Autonomic 802.11 Wireless LAN Security Auditing

本文是由 Rensselaer 理工學院的 Joel W.Branch、馬里蘭大學的 Nick L.Petroni Jr.以及 IBM 華盛頓研究中心的 Leendert Van Doorn 和 David Safford 所共同提出了一個分散式無線安全稽核(Distributed Wireless Security Auditor，簡稱 DWSA)架構[33]。透過 DWSA 可以 發現大型企業內部的未經授權 AP，以提供一個自治及自律的網路保 護。

防護 802.11b 的無線網路是一個重大且艱鉅的工作，在無線網路 中有一個重大的問題即是非經授權的 AP、設定有誤的 AP 或者對等式 (ad hoc)網路進入企業內部的無線網路，如此一來有可能造成有心人士 從 任 何 區 域 就 可 以 進 入 企 業 內 部 的 網 路 。 DWSA 透 過 Linux 及 Windows 系統當做感測器，可以不間斷地持續偵測網路狀況而後定時 地回報到後端伺服器，以偵測非法或設定有誤的 AP，並將這些 AP 透 過 3D 定位(例如 GPS)的演算法找出他們的位置。如此一來可以提供一 個自律且即時的系統以保護整個無線網路的安全。

5.3.1. 運作原理

DWSA 的功能與其他的 802.11 偵測器相同，這篇研究報告提出了 一個創新的概念是將這些大量且繁瑣的偵測工作運用於現有的無線網

路客戶端設備上，諸如桌上型、筆記型、Tablet PC 以及 PDA 等等裝 備，透過這些設備來觀察 AP 的安全狀態。客戶端設備只做偵測與收集 資料，而後經由安全通道輸送至後端伺服器，資料彙整則由後端伺服 器完成。DWSA 架構圖請參考圖 21。

圖 21 DWSA 架構圖

5.3.2. DWSA 架構

由上述得知，DWSA 的基本策略是透過客戶端收集資料，而後傳 送至伺服器端資料彙整，因此在本節會描述系統中的主要元件，另外 DWSA 也必須達到以下的幾個需求：

l 輕量化客戶端

因為 DWSA 代理程式是運作在公司員工的電腦之上，為了不影響 電腦的操作效率，代理程式必須運用少量且剩餘的系統資源來完成工 作。此外，代理程式也應該要能在低電源的手持式裝備上運行。

l 移動性

代理程式應能執行於所有的無線網路客戶端設備之上，包含筆記

型電腦及手持式設備。

l 安全傳輸

在傳送資料到後端伺服器時，應能保證資料的正確性與完整性。

l 簡單使用且功能強大的政策訂定

DWSA 的決策邏輯必須能簡單地的設定，並且能夠提供詳細的描 述供管理者參考運用。

l 定位

DWSA 應能透過所偵測的資訊得知其 3D 地理空間位置。即使客 戶端設備是移動式的，也必須能夠計算出相關位置。

客戶端設備

DWSA 運用客戶端設備多餘的系統資源，透過一個在背景執行的 代理程式，可以定時收集並回報無線網路的相關資料，由於計算工作 是伺服器端負責，所以客戶端設備不須儲存資料。除此之外，代理程 式也會傳送無線網路的電波強度供伺服器計算位置資訊。

DWSA 伺服器

伺服器具備足夠的系統資源以供進行大量資料運算，目前伺服器 提供了三個主要的功能 ：互相相關、策略分析與回報以及互動式的 3D 顯示。互相相關是將客戶端所回報的資料綜整成一份有用的網路資料 表，這份表格會隨著回報的資訊而變動，並且將舊有的記錄保存成歷 史資訊。畫面結果請參考圖 22。策略分析則使用了跟防火牆類似的規 則語言，如果與規則不符則會在畫面上以閃爍的方式警示管理者，並 且將這些資料記錄下來。最後一個最有用的功能則是 3D 顯示的功能，

它可以將客戶端設備、AP 或非法的 AP 以 3D 顯示的方式呈現出來圖

23。非法 AP 的位置是經過球面方程式所得，90%以上時間都可以算 出非法 AP 的 6 呎的範圍內，並且可以經過多次的運算以得更正確的 結果。

圖 22 回報資料畫面

圖 23 3D 顯示效果