论文部分内容阅读
摘 要:文章针对无线局域网易受攻击、入侵等诸多安全问题,提出一种分布式无线局域网(WLAN)安全管理框架(ASMF),并基于该框架实现了自适应的安全管理系统(ASMS)。与已有的安全系统相比,ASMF不仅能够被动地检测攻击,且可主动地探测未知漏洞与威胁,同时根据网络配置自适应调整防御策略,其良好的扩展性使得用户可针对新型攻击的测试、检测和自定制管理策略进行自由扩展。
关键词:无线局域网 安全管理系统 管理框架
计算机网络和无线通信技术相结合的产物——IEEE802.11无线局域网避免了有线、网络线缆对用户的束缚,其发展迅速,但同时也带来了新的挑战。传输介质的公开性使得WLAN更容易受到攻击,不但会受到与有线网络相同的TCP/IP攻击,而且还会受到针对802.11协议标准的特殊威胁。利用加密协议WEP固有的缺陷,最快可以在60s内破解其密钥。为了保证安全通信,在无线局域网中制订了相应的安全标准802.11i,但就目前的研究现状来看,这些安全标准并不能完全保证无线局域网的安全性。本文提出的自适应安全管理框架(ASMF)能够主动探测WLAN未知漏洞,预警信息,并根据WLAN的网络设备、安全配置、网络拓扑、主动分析结果等信息,动态地生成具有针对性的安全管理策略,适时地调整攻击和异常行为的检测、处理策略。
一、分布式自适应安全管理框架
ASMF采用分布式架构,主要由3部分组成:控制中心、安全管理服务器、无线安全分析终端(Agent)。安全管理服务器与Agent通过配合来检测WLAN的安全性,并将网络状态实时地送往控制中心。利用分布式架构,管理员同时可对多个无线局域网进行安全分析和管理,而无需亲临现场。
第一,控制中心。控制中心由控制台和模式库组成。控制台连接多个安全管理服务器,管理员通过控制台查看管理服务器中的网络性能状态和网络安全状态等,配置管理服务器中的用户信息库、模式库和决策库,向管理服务器发布网络分析和网络管理命令。模式库存储的内容与管理服务器需保持同步,管理员在控制中心更新模式库,并将最新版分发到各地的安全管理服务器。
第二,安全管理服务器。安全管理服务器集成了WLAN主动分析技术、被动安全分析技术和无线网络管理技术,是本文框架的核心部分。如图1所示,管理服务器从若干个无线安全分析终端接收数据,数据经处理后放入存储模块,并根据数据的不同类型分别转发至被动安全分析模块、主动安全分析模块和安全管理模块。主动分析模块和被动分析模块根据相应的模式库检测网络中是否存在攻击或异常行为,安全管理模块将结合主动与被动分析得出的结果分别送入决策模块和网络信息模块。决策模块根据决策库的策略配置自动发布报警、防御等管理信息和管理指令。安全管理模块以日志、安全报告、事件报警的形式向控制中心报告网络安全状况。
图1 管理服务器框架
第三,无线终端。Agent是置于无线环境中的探测器,可捕获无线环境中的所有报文,并将自组报文注入任意信道,满足主动安全分析的要求。Agent可监测所有使用802.11协议的网络设备,通过捕获802.11网络数据包来监测网络通信,它无需AP对简单网络管理协议(SNMP)等的支持,无需统一的网络设备,完全以第三方形式出现,所以不影响网络性能,不会受到无线环境的攻击。Agent主要包括主动分析支撑模块、被动分析支撑模块、过滤规则库、分析终端管理模块(见图2)。
图2 无线安全分析终端及通信
二、ASMF框架的应用
基于ASMF框架,实现了自适应安全管理系统(ASMS),其中Agent采用自主开发的支持802.11帧采集及信道注入的硬件终端,应用TCL脚本语言及C++实现了安全管理服务器,集成了主动分析与被动分析技术,并应用C++语言在控制中心实现了图形化操作界面。
