部署一个无线入侵检测系统的解决方案,为您的无线局域网

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

有多少入侵检测解决方案,落实有关建议,并遵守有关指引,我们已讨论了目前对现代无线通信市场? 答案是没有。

有很多无线入侵检测系统的解决方案,寻找非法的mac地址和essids对监测无线局域网。 一些这些解决方案,甚至实施专门的硬件设备。 虽然事情是聊胜于无,我们认为这样的"解决方案" ,是一种浪费金钱和时间。 他们也可能给你一种虚假的安全感。 先来看看现有的无线入侵检测系统的解决方案,使其能够得到有益的或者至少hackable ,使您可以修改工具,以最少需时形成局部优势的意见,我们所概述的和额外的数据流不断地从无线前线的人。

商业无线入侵检测系统

对商业方面,著名的无线入侵检测系统的解决方案包括airdefense的民警卫队和isomair无线哨位上。 这些解决方案都基于部署一个数组的传感器周围的监测无线局域网和集中他们的生产到管理服务器或控制台。 服务器可以是一个专门的硬件设备与安全的web界面和snmp管理或linux服务器机器连接到基于windows的管理控制台。 一些这些解决方案能够分析非802.11无线交通,甚至射频干扰,在监测的波段,这是有益的。

应该说,这取决于无线网络规模和影响范围区,部署无线硬件入侵检测传感器,可必不可少的。 每一个点的无线接入,在该组织应涵盖的一个入侵检测传感器,以提供高效率的网络监控。 越高,传感器接收灵敏度(阴性dbm的) ,就越好。 在最低限度,接收灵敏度的传感器不应逊于之一,你鸭收发器(但即使如此,也不能保证可靠的检测攻击的无线主机在保持足够的距离,鸭) 。 非常不利的所有商业感应器,我们看到的是无法连接外部天线传感器。 因此,有可能极大地提高了传感器的范围和灵敏度是急剧减少。 很显然,公司将不得不购买更多的较低范围和较低的灵敏度传感器,以弥补他们的无线网络。 然而,人们可以收取更多更强大的传感器连接到适当的天线。 不幸的是,目前营销趋势似乎遵循的第一条原则。 当然,你可以攻击商业传感器电汇了一个天线(失去你的保修期内) 。 也许是一个更美好和更灵活的解决方案,是要建立自己的定制传感器使用旧电脑,笔记本电脑,甚至是掌上电脑;

wisentry是一个商业软件解决方案,为无线局域网的监控和入侵检测,并不需要专门的硬件传感器。 wisentry创造了一个特定的姿态进入每一个部署无线主机。 这种姿态是储存所wisentry软件,并用于区分信赖和nontrusted装置。 wisentry有一个可配置的入侵检测警报数据库,并支持802.11a的,乙,和g网络。

另一种商业工具,结合了安全审计和入侵检测系统的特点是艾尔麦公司从全球安全系统。 艾尔麦公司,可在手机,笔记本电脑(必须使用思科的aironet卡) ,和"二合一"版本。 这个鲜明的特点艾尔麦公司是我国的一项基本ism频段射频分析仪的财产,允许该工具发现了802.11 b / g渠道重叠,在接待区,它可能发现有可能干扰。 艾尔麦公司,是能够出国旗的wep加密的数据包进行弱游,并在最新的版本中,侦查vpn的使用扫描无线局域网。

专有软件802.11协议分析仪,如乃嗅探器无线和wildpacket的airopeek ,还具备无线入侵检测系统的功能。 事实上, airopeek甚至支持远程rfgrabber无线传感器设备结合起来, airopeek嗅探器软件。 这给airopeek分布式功能类似airdefense的/ isomair入侵检测系统。 充分airopeek包装包括软件开发工具包,让顾客自己撰写airopeek过滤器在visual basic或c + + 。 这个无线协议分析器,因此,部分hackable ,尽管印度已经成为一个商业紧密源产品。

开放源码的无线入侵检测系统的设置和配置

第一个此类工具,来加以检讨,是由widz大声发小子(马克奥斯本) 。 该版本widz在当时的写作( 1.5 )支持以下内容:

