無線局域網安全監護系統
1 系統方案論證
1.1 現狀分析
現有的無線局域網安全產品無法完全提供無線局域網的安全防護,主要問題如下:
1)功能單一、缺乏綜合安全管理平臺,無法實現無線數據監聽、解析、還原、取證的綜合功能。
2)缺乏非法站點接入、合法站點訪問非法站點的有效控制手段。如果不連入有線網絡,就無法實現網絡控制。
3)無法檢測并抵御WEP攻擊方法。WEP加密方式在一定程度上仍然廣泛應用,現有的解決方案基本上是通過升級無線接入點和站點的安全模塊來防御WEP攻擊,但這種解決方案無法應用于大量已部署的舊無線局域網上。
1.2 系統方案
根據以上現狀分析,有必要設計一款集無線網絡實時掃描、數據實時解析、內容還原、審計取證、管理控制、攻擊檢測防護等功能于一身的無線局域網監護系統,以解決當前無線網絡存在的問題。下圖為系統的網絡構設圖:
圖1.1 網絡架設圖
可以看到本監護系統獨立于網絡,架設方便、靈活,可對選定的網絡實施監護。系統是以linux為操作平臺,并以PC機和兩張無線網卡作為硬件依托,一張無線網卡用于站點和接入點的掃描、數據包的截獲,另一張用于發送偽造數據包來阻止WEP攻擊。通過對網卡截獲的數據進行協議解析來分析網絡中是否存在WEP攻擊以及非法接入和訪問,如果存在則通過另一張網卡發送數據包進行防護。同時通過協議解析我們可以恢復出用戶的上網文件內容,從而對用戶無線上網行為的審計和取證帶來方便。
2系統功能指標
如表1所示,是我們這個系統所實現的功能與指標。
表 1:系統指標表#p#
3 系統實現原理、技術和流程圖
本系統的架構主要包括圖形界面、各個功能模塊、模塊間接口這三個部分。而其實現的關鍵則在于無線網絡的全頻段掃描以及數據捕獲、數據的協議實時解析、內容還原技術、以及非法網絡行為的檢測和防護技術。
3.2 關鍵技術分析
3.2.1無線網絡的全頻段掃描和數據捕獲
3.2.1.1 全頻段掃描
通過在Linux平臺下,設置無線網卡I/O通信端口寄存器為監聽模式,可以對802.11a/b/g的13個頻段內的接入點、站點以時分跳頻的方式監聽,實時發現各個信道的AP以及連接AP的站點,并分析捕獲的數據,獲得AP和站點的加密方式、信號強度、MAC地址等相關信息。
3.2.1.2數據包捕獲
一旦選定需要監護的AP,則可以通過對網卡端口寄存器編程來實現固定信道的掃描,此時不再是13個信道的時分跳頻,而是網卡固定于一個特定的信道來掃描獲取該信道的數據。再對捕獲的數據包進行BSSID的過濾,這樣就可以得到該AP服務集的數據包。
3.2.2 數據的實時解析
用數據包捕獲方式得到的是802.11MAC層的通信數據,根據TCP/IP協議棧與802.11的相關協議,數據恢復需要從TCP/IP協議模型的底層向上層進行一層層的解析和重組:數據鏈路層—網絡層—傳輸層—應用層(含會話、表現層)。
TCP、IP的協議解析是本系統中的一大難點,這其中關系到IP分片和重組以及TCP流重組和重傳的解析。我們選擇了libnids開源工具對該部分協議做了具體的解析。
在TCP、IP解析的基礎上實現了對FTP協議,HTTP協議,SMTP協議,POP3協議的并行解析。由于監聽的網絡同時會有多個人使用某個協議,我們建立了對應于各個TCP連接的虛擬端口,用于區分不同TCP鏈接的通信數據。圖3.2描述了TCP連接與各個協議的關系。
圖 3.2 協議解析關系圖
同時我們給出了應用層解析流程,見圖3.3:
圖3.3 應用層協議解析流程圖
3.2.3 用戶網絡內容的還原
3.2.3.1網頁內容還原
對于HTTP,由于其網絡地址大多為服務器的相對地址,還原后的原始文件無法用瀏覽器打開,即使打開也只有文字信息(如圖3.4所示),缺少圖片和flash信息,這就需要后期的數據處理。3.2.3.2 郵件內容處理
郵件內容并不是直接傳輸ASCII碼,它有自己的傳輸編碼,所以必須根據其相應的傳輸編碼來對其進行解析。比如其常用的傳輸編碼方式為base64編碼。如表3.1所示:
表3.1 base64編碼
這種編碼其實就相當于加密,當然還有其他的傳輸編碼方式,必須做相應的解碼才能使得其可讀。所以郵件文件的處理程序流程就是先讀文件,查找傳輸編碼方式,最后解碼還原。
3.2.4網絡行為控制
網絡行為的控制主要控制兩類事件,一是阻斷非法用戶接入AP,二是防止合法用戶訪問非法IP。其中前者的分析基于MAC層的數據,后者基于IP層的數據。雖然我們的系統獨立于AP和站點,但是我們可以通過偽冒成該站點與AP通信,向AP發送去鑒權或去關聯數據幀,中斷AP與該站點之間的通信或者連接,來中斷非法接入或者非法訪問。
3.2.5 WEP攻擊檢測與主動防護
當前最流行的WEP攻擊軟件是基于統計原理的PTW[7]算法,該算法可以在收集40000個有效包的情況下破解出64bit的WEP密鑰。PTW算法采用主動攻擊的方式,假冒合法用戶大量發送已截獲的無線網絡中的ARP請求包,通過這種方式,攻擊者將會收獲大量的ARP回復和轉發包,之后采用統計算法[7],分析ARP包中的密鑰流和ARP包所對應的不同IV,攻擊者即可在很短的時間內破獲正確的密鑰,進而實行非法操作。
事實上幾乎所有的WEP攻擊算法的都需要捕獲大量的ARP包。基于此,我們采用在MAC層捕獲、統計網絡中的ARP包的流量去判斷是否存在WEP攻擊。
一旦發現有WEP攻擊,我們通過分析ARP包中源、目的端以及IV等信息,用一個偽造的密鑰和不斷遞增的IV,按照WEP加密方式構造出一個新的ARP包,并通過網卡大量發送,使得攻擊者大量捕獲的是用錯誤密鑰加密的ARP包。另一方面我們通過發送ARP包的時間間隔來偽冒成攻擊者,向AP發送去鑒權幀,使得攻擊者時而斷開與AP的連接,這樣AP就不會轉發攻擊者發送的ARP包,因此攻擊者就幾乎收不到正確密鑰加密的ARP數據包,而大量捕獲我們用偽造密鑰加密的ARP包,因而最終破獲出一個錯誤密鑰。由于我們構造的ARP包與正確密鑰加密的ARP包對于攻擊者來說是無法區分,因此這樣的防護方法可謂是疏而不漏。
【編輯推薦】
