无线局域网安全监护系统－安全维护

1 系统方案论证

1.1 现状分析

现有的无线局域网安全产品无法完全提供无线局域网的安全防护，主要问题如下：

1)功能单一、缺乏综合安全管理平台，无法实现无线数据监听、解析、还原、取证的综合功能。

2)缺乏非法站点接入、合法站点访问非法站点的有效控制手段。如果不连入有线网络，就无法实现网络控制。

3)无法检测并抵御WEP攻击方法。WEP加密方式在一定程度上仍然广泛应用，现有的解决方案基本上是通过升级无线接入点和站点的安全模块来防御WEP攻击，但这种解决方案无法应用于大量已部署的旧无线局域网上。

1.2 系统方案

根据以上现状分析，有必要设计一款集无线网络实时扫描、数据实时解析、内容还原、审计取证、管理控制、攻击检测防护等功能于一身的无线局域网监护系统，以解决当前无线网络存在的问题。下图为系统的网络构设图：

图1.1 网络架设图

可以看到本监护系统独立于网络，架设方便、灵活，可对选定的网络实施监护。系统是以linux为操作平台，并以PC机和两张无线网卡作为硬件依托，一张无线网卡用于站点和接入点的扫描、数据包的截获，另一张用于发送伪造数据包来阻止WEP攻击。通过对网卡截获的数据进行协议解析来分析网络中是否存在WEP攻击以及非法接入和访问，如果存在则通过另一张网卡发送数据包进行防护。同时通过协议解析我们可以恢复出用户的上网文件内容，从而对用户无线上网行为的审计和取证带来方便。

2系统功能指标

如表1所示，是我们这个系统所实现的功能与指标。

表 1：系统指标表

3 系统实现原理、技术和流程图

本系统的架构主要包括图形界面、各个功能模块、模块间接口这三个部分。而其实现的关键则在于无线网络的全频段扫描以及数据捕获、数据的协议实时解析、内容还原技术、以及非法网络行为的检测和防护技术。

3.2 关键技术分析

3.2.1无线网络的全频段扫描和数据捕获

3.2.1.1 全频段扫描

通过在Linux平台下，设置无线网卡I/O通信端口寄存器为监听模式，可以对802.11a/b/g的13个频段内的接入点、站点以时分跳频的方式监听,实时发现各个信道的AP以及连接AP的站点，并分析捕获的数据，获得AP和站点的加密方式、信号强度、MAC地址等相关信息。

3.2.1.2数据包捕获

一旦选定需要监护的AP，则可以通过对网卡端口寄存器编程来实现固定信道的扫描，此时不再是13个信道的时分跳频，而是网卡固定于一个特定的信道来扫描获取该信道的数据。再对捕获的数据包进行BSSID的过滤，这样就可以得到该AP服务集的数据包。