第一,Agent的实现。Agent的硬件部分由自主研发的核心板和接口板组成,其结构如图3所示。核心板集成了Frees-cale的MPC8270处理器,128 MB SDRAM以及16MB的Flash。底板上集成了非常丰富的外设接口:2个10/100 Mb以太网接口可接入本地局域网或直接连接安全管理服务器;1个两线RS-232串口(COM1);2个PCI插槽。Agent软件包括Linux操作系统2.6.20、Madwifi-ng网卡驱动程序、Libpcap.so.0.9.4函数库、TCL8.4以及自主研发的TCL底层支撑库。Libpcap是Unix/Linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Madwifing网卡驱动程序通过支持Libpcap函数库来捕获报文,并向信道中注入任意构造的报文。系统采用2块Atheros公司AR5005系列芯片无线网卡,1块网卡用于被动分析支持模块,捕获带有802.11MAC头的无线数据包,1块用于主动分析支持模块,向信道中注入数据包,同时监测数据是否发送成功。
图3 硬件结构图
第二,主动安全分析和被动安全分析技术。在主动安全分析中,每种攻击测试方法在模式库中对应一个测试套件,测试套件用TCL语言编写并基于自主开发的TCL扩展库。套件分为主脚本和配置脚本,主脚本执行攻击测试,配置脚本配置主脚本中可变参数,所有脚本在管理服务器或控制中心进行编写和调试。在执行主动分析时,主动分析模块将脚本发送到Agent,Agent执行后返回脚本收集到的结果。本系统目前已支持45种攻击测试,支持协议有802.11协议(26种)、802.1X协议(7种)、移动IPv4协议(5种)、移动IPv6协议(7种)。被动分析分为两部分:一部分在无线分析终端执行一个可配置的TCL脚本,该脚本采集并统计与无线网性能相关的参数,如信道吞吐量、信道利用率、站点信号强度,脚本采用多线程,管理服务器通过发送配置脚本动态地改变主脚本的监测模式并返回信息等;另一部分在管理服务器完成,包括分析网络拓扑,分析STA或AP基本信息,分析入侵检测结果。入侵检测吸取了Wireshark中的协议解析结构和Snort入侵检测架构的特点,入侵检测采用动态链接库来实现,它针对每种攻击检测机制可以开发相应的动态链接库。所有动态链接库具有相同的数据入口、数据出口和调用接口,可以方便地加入到入侵检测链中,具有很强的扩展性。在进行被动分析执行时,可根据当前网络配置及主动分析中网络对每种攻击的防御能力,决定相应攻击检测动态链接库的挂载及数据包返回规则,从而控制每种攻击的检测力度。目前,系统支持51种攻击行为的检测和60种异常行为的检测。
第三,与Airmagnet性能对比。Airmagnet是无线安全领域的著名艾尔麦公司开发的系统,与该系统企业版7.0(Airmgagnet 7.0)相比,ASMS可主动探测WLAN未知漏洞,提前发布预警信息,指出网络防御重点,而Airmagnet只支持被动的网络攻击或入侵检测,不能根据网络配置自适应地调整检测策略。在管理策略配置方面,Airmgagnet 7.0提供了策略管理器,它只允许用户从已有的管理策略中选取策略,所以不具扩展性,而ASMS不仅允许用户根据自身需要以TCL脚本的形式自由定制及扩展具有针对性的管理策略,还允许用户自由扩展安全检测及主动分析模式库,以检测新型攻击。Airmagnet 7.0在阻断入侵和定位非法设备方面性能良好,它除了支持无线阻断以外,还可以通过管理控制台集成SNMP,有线地阻断非法者,而对于非法设备,可根据预定义的网络所在物理环境的二维模型,利用三点定位技术进行追踪,这些是ASMS系统目前所不具备的。
三、结论
本文提出了基于分布式架构的综合性安全管理框架,该框架同时具有安全分析和安全管理功能,能主动探测WLAN漏洞,并通过监测WLAN配置自适应地生成具有针对性的被动分析策略和防御机制。当检测到攻击或异常行为时,ASMF能够根据决策配置自发地进行防御和阻塞。除此之外,框架还具有良好的扩展性和灵活性,允许用户自由扩展新的攻击测试方法和新型攻击检测方法。同时,基于ASMF框架实现了原型系统ASMS,目前支持不同协议下共45种攻击测试、51种攻击检测和60种异常行为检测。随后将继续完善模式库,以支持更多的攻击测试及攻击检测。
(作者单位:武汉大学软件工程国家重点实验室)
【参考文献】
1、陈伟琳,周颢,赵保华.利用构造类别代数的协议安全测试方法[J].西安交通大学学报,2008(12).
2、薛雨杨,周颢,赵保华.无线局域网802.1X协议安全性分析与检测[J].西安交通大学学报,2009(10).