  • 流氓鸭检测

  • airjack攻击检测

  • 探头请检测

  • 播出essid ( "任何" )

  • 坏陆委会安置就陆委会座名单

  • 坏essid安插一个essid座名单

  • 协会帧洪水

widz 1.5利用hostap司机及工务局出票房。 它包括两个程序: widz_apmon ,侦测接入点不会对鸭名单( widz - ap.config ) ,并widz_probemon ,监测网络,可能是敌对的交通。 警报说,引发这次widz版本widz_probemon包括以下几个方面:

  • alert1 。 快讯如果essid场是空的。 它接着呼吁警惕脚本和原木未来100包,从可疑来源。

  • alert2 。 警报,如果超过最高总会发生在不到一个界定的最高协会。

  • alert3 。 警报,如果陆委会是在badmac档案,这是一个简单的列表macs在十六进制。

  • alert4 。 快讯如果essid是在badsids上市文件。

当然,这是一个非常有限的名单警报,但你可以很容易放入警报,对你自己的。 使用widz_apmon ,首先解除了您的无线接口与ifconfig ,然后使用widz_apmon | sleep_time | wlan0产生指挥生产widz - ap.config鸭名单档案。 之后,可以发射监测,为无赖接入点与widz_apmon | sleep_time | wlan0监视器。 该sleep_time变指之间的时间扫描秒。 用widz_probemon是一样的容易。 首先编辑probemon.conf , badmacs , badsids档案。 然后把你的无线接口,把它纳入rfmon模式,并运行widz_probemon : 

  arhontus : 〜 # ifconfig wlan0了& & iwpriv wlan0监测2 & & widz_probemon wlan0 > logfile &

警惕shell脚本中包含身份证是自动执行时,一个流氓鸭或敌对交通侦破。 默认情况下,脚本发出了一个syslog信息记录仪磷security.notice 1美元指挥,并写入预警讯息,以目前的控制台。 或者,也可以使之发出一个警告,电子邮件, snmp的陷阱中,加得罪mac地址给acl的,等等,用你的想象。

一种开放源代码的无线入侵检测系统具有更多的可特点是异常由宓克礼。 这种入侵检测工具,根本不关心客户卡芯片或驾驶者的注意力;所有异常的需要,是一种无线接口rfmon模式。 它也包括一个自动的wep dvp4000 (公正的地方,你的wep关键在keys.lst )和无线蜜罐支持(可惜不容许的wep一个蜜罐尚未) 。 更重要的是,异常可以做到以下几点:

  • 分析灯塔的间隔时间为每发现鸭。

  • 分析802.11帧序列号码。

  • 发现探针要求从积极的扫描。

  • 检测协会请求水灾的影响。

  • 检测认证请求水灾的影响。

  • 侦查频繁reassociation要求。

  • 倾倒了honeypot交通成为一个网卡格式文件。

  • 重定向无线交通上的有线接口。

最后的选择是非常有趣的,因为使用了它,你可以管,无线车辆进入第3层和较高的入侵检测工具,如snort的进一步入侵检测系统的分析。 运行异常容易和简单: 

  arhontus : 〜 #异常 
 用法: 。 /异常[硫] -器件[ - 1 logfile - h的蜜罐] [邻装置] 
 选项: 
  -局长:使用s yslog( l og_alert) 
  -我器件:听其对接口所指定的装置 
  ( eth0的时候, wlan0 ... ) 
  (应当是在混杂模式) 
  -升l ogfile:档案如蜜罐包将倾倒 
  -高蜜罐:警惕有关交通就指明蜜罐 
 鸭'陆委会 
  -o设备:设备如解密交通去叫 
 入侵检测系统的分析 
 注: "硫"的选择应使用。 
  
 例如: 。 /异常硫- eth1邻为eth0 
  。 /异常硫- wlan0 - 1 。 / wids.tcpdump小时0时02分02秒d组:和4b : 7e : 0a

最后,有一个新airids无线身份证便显得十分乐观。 airids有gtk +的前端,并支持棱镜和思科的aironet芯片卡。 这一工具还处于测试版的发展阶段,但支持非常灵活的定制身份证rulesets ,交通注射挫败的wep开裂,并积极防御,从版本0.3.1从不间断。 负担不起这样的特点, airids 0.3.1或更新版本,将使用大量的修改或重写棱镜司机( airjack式的,也许) ,而不是"常住" prism_cs / airo_cs模块,它使用了。

