无线网络的安全分析工作在网络建设和建好后的运行维护期间都是引人关注的,新的分离分析技术有哪些改进之处,能否真的带给无线网络真正的安全。
无线网络安全工具的安全分析工作通常是在一个中心服务器上或者是在分布于整个无线局域网的传感器上进行的。利用中心服务器进行分析时,每个传感器都会将全部原始数据通过回程网络发送到服务器,服务器完成高级的分析工作,比如多传感器相关分析等。但是,由于网络中的传感器数目可能高达上千,而每个传感器都需要数兆比特每秒的带宽来传输数据,这就大大增加了回程网络的负荷,同时也会占用大量的服务器资源。
而与之相对应的是以传感器为中心的解决方案。以传感器为中心时,大部分的分析工作都是在传感器上进行的。由于这种方式只需将少的多的数据传送回服务器,网络带宽的使用效率将会提高而整个系统的可扩展性也会增强。但是,这种方案需要传感器拥有较强的处理能力和更多的内存,当系统需要很多传感器的时候,系统的成本就会变得很高。当传感器的覆盖区域重叠的时候,相邻的传感器会将不必要的重复信息传送给服务器。另外,这种方式不能检测某些特定形式的攻击,比如MAC地址欺骗,这种攻击只能通过多传感器相关分析才能监测出来。
分离分析技术(Split-Analysis)是一种混合式的射频安全解决方案。它解决了以服务器或者传感器为中心的解决方案所存在的问题。分离分析方案用智能的、特定制造的传感器来完成前期分析工作,用服务器来实现复杂的数据分析和异常监测工作。这种分布式智能可以提高监测的准确率、系统的可扩展性并简化系统管理。
当然,为了最大的提高安全工作的效率,人们必须要知道什么样的分析工作应该由传感器来完成,什么样的工作应该由服务器来完成。实际上,通过将分析功能分离,传感器只需进行一些不针对特定攻击或者漏洞的基本的分析工作。例如:传感器能够监测所有的上行的WLAN行动,并且可以从802.11协议、扩展认证协议(Extensible Authentication Protocol, EAP)、IP和UDP/TDP协议的数据包报头提取服务集标识SSI(Service Set Identifier)和地址等信息。传感器除了可以压缩和加密数据外还可以收集无线信道的信息,比如接收信号强度指示RSSI(Received Signal Strength Indication),噪声等。使用分离式的处理方式,传感器同服务器之间通讯所占的带宽只有大约1K到3K比特每秒。因此,利用分离式处理方式回程网络可以比较容易的进行扩展,从而实现对数千个的远程传感器的WLAN监视和分析数据的相关操作。
通过分离分析,服务器可以集成来自数千个传感器的数据,对所有覆盖区域有重叠的任意两个传感器数据进行相关,并使用复杂的异常监测算法来识别各种安全异常和性能异常。另外,服务器还可以生成警报和进行数据统计,帮助IT部门来选择正确和及时的行动。
对于无线侵入监测系统IDS来说,分