3、FLUHRER S,MANTIN I,SHAMIR A.Weaknesses in the key scheduling algorithm of RC4 [M].Lecture Notes in Computer Science,2001.
4、TEWS E,BECK M.Practical attacks against WEP and WPA [M].Proceedings of the 2nd ACM Conference on Wireless Network Security,2009.
关键词:无线局域网 安全管理系统 管理框架
计算机网络和无线通信技术相结合的产物——IEEE802.11无线局域网避免了有线、网络线缆对用户的束缚,其发展迅速,但同时也带来了新的挑战。传输介质的公开性使得WLAN更容易受到攻击,不但会受到与有线网络相同的TCP/IP攻击,而且还会受到针对802.11协议标准的特殊威胁。利用加密协议WEP固有的缺陷,最快可以在60s内破解其密钥。为了保证安全通信,在无线局域网中制订了相应的安全标准802.11i,但就目前的研究现状来看,这些安全标准并不能完全保证无线局域网的安全性。本文提出的自适应安全管理框架(ASMF)能够主动探测WLAN未知漏洞,预警信息,并根据WLAN的网络设备、安全配置、网络拓扑、主动分析结果等信息,动态地生成具有针对性的安全管理策略,适时地调整攻击和异常行为的检测、处理策略。
一、分布式自适应安全管理框架
ASMF采用分布式架构,主要由3部分组成:控制中心、安全管理服务器、无线安全分析终端(Agent)。安全管理服务器与Agent通过配合来检测WLAN的安全性,并将网络状态实时地送往控制中心。利用分布式架构,管理员同时可对多个无线局域网进行安全分析和管理,而无需亲临现场。
第一,控制中心。控制中心由控制台和模式库组成。控制台连接多个安全管理服务器,管理员通过控制台查看管理服务器中的网络性能状态和网络安全状态等,配置管理服务器中的用户信息库、模式库和决策库,向管理服务器发布网络分析和网络管理命令。模式库存储的内容与管理服务器需保持同步,管理员在控制中心更新模式库,并将最新版分发到各地的安全管理服务器。
第二,安全管理服务器。安全管理服务器集成了WLAN主动分析技术、被动安全分析技术和无线网络管理技术,是本文框架的核心部分。如图1所示,管理服务器从若干个无线安全分析终端接收数据,数据经处理后放入存储模块,并根据数据的不同类型分别转发至被动安全分析模块、主动安全分析模块和安全管理模块。主动分析模块和被动分析模块根据相应的模式库检测网络中是否存在攻击或异常行为,安全管理模块将结合主动与被动分析得出的结果分别送入决策模块和网络信息模块。决策模块根据决策库的策略配置自动发布报警、防御等管理信息和管理指令。安全管理模块以日志、安全报告、事件报警的形式向控制中心报告网络安全状况。
图1 管理服务器框架
第三,无线终端。Agent是置于无线环境中的探测器,可捕获无线环境中的所有报文,并将自组报文注入任意信道,满足主动安全分析的要求。Agent可监测所有使用802.11协议的网络设备,通过捕获802.11网络数据包来监测网络通信,它无需AP对简单网络管理协议(SNMP)等的支持,无需统一的网络设备,完全以第三方形式出现,所以不影响网络性能,不会受到无线环境的攻击。Agent主要包括主动分析支撑模块、被动分析支撑模块、过滤规则库、分析终端管理模块(见图2)。
图2 无线安全分析终端及通信
二、ASMF框架的应用
基于ASMF框架,实现了自适应安全管理系统(ASMS),其中Agent采用自主开发的支持802.11帧采集及信道注入的硬件终端,应用TCL脚本语言及C++实现了安全管理服务器,集成了主动分析与被动分析技术,并应用C++语言在控制中心实现了图形化操作界面。
第一,Agent的实现。Agent的硬件部分由自主研发的核心板和接口板组成,其结构如图3所示。核心板集成了Frees-cale的MPC8270处理器,128 MB SDRAM以及16MB的Flash。底板上集成了非常丰富的外设接口:2个10/100 Mb以太网接口可接入本地局域网或直接连接安全管理服务器;1个两线RS-232串口(COM1);2个PCI插槽。Agent软件包括Linux操作系统2.6.20、Madwifi-ng网卡驱动程序、Libpcap.so.0.9.4函数库、TCL8.4以及自主研发的TCL底层支撑库。Libpcap是Unix/Linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Madwifing网卡驱动程序通过支持Libpcap函数库来捕获报文,并向信道中注入任意构造的报文。系统采用2块Atheros公司AR5005系列芯片无线网卡,1块网卡用于被动分析支持模块,捕获带有802.11MAC头的无线数据包,1块用于主动分析支持模块,向信道中注入数据包,同时监测数据是否发送成功。