人们经常忽视且非常强大的无线入侵检测工具,是先秦"天命。 先秦"天命已走过了漫长的道路,从一个wardriver的工具,以充分吹客户机/服务器入侵检测系统。 最近期的版本先秦"天命实施身份证的建议来自约书亚赖特的文章,我们前面提到的。 找出其中ids的特点你的版本支持先秦"天命查核更新记录。 不要忘记,是有相当的差距先秦"天命稳定和先秦"天命发展树木:先秦"天命-发展可能刚刚实施的最近期的入侵检测特征,你迫切需要。 最新先秦"天命-开发版本在当时的写作包括以下特点:

  • deauthentication / deassociation帧防洪检测

  • 802.11帧序列分析

  • 萎靡不振的airjack用户在监测的地区

  • 检测netstumbler探针和版本netstumbler运行

  • 检测韦伦赖特essid字典攻击

  • packetcracker代码,以警告对柔性制造系统攻击脆弱的wep

  • 检测探针只有客户表示,从来没有参加网(迷你stumbler , dstumbler ,或者干脆失去了和寂寞错误配置主机)

  • 802.11扩频/ fhss区别

  • 数据写入帧,以一个fifo命名管道,为外来入侵检测系统,如snort的

  • 运行时的wep解码

  • 过多的射频噪声检测

  • 朗讯户外路由器/ turbocell / karlnet非802.11无线网络检测

这些特点,加上一个客户机/服务器结构,易于使用的警报系统(只需按下w到开立一个单独的警报窗口,并浏览了警告) ,大结构的数据记录机制,及可能出现的整合与远程传感器等中微子802.11 b的分布式传感器,使先秦"天命一个伟大的自由入侵检测工具来部署。 此外,有能力使用多种客户卡和分裂扫描频率,其中卡进一步增加值在先秦"天命无线网络监控和入侵检测。

几个建议,供动手无线入侵检测传感器建设

你可能会考虑兴建先秦"天命为基础的远程无线传感器自己了。 虽然旧电脑上运行linux或bsd的可能不看性感的一个小井设备从网络化学等。 (但你可以随时使用zaurus系列或手机! ) ,我们有很多的优点在于,黑客入侵了一个定制的入侵检测系统的传感器。 首先,它的便宜:你的成本可能低至成本的一个pcmcia到pci适配器和一个额外的客户端卡。 此外,我们都是被可疑的低增益omnidirectionals用现成作出了无线传感器。 如何内置过关传感器相连,以14.5的dbi全方位售出http://www.fab-corp.com一个非常合理的价格是多少? 难道始终要全方位的,考虑到有可能形成你的网络覆盖区? 如何约一个传感器利用高增益定向旁边的长程点对点无线网桥呢? 会不会你想探测袭击者沿着你的整个环节,而不是只围绕无线网桥区? 你难道不希望刺激接收灵敏度你的传感器是由一个额外10至20 dbm的?

另一个有趣和有益的事,是整合第二层无线和更高层次的入侵检测工具或系统(嗤之以鼻, iplog , portsentry )在一个单一的设备。 你可以使用异常邻旗,先秦"天命先进先出命名管道,或只是引发你的更高层次的入侵检测系统控制脚本,在先秦"天命以同样的方式运行先秦"天命发挥和节音频无线局域网活动的迹象。 嗤之以鼻将拒绝运行时,就推出了一个无线接口-检查它自己。 不过,这个问题是很容易绕过用先秦"天命。 第一件事,你必须要做的是改变一条线在kismet.conf档案:卷动到#先进先出= /川芎嗪/ kismet_dump ,注释,这条线,拯救配置文件,并启动kismet_server 。 一旦开始,将先秦"天命锁定/川芎嗪/ kismet_dump文件,直到它是全由嗤之以鼻。 现在,让我们开始嗤之以鼻。 配置你的喜好,但应增加一个-俄/川芎嗪/ kismet_dump开关,当你运行它,那么它将读取数据,从先进先出饲料中的先秦"天命。 你可以再安装和运行酸愉快和丰富多彩的入侵检测系统日志查看。 这就是它! 享受你的高度可配置无线和有线入侵检测系统,在许多方面普遍优于其昂贵的商业对口单位。 毕竟,有多少客户机/服务器灵活的集成无线和有线的商业入侵检测系统解决方案,如果您知道吗?

