入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今,入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。
无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。如今,在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如:自由软件开放源代码组织的Snort-Wireless 和WIDZ 。
无线局域网WLAN性能分析及其工具
许多情况都需要分析WLAN的性能,从最初的设计和新安装的设备的调试,到优化覆盖面和规划扩展。在这一生命周期中,许多工具都是有用的,包括站点调查工具、射频设计仪、频谱分析仪和无线流量分析仪。
无线流量分析仪是非常必要的,可以捕获802.11信息流并对其进行编码,然后重新将信息包装配到联合和射频设备关系之中。但是有时也需要退回去,查看WLAN信息流的更多的情况,收集更长的时间内的信息,而WIDS可以提供帮助。
WIDS可以监测整个WLAN,将由分布式传感器捕获的主要信息流转发到中央服务器。WIDS会显示由此产生的警报,并将其转发到另一个系统,或者记录在数据库中,供将来参考。当然,这些信息流也可以用于监测WLAN的性能。
性能警报
虽然WIDS的性能分析与警报功能不同,但是这里有一个性能警报样本,这是无线入侵检测能够监测到的:
◆站点的接入点超载
◆接入点或者信息流的信道超载
◆管理费用过多
◆客户端发送/接收的恒定信息流
◆接入点配置不合理或者不兼容
◆同步PCF/DCF(集中式协调功能/分布式协调功能)操作
◆接入点的电能解除DTIM冲突
◆802.11g接入点无法使用802.11b接入点附近的保护
◆802.11g接入点提供了不恰当的短期插槽
◆接入点提供了非标准的数据率
◆过多的重试或者CRC错误
◆过度漫游或者再连接
◆过度低速传输
◆过度分散
◆侦测到隐藏的站点
◆侦测到雷达干扰
◆信道噪声级过高
一些警报表明可能发生了配置错误(比如,保护),而其它警报指出了会降低性能的潜在的执行错误(比如,DTIM冲突)。关于超载或者射频干扰方面的警报可以通过扩展WLAN或者重新分配信道得以解决。你会希望停用任何与WLAN无关的无线入侵检测的警报(比如,如果不使用802.11b,就可以停止802.11g保护)。
性能故障排除
虽然,扫描模式下的WIDS可以监测到性能问题,但是诊断却需要一个更为全面的信息流样本。通常情况下,可以将结果输入到无线信息流分析仪中仔细审查。
故障排除通常需要活跃的工具。你也可以查看近实时信道的性能图表,这些图表中显示了信号的强度、噪声、CRC错误、重试、使用等情况,就好像在传感器的地址中运行AirMagnet Laptop所得到的信息一样。
虽然从中央地址进行调查可以节省时间,但是,一些性能问题仍然需要在线调查,使用移动的无线分析仪来调查。从你所学的知识开始,将WIDS和无线分析仪结合起来可以加速调查进程。比如,NetworkChemistry公司的移动式RFprotect可以与分布式RFprotect分享信息,这样移动式RFprotect现场获得的资料可以反馈到分布式RFprotect的数据库中,为特定的地址创建统一的“噪声规划”。
你的最终目标并不是仅仅找到潜在的性能问题,而是修复它们。为此,无线入侵检测会为某个特定的警报或者测试结果提供修复措施。比如,AirTight企业版包括了一个以知识为基础的故障排除向导,帮助解决客户端的性能问题。
性能报告
WIDS收集的信息也可以创建历史数据库,可以用于健康报告和容量规划。WIDS的性能报告包含了带有性能警报的前10个接入点、过去制定的活跃站点的数量、频谱的使用情况和性能总结、以及性能报告在类型、地址、及设备方面的趋势。
举例来说,前10份报告可能会请你注意陷入困境的接入点。检查同一位置其它接入点的警报可能有助于区分这个位置中单个失效的设备和影响到每个接入点的环境条件。另一方面,对跨多个站点的类似接入点进行比较,可以发现由特定产品、固件版本、或者配置选项导致的性能问题。
结论
WIDS设计主要用于监测,并且对监测到的事件做出响应。当谈到性能管理时,虽然,无线入侵检测不能够取代便捷的无线流量分析仪,但是WIDS可以补充移动分析仪的不足,它对性能问题提供了更广泛的状况,突出重点。那些负责大型企业的WLAN工作者更喜欢分布式网络流量分析平台,比如WildPackets
现在随着黑客技术的提高,无线局域网(WLANs)受到越来越多的威胁。配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于国际电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。本文将为你讲述,为什么需要无线入侵检测系统,无线入侵检测系统的优缺点等问题。
-
射频
+关注
关注
104文章
5568浏览量
167689 -
IDS
+关注
关注
0文章
27浏览量
16152 -
无线局域网
+关注
关注
1文章
235浏览量
29806
发布评论请先 登录
相关推荐
评论