图3 硬件结构图
第二,主动安全分析和被动安全分析技术。在主动安全分析中,每种攻击测试方法在模式库中对应一个测试套件,测试套件用TCL语言编写并基于自主开发的TCL扩展库。套件分为主脚本和配置脚本,主脚本执行攻击测试,配置脚本配置主脚本中可变参数,所有脚本在管理服务器或控制中心进行编写和调试。在执行主动分析时,主动分析模块将脚本发送到Agent,Agent执行后返回脚本收集到的结果。本系统目前已支持45种攻击测试,支持协议有802.11协议(26种)、802.1X协议(7种)、移动IPv4协议(5种)、移动IPv6协议(7种)。被动分析分为两部分:一部分在无线分析终端执行一个可配置的TCL脚本,该脚本采集并统计与无线网性能相关的参数,如信道吞吐量、信道利用率、站点信号强度,脚本采用多线程,管理服务器通过发送配置脚本动态地改变主脚本的监测模式并返回信息等;另一部分在管理服务器完成,包括分析网络拓扑,分析STA或AP基本信息,分析入侵检测结果。入侵检测吸取了Wireshark中的协议解析结构和Snort入侵检测架构的特点,入侵检测采用动态链接库来实现,它针对每种攻击检测机制可以开发相应的动态链接库。所有动态链接库具有相同的数据入口、数据出口和调用接口,可以方便地加入到入侵检测链中,具有很强的扩展性。在进行被动分析执行时,可根据当前网络配置及主动分析中网络对每种攻击的防御能力,决定相应攻击检测动态链接库的挂载及数据包返回规则,从而控制每种攻击的检测力度。目前,系统支持51种攻击行为的检测和60种异常行为的检测。
第三,与Airmagnet性能对比。Airmagnet是无线安全领域的著名艾尔麦公司开发的系统,与该系统企业版7.0(Airmgagnet 7.0)相比,ASMS可主动探测WLAN未知漏洞,提前发布预警信息,指出网络防御重点,而Airmagnet只支持被动的网络攻击或入侵检测,不能根据网络配置自适应地调整检测策略。在管理策略配置方面,Airmgagnet 7.0提供了策略管理器,它只允许用户从已有的管理策略中选取策略,所以不具扩展性,而ASMS不仅允许用户根据自身需要以TCL脚本的形式自由定制及扩展具有针对性的管理策略,还允许用户自由扩展安全检测及主动分析模式库,以检测新型攻击。Airmagnet 7.0在阻断入侵和定位非法设备方面性能良好,它除了支持无线阻断以外,还可以通过管理控制台集成SNMP,有线地阻断非法者,而对于非法设备,可根据预定义的网络所在物理环境的二维模型,利用三点定位技术进行追踪,这些是ASMS系统目前所不具备的。
三、结论
本文提出了基于分布式架构的综合性安全管理框架,该框架同时具有安全分析和安全管理功能,能主动探测WLAN漏洞,并通过监测WLAN配置自适应地生成具有针对性的被动分析策略和防御机制。当检测到攻击或异常行为时,ASMF能够根据决策配置自发地进行防御和阻塞。除此之外,框架还具有良好的扩展性和灵活性,允许用户自由扩展新的攻击测试方法和新型攻击检测方法。同时,基于ASMF框架实现了原型系统ASMS,目前支持不同协议下共45种攻击测试、51种攻击检测和60种异常行为检测。随后将继续完善模式库,以支持更多的攻击测试及攻击检测。
(作者单位:武汉大学软件工程国家重点实验室)
【参考文献】
1、陈伟琳,周颢,赵保华.利用构造类别代数的协议安全测试方法[J].西安交通大学学报,2008(12).
2、薛雨杨,周颢,赵保华.无线局域网802.1X协议安全性分析与检测[J].西安交通大学学报,2009(10).
3、FLUHRER S,MANTIN I,SHAMIR A.Weaknesses in the key scheduling algorithm of RC4 [M].Lecture Notes in Computer Science,2001.
4、TEWS E,BECK M.Practical attacks against WEP and WPA [M].Proceedings of the 2nd ACM Conference on Wireless Network Security,2009.