当然,更多的方法,可以用来分析网卡格式先秦"天命转储文件。 最明显的办法是用醚和运用特定的过滤器,拿起签字的共同攻击,我们已介绍。 举例来说,无形的过滤器,为共同积极扫描工具攻击特征概述约书亚赖特的"第2层分析发现,无线局域网的应用入侵检测系统"的文件,并验证了我们,包括以下几个方面:

  • netstumbler : 

      ( wlan.fc.type_subtype情商32和llc.oui情商0x00601d和llc.pid情商0x0001 )和(数据[ 4时04分]情商41:6 c : 6 c条: 20或数据[ 4时04分]情商了6 c : 46 : 72:75或数据[ 4时04分]情商20:20:20:20 )
  • dstumbler (有源扫描) : 
      ( wlan.seq情商11和wlan.fc.subtype情商11 )或( wlan.seq情商12和wlan.fc.subtype情商00 )
  • windows xp的探索: 
      wlan.fc情商0x0040和wlan_mgt.tag.number情商0和wlan_mgt.tag.length情商32和wlan_mgt 。 tag.interpretation [ 0时04分]情商0c : 15时f组: 03
  • 韦伦赖特探头要求(在essid强暴迫) : 
      wlan.fc情商0x0040和wlan_mgt.tag.number情商0和wlan_mgt.tag.length情商29和wlan_mgt 。 tag.interpretation情商" this_is_used_for_wellenreiter

当然,现在有许多更加802.11帧的发送工具来看待和创造新的过滤器。 这些工具包括最新版本的airjack , wepwedgie , wnet dinj和reinj水电费, fakeap及其修改,并void11 。 该无形攻击签名的过滤器是有用的两个安全研究和入侵检测。 他们可以更无助于事故应变程序,应打破在发生(但一定要记住,一个适当的安全储存和完整性验证的网卡档案必须保证事前) 。 最后,如果你是喜欢冒险的,你可以尝试使用它们和/或输出先秦"天命部署积极防御和攻击回,或者至少混淆自动攻击。 举例来说,当一netstumbler用户发现在该地区,适当先秦"天命输出或分组配对攻击签名所界定的一个过滤器能够打开fakeap与预设essids或互委会忽视了先秦"天命(为了避免可能出现日志溢出的dos ) 。

如果出于某种原因,你宁愿不要用先秦"天命+ snort的组合,你可以选择为嗤之以鼻-无线项目。 嗤之以鼻-无线是一个补丁的s nort能够8 02.11帧的了解和第2层有关的警报发送。 目前,嗤之以鼻-无线允许netstumbler交通检测经antistumbler预处理器。 编辑snort.conf加入预antistumbler : probe_reqs [ num个] , probe_period [ num个] , expire_timeout [ num个] :

  • probe_reqs是多少探针请求触发警报。

  • probe_period是时间内(秒) ,其中无效的ssid探针请求计数存放。

  • expire_timeout是时间(秒) ,然后检测出罪犯是从stumbler名单。

此外,无赖接入点,并特设网络检测支持透过渠道和access_points变数,也确定在snort.conf 。 虽然有不少特点,由先秦"天命+ snort的组合并不包含在snort的无线然而,由于灵活的计划,并可能以书面形式802.11相关的规则以同样的方式标准snort规则都写,嗤之以鼻-无线工程具有巨大的潜力。

不要忘记还有许多"行业标准"无线入侵检测系统的传感器仍然使用telnet和snmpv1的为手段的远程管理和传递抓获无线数据没有加密和完整性检查。 有没有人只提默认的snmp社区? 我们遇到了商用无线入侵检测传感器遥控途经读写"公/私" ,社会默认了! 不幸的是,即使系统管理员往往不改变默认设置的网络设备。 我们期待很久之前获得通过这些设备将开始支持maclockdown ,更不用提的ipsec 。 另一方面,关于定制的内置传感器可雇用任何种交通保护和存取控制你的选择。 例如,你可以建立一个网络,内置过关传感器连接到中央服务器的入侵检测系统通过主机到网络虚拟专用网的拓扑结构。

