这样的事实:从无线网络的初始设计阶段就应该注重安全问题。安全是需要规划和行动的一个过程,而不能只依赖于计算机市场上出售的包装得漂漂亮亮的某个工具。通过适当地调查,我们就能建立一个相对安全的无线网络,并在危险到来之前就知晓其中存在的潜在问题。并通过把专用的监控软件和安全设备日志相结合使用,从而获得更有价值的网络状态信息,并据此采取措施,以减少可能发生的危险。如果发现网络处于远大于正常情况的负载之下,则是一个可能遭到入侵的信号。
参考文献:
[1]王达.网络测试、监控和实验[M].北京:电子工业出版社,2008.
[2]海吉.网络安全技术与解决方案(修订版)[M].北京:人民邮电出
版社,2010.
(韩山师范学院潮州师范分院)
关键词:无线网络;网络监控;入侵检测
一、引言
网络监控和入侵检测已经成为了网络安全领域的一个主要部分。随着无线网络访问的应用,对网络进行监控变得更加重要,因为无线网络增加了一个全新和开放的访问入口。网络监控和入侵检测就像是一个单位的保安人员,如同网络的眼睛和耳朵,能提醒各种潜在的安全漏洞和入侵企图。要想设计一个安全的无线网络,不仅要依赖许多标准的安全工具和技术,还需要应用一些设计技巧。
二、 有利于入侵检测的网络设计
设计一个相对安全的无线网络,需注重对网络的监控,并关注设备的选择、物理布局和无线电干扰。了解所在建筑的布局和物理障碍物,有助于判别可能转移注意力的错误警报。知道无线电干扰的来源和网络信号的范围,也能帮助我们在巡查网络入侵者时,避免潜在的错误警报和被误导的响应行动。
1. 采用封闭网络
为防止无线网络的开放性和易发现性带来的安全问题,必须采用“封闭网络”(closed network)系统。无线接入点不再广播自身的服务集标识符(Service Set Identifier,SSID),而是等待设置了合适SSID和信道的客户端来连接。但这样做的潜在缺点是,客户端必须事先知道网络的SSID和设置才能进行连接。但从安全的角度来讲,封闭网络系统是安全无线网络的理想基础。
2. 关注环境障碍物和无线电干扰源
了解网络环境周围的障碍物,对于决定接入点的数量至关重要,只有这样才能让无线网络具有充分且恰到好处的覆盖范围。相对于木头或石膏结构的建筑,钢架混凝土建筑会对802.11信号传输造成更多的限制。由于信号是向外发送的,接入点应该指向用户所在地的中央位置。这样可以限制到达建筑物之外的信号的数量和强度,信号越微弱攻击者就越难以探听。还应该考虑所在建筑的外部或内部是否存在无线电干扰源。潜在的问题来源可能是微波炉、2.4GHz无线电话、无线视频安全监控器以及其他的802.11b无线网络。这些干扰源可能会导致安全漏洞,并减小网络的覆盖范围。
三、 防御式监控的考虑因素
要开发一个入侵检测系统,诸如信号强度、建筑物和固定装置导致的信号失真、本地或远程干扰,以及用户的移动性等问题都是必须考虑的。另外,最初的无线网络安装过程中应该将安全监控功能包含在内。许多设备都有日志(logging)功能,应该充分利用这些日志,以对网络的当前情况有尽可能全面的了解。防火墙、路由器、内部Web服务器、DHCP(动态主机配置协议)服务器以及一些无线接入点都会提供日志文件,需要使用各种方法和设备对网络的流量和使用进行定期审查。
首先,在进行网络监控时,识别网络环境中的恶意干扰源需要先确定潜在的干扰源。在部署无线网络时遇到干扰情况,应该先考虑各种可能的解决办法,而不是先怀疑受到了攻击。如无线电话此类设备可能会对网络连接造成间歇性影响,无线视频监控器或其他设备会导致严重的信号冲突。确定潜在问题有助于对无线网络环境中的干扰和噪声进行监控。其次,须对网络信号进行定期监控,利用实地检查和探测工具确定网络信号范围,通过对信号强度的调整确定内部和外部网络可用性之间的平衡点。在对网络进行监控时,应该定期对相关区域进行检查。第三,还应该对无线网络可能遭到的拒绝服务(DoS)攻击进行监控。主动对网络进行调查、确定信号强度是否减弱、是否存在未知MAC地址。
