剖析入侵偵測暨防禦　了解無線型先天優劣(下)

無線型入侵偵測暨防禦系統提供多種安全性能，因為對於入侵偵測暨防禦系統而言，無線型入侵偵測暨防禦系統算是相當新穎，各種產品之間的性能差異會比較大。隨著時間推移，產品能力應該要變得更一致。以下就來談談關於無線型入侵偵測暨防禦系統之資訊收集、Logging、偵測、防禦等四種常見的安全性能。

進行資訊收集

絕大部分的無線型入侵偵測暨防禦系統都可以收集無線設備的資訊，這些資訊收集能力的範例如下：

識別WLAN設備

大部分入侵偵測暨防禦系統傳感器可以對那些觀察到的WLAN設備創建一份庫存清查並做維護，包含AP、WLAN用戶端以及Ad hoc（Peer-to-peer）用戶端。庫存清查通常會以SSID和設備MAC位址當作基礎；MAC的前半段是廠商的識別碼。而在嘗試著識別先前存取的WLAN時，某些站台會傳送多個SSID。某些傳感器也會對觀察到的流量採用Fingerprinting技術來核實廠商，而不依賴MAC位址，因為MAC還是有可能被假造。庫存清查可以被用來當作Profile以識別新的WLAN設備，以及識別被移除掉的既有設備。

識別WLAN

大部分入侵偵測暨防禦系統傳感器對於觀察到的WLAN進行追蹤，透過SSID來識別它們。管理人員接著可以把那些被做上記號的，當作已經被授權的WLAN（也就是非惡意的鄰近WLAN，例如在相同建築物內的另一個組織），或者一個假的WLAN。這樣的資訊可被用來識別新的WLAN，也能夠優先化回應被識別出來的事件。

執行Logging核實警告真偽

無線型入侵偵測暨防禦系統通常會對於被偵測到的事件之相關資料執行廣泛的Logging。這個資料可以被用來核實警告的真實性，以便調查事故，並且把入侵偵測暨防禦系統與其他Logging來源的事件關連化。以下是常見的無線型入侵偵測暨防禦系統記錄的資料欄位：

‧時戳（通常是日期和時間）

‧事件種類或警告種類

‧嚴重等級或優先順序

‧來源MAC位址（可以從MAC的前半段去判斷廠商）

‧通道數量

‧觀察到事件的傳感器ID

‧執行的預防行動（如果有的話）

偵測攻擊進行調校

無線型入侵偵測暨防禦系統可以偵測攻擊、錯誤組態和政策違反，以WLAN通訊協定等級，主要是檢查IEEE 802.11通訊協定的通訊。無線型入侵偵測暨防禦系統不檢查更高等級的通訊，例如IP位址、Application Payload。某些產品只執行簡單的特徵偵測法，而其他產品會採用特徵偵測法、異常偵測法、協定狀態分析法的綜合技術；採用無線型入侵偵測暨防禦系統產品，應該使用這樣的綜合技術以達成更廣泛和更精確地偵測。緊接著，就從下面四個面向來討論偵測性能：

‧偵測到的事件種類

‧偵測準確性

‧調校和客製化

‧技術上的限制

偵測到的事件種類

無線型入侵偵測暨防禦系統傳感器最常偵測到的事件包含以下幾種：

未經授權的WLAN和WLAN設備 透過它們的資訊收集能力，大部分無線型入侵偵測暨防禦系統傳感器可以偵測到假的AP、未經授權的站台，以及未經授權的WLAN（包含Infra模式和Ad hoc模式）。

弱安全的WLAN設備

大部分傳感器可以識別出那些未採用適當安全控管措施的AP和站台，這包含了偵測錯誤的組態設定，以及採用弱的WLAN通訊協定和弱的實作，是透過識別出對組織政策（加密政策、驗證政策、資料速度、SSID名稱和通道）的偏離來達成。舉例來說，傳感器可以偵測到站台正在使用WEP而非WPA2或者IEEE 802.11i。會被無線型入侵偵測暨防禦系統偵測出來的主要的事件，大多都會落在此類。

不尋常的使用模式

某些傳感器採用異常行為偵測法來偵測不尋常的WLAN使用模式，舉例來說，如果有比平常更多的站台正使用特定的AP，或者在站台和AP之間有更高的使用量，可能就意味著其中一個設備可能已被滲透，或者未經授權的一方可能正在使用WLAN。許多傳感器可識別出企圖加入WLAN失敗，例如在短時間內的多次嘗試失效的警告，就意味著可能有人想取得WLAN未經授權的存取。此外，某些傳感器也能夠在下班期間偵測到任何WLAN活動時發出警告。