选择一个硬件平台,为您的传感器可以有所不同。 一个有趣的可能性是使用合适soekris议会( http://www.soekris.com ) 。 因为这些议会支持可选基于硬件的加密,也可以极适合为解决刚才的提议。 几个soekris基于定制的内置无线传感器挥舞适当的高增益天线,并能传输大量的数据,途经的aes加密的ipsec隧道,以集中式入侵检测系统的服务器整合先秦"天命,嗤之以鼻,和其他几个交通和日志分析工具作梦分布和负担得起的无线入侵检测系统中,的确! soekris板设计运行免费/网/ openbsd系统或linux系统。 核对单据对各监事会的版本和自己的能力在soekris网站。

另一个有趣的和不切实际的无线入侵检测系统的传感器平台,是一个古老的ipaq掌上电脑具有双重的pcmcia客户卡摇篮。 一个摇篮槽会召开以太网卡客户,为有线连接,还有1人,将携带一个无线客户端卡(我们建议思科的aironet 350双mmcx接头,以避免需要软件频道跳频和堵塞在一个适当的天线) 。 您可以安装熟悉或类似distro对机型,下载并安装。 ipkg先秦"天命方案,并成立的ssh或基于vpn连接到中央入侵检测系统监测服务器。 一个手机为基础的传感器将成为唯一的无线入侵检测系统的传感器与一个"本地人"的展示,以期无线局域网的事件。 设想一家公司拥有的主要入侵检测服务器在其中央办公室和分支办事处与监测无线网络在偏远地区。 以手机为基础的传感器,系统管理员在偏远地点,将能够监测无线活动,为他们在当地的位置,而行政网络安全与管理处的工作人员可以观察到的事件,在所有地点在中央入侵检测服务器,并核实他们的分支机构admininstrators 。 使利用这种传感器可更方便地经验不足的地方分行技术员,鬼为先秦"天命( wirekismet ) ,可安装在客户端或传感器本身。 在这种情况下你也许要加强防伪特征的这种传感器。

不幸的是,没有双倍卡客户的摇篮,为夏普zaurus系列。 一个可以尝试用碳纤维和sd插槽的这片神奇的掌上电脑,为无线和有线连接。 有无线客户端的sd卡制造sandisk和插座可用于在一个zaurus系列为基础的无线入侵检测系统的传感器连接到中央服务器的入侵检测系统通过比照以太网卡。 我们没有经验,利用这些sd卡,并没有意识到自己的实际接收灵敏度以及可能引起电线了一个外置天线。

最后,一个定制的内置无线网关或接入点可以包含一个内置在入侵检测系统中的传感器或服务器。 事实上,你可以增加几个传感器,以这种鸭(例如,一人主义和另一为unii阶) 。 所有限制,你在这种情况下是有多少pci插槽,对传感器的主板和可用的无线客户端设备,以堵塞。再次, soekris板,可用于部署高效和负担得起的虚拟专用网功能的安全无线网关实施额外的网络监控和入侵检测功能。

可能性为实验楼的风俗802.11或蓝牙感应器或传感器,鸭,以及网关组合使用开放源码软件是令人难以置信。 唯一的事是你必须牢记的是,还存在着不完美的入侵检测系统,为无线网络。 因此,它并不怎么好,部署入侵检测系统是;没有任何东西可以取代的知识和值得信赖的无线协议分析仪应该有可疑事件发生。

这是一篇文章说,由krelle日报
免责声明:我们的网站是不负责所载资料由本条规定。 这篇文章根本没有反映看法,意见,思想或信仰的文章目录中的工作人员。

翻译预告:文章"部署一个无线入侵检测系统的解决方案,为您的无线局域网"被翻译使用的自动翻译服务。 我们真诚地道歉,对任何翻译错误发生。 谢谢你的谅解。


Online: 1379 users browsing the articles directory