四、 入侵检测的策略
除了网络监控,一个完整的入侵检测系统还应该包含更多的内容,软件需要对网络中的所有流量进行监控,通过把传输的数据与预先定义的攻击字符串(称为“特征”signature)进行对比,寻找潜在的攻击和入侵行为。因此需要对不同的入侵检测策略进行研究,才能充分发挥网络监控的作用。还可以通过在网络中集成监控功能,利用内置日志功能的网络设备,包括防火墙、DHCP服务器、路由器,甚至某些特定的无线接入点。根据从这些来源搜集到的信息,弄清楚其他入侵检测系统发出的警报,可获得突发事件的更多相关数据。这些数据也有助于手工检测网络中未经授权的流量和MAC地址。
1. 非法流量、协议监控和未经授权的MAC地址过滤
网络管理员应该持续不断地对网络中的流量进行监控,以了解网络负载。同时,关注网络中有哪些类型的网络协议被经常使用,一般情况下会有SMTP、DNS查询、Telnet、Web或SSH流量。还需要关注网络中某些特定设备还会使用到特定端口下的特定协议。如我们单位大部分部门使用的HP(惠普)打印机会使用9100端口产生JetDirect(HP推出的一种将打印机连接到网络上的技术)流量。通过比对可以分析出那些未知的、可能存在问题的数据流量,并及时追踪到这些不明流量的来源,及时处理。最后在安全策略中定义某些类型的应用程序和间谍软件,禁止其在网络中使用。IRC(互联网即时通信)流量是网络出现可疑情况的一个重要迹象,攻击者通常会使用IRC来共享非法信息。MAC地址过滤对在保证无线网络安全方面也非常实用,这种机制只允许具有指定MAC地址的无线网卡在网络中通信。大部分接入点具有MAC过滤功能,否则也可通过设置DHCP服务器达到同样的效果。在大型组织网络中,因为数量巨大,以至于难以记录全部的MAC地址,这种情况下可把来自同一厂商的所有无线产品(MAC地址前部分相同)添加到允许列表中。
2. 对攻击特征的科学定义
有经验的攻击者可能了解常见IDS检测器的特征文件,比如在某一特定类型的攻击数据包里,包含字符“Hacked by SuWeiPing.”默认的过滤器可能因此专门去搜索字符串“SuWeiPing”,攻击者会利用这点向网络发送大量无害的数据包,且数据包中只包含字符串“SuWeiPing”,即使这些数据包对网络和系统没有造成任何伤害,但IDS系统会被欺骗,并对每个数据包发出警报,从而导致一系列混乱的响应活动,使整个系统处于极大的处理压力之下。如管理员因此而关闭IDS系统,则真正的攻击马上开始。因此需要对攻击特征进行科学地自定义,并不断地更新,从而挫败此类攻击策略。
五、 结束语
以上简单讨论了入侵检测和监控的一些概念,以及如何把相应技术应用到无线网络中。我们尤其关注这样的事实:从无线网络的初始设计阶段就应该注重安全问题。安全是需要规划和行动的一个过程,而不能只依赖于计算机市场上出售的包装得漂漂亮亮的某个工具。通过适当地调查,我们就能建立一个相对安全的无线网络,并在危险到来之前就知晓其中存在的潜在问题。并通过把专用的监控软件和安全设备日志相结合使用,从而获得更有价值的网络状态信息,并据此采取措施,以减少可能发生的危险。如果发现网络处于远大于正常情况的负载之下,则是一个可能遭到入侵的信号。
参考文献:
[1]王达.网络测试、监控和实验[M].北京:电子工业出版社,2008.
[2]海吉.网络安全技术与解决方案(修订版)[M].北京:人民邮电出
版社,2010.
(韩山师范学院潮州师范分院)