被保全或弱安全的WLAN

無線型入侵偵測暨防禦系統傳感器只能偵測使用主動型的掃描器，也就是那些會產生無線網路流量的掃描器，它們無法偵測到只有在監控和分析觀察到流量的被動型傳感器。在實務上，要想判斷出有沒有使用被動型掃描器的最有效方式，其實是實體的安全管控，例如查看在設施附近有無天線或不應存在的電腦。

DoS攻擊

DoS攻擊包含邏輯攻擊，例如洪水攻擊，這涉及了送出大量訊息去給AP，另外還有實體攻擊，例如Jamming，這涉及了發送電磁能量到WLAN的頻率，使得頻率無法被WLAN使用。DoS攻擊可以經常透過協定狀態分析法和異常行為偵測法，這可以判斷是否被觀察到的活動與預期的活動相一致。許多阻斷式服務攻擊都被偵測到，其實是藉由計算該段時間內的事件數量，並且在數值超過門檻時發出警告。舉例來說，如果有大量事件關係到終止無線網路Session，可能就意味著有DoS攻擊發生了。

擬人化和中間人攻擊

某些無線型入侵偵測暨防禦系統傳感器可以透過識別該活動特徵的差異（例如特定數值）偵測到某些設備正企圖假裝成另一個設備的身分。

大部分傳感器可以識別出被偵測到威脅的實體位置，透過三角量測法，估測威脅距離多個傳感器到底多遠，這樣就可以派人到該地點去掌握威脅。無線型入侵偵測暨防禦系統產品可以使用建築物地板規劃，也可判斷威脅是否在建築物內或外面，或者開放區域是個公開區域或被保全的區域。這樣的資訊不僅對於找到並停止該威脅是有幫助的，而且在排定對於威脅回應的優先順序上也很有用。

無線型入侵偵測暨防禦系統傳感器可以設定警告的優先順序，一部分是根據各個威脅的地點。手持式的入侵偵測暨防禦系統傳感器也能夠被用來精確指出威脅的地點，尤其是當固定式傳感器並未提供三角量測法能力，或是該威脅正在移動當中。

偵測精確性

相較於其他種的入侵偵測暨防禦系統，無線型入侵偵測暨防禦系統通常比較準確。之所以會這樣，大致上是因為它（在分析無線網路通訊協定上）有受限的範圍。False Positive最可能由異常行為偵測法所導致，尤其是當門檻值沒有適當設定時。雖然許多警告可能因為良善活動而發生，例如另一組織的WLAN正在組織的WLAN範圍內，這些警告並非真的False Positive，因為它們只是偵測到有個未知WLAN在組織內。

調校和客製化

無線型入侵偵測暨防禦系統通常需要某些調校和客製化，以增進其偵測準確性。最主要須調校的地方是指定哪一個WLAN、AP、站台有被授權，以及將政策特徵輸入系統軟體內。因為該系統只有檢查無線網路通訊協定，並非檢查高階通訊協定（例如應用層），所以通常警告種類也不會太多，也因此其實沒有太多的客製化或調校可用。某些無線型入侵偵測暨防禦系統提供特定產業的樣板，這就對於建立政策的基礎有幫助。

無線型入侵偵測暨防禦系統提供一些客製化。大部分都有門檻值，可以被異常行為偵測法所採用。黑名單和白名單被用來掌握已知的惡意和良善的WLAN設備清單，這個清單也可用來記錄被授權或未被授權的WLAN網卡廠商。個別警告也能夠被客製化，就如同它們在網路型入侵偵測暨防禦系統上那樣。大部分產品並不提供程式碼編輯功能，雖然某些廠商允許管理者打入複雜的邏輯式來調校特定偵測能力。

除了定期檢視調校和客製化以確保它們仍然準確外，管理者也應該確保對於建築物規劃的變更也要偶爾被納入考慮，此乃為了準確地識別出威脅的實體位置和準確規劃傳感器的部署。

技術上的限制

雖然無線型入侵偵測暨防禦系統提供了不錯的偵測性能，但它們也有一些限制。三個最重要的限制分別是無法偵測特定的無線通訊協定攻擊、容易遭受到規避手法，以及對於入侵偵測暨防禦系統本身遭受攻擊沒有抵抗力，以下就來加以探論。

無線型入侵偵測暨防禦系統不能對無線網路偵測特定種類的攻擊。駭客可以被動地監控無線網路流量，但是無線型入侵偵測暨防禦系統無法偵測到。如果採用弱安全方法（例如WEP），那麼駭客就可以對於收集到的網路流量執行離線的處理，找出被用來提供無線網路安全的加密金鑰。有了這把金鑰後，駭客把已經收集起來的流量解密，以及對於從相同WLAN的任何其他被收集起來的流量進行解密。無線型入侵偵測暨防禦系統無法完整彌補使用不安全的無線網路通訊協定。

某些無線型入侵偵測暨防禦系統傳感器會遇到的另一個問題是，使用規避手法。駭客可以透過不同方式來識別正在使用的產品，包含實體地去調查該區域是否有部署傳感器，以及使用Fingerprinting手法透過預防行動去判斷正在使用的產品。

一旦駭客已經識別出該產品，就可以採取通道掃描框架去達成規避手法。其中一個例子是，在很短的時間內在未被監控的通道執行攻擊。此外，駭客也可以同時間對兩個通道發起攻擊。如果是，對於網路鑑識帶來的衝擊。因為各個傳感器只看到各個通道上的一部分活動，鑑識資料其實相當不完整，所以也很難分析出個所以然來。無線型入侵偵測暨防禦系統傳感器本身，也容易遭受攻擊。相同的DoS攻擊會企圖擾亂WLAN，也可以擾亂傳感器的功能。傳感器通常特別容易遭受到實體攻擊，因為它們一般都是放置在大廳、會議室或其他開放區域。某些傳感器有抗破壞特色，例如被設計成看起來像是火警警報器或一般的AP，這樣可以降低它們被攻擊的可能性。所有傳感器都容易遭受到實體攻擊，例如Jamming來擾亂無線射頻。對於這種攻擊，其實就只有採用實體邊界隔離的方法而已。

提供入侵防禦

無線型入侵偵測暨防禦系統傳感器，提供了以下兩種入侵防禦性能。

無線的入侵防禦

某些傳感器可以終止已經被授權的AP和假的或錯誤組態的站台的連線，或者已經被授權的站台和假的或錯誤組態AP的連線。透過傳送訊息給端點，告訴它們將目前的Session去關連化來完成這件事。接著，傳感器會拒絕建立新連線。

有線的入侵防禦

某些傳感器可以指導一個在有線網路中的交換器，封鎖關於特定站台或特定AP的網路活動，根據設備的MAC位址或是交換機的Port號進行封鎖。舉例而言，如果一台站台正從有線網路發送攻擊到某台伺服器，傳感器可以指示有線的交換機封鎖所有到該站台和來自該站台的活動。這個技術只有用在封鎖惡意站台或惡意AP的有線網路通訊時有效而已，而且這無法阻止站台或AP透過無線通訊協定繼續執行惡意活動。

大部分入侵偵測暨防禦系統傳感器允許管理者指定防禦能力的組態設定給各種警告，這通常會包含打開或關閉防禦，以及指定應該採用哪一種防禦性能。某些入侵偵測暨防禦系統傳感器有學習模式或模擬模式，可暫時壓抑所有的防禦行動而不執行。這麼一來，管理者就能夠監控以及在打開預防能力之前，微調防禦能力的組態設定，以降低風險。而另一個重要的考量是防禦行動對於傳感器監控的有效性。舉例來說，如果一個傳感器正傳輸訊號以終止連線，這可能就無法執行通道掃描來監控其他通訊，直到它已經完成防禦行動為止。為了減輕這個現象，某些傳感器有兩個電波，其中一個監控並偵測，而另一個負責執行防禦行動。當挑選傳感器時，應該考量需要執行甚麼樣的防禦行動，以及傳感器的偵測性能會如何受到執行預防行動所影響。

提供管理能力

接著討論實作、操作和維護等管理面向，並提供一些如何實作的有效建議。

進行實作

一旦選定無線型入侵偵測暨防禦系統產品，管理者就需要設計一個架構，開始測試入侵偵測暨防禦系統元件，保全入侵偵測暨防禦系統元件並且接著部署它們。除了先前提過的以外，另外還有一個叫做元件測試及部署。實作一個無線型入侵偵測暨防禦系統時，如果現存的AP或無線交換器需要被升級或者安裝入侵偵測暨防禦系統軟體，無線網路就勢必中斷一段時間。

操作及維護

對於無線型入侵偵測暨防禦系統解決方案的操作和維護，幾乎與先前網路型入侵偵測暨防禦系統解決方案如出一轍。此系統控制台介面提供類似管理、監控、分析和通報的性能。其中一個重大的不同點在於，控制台介面可以呈現威脅的實體位置。而較小的差異在於，因為傳感器偵測到的事件種類相異性較小，所以它們傾向於較少更新特徵值。

＜本文作者：黃信智，目前為久揚科技服務有限公司營運總監，提供資安管理、隱私保護、營運持續管理等顧問諮詢服務、以及滲透測試、源碼檢測等資安服務。擁有CEH、ECIH、CISSP、ISO 27001 LA等資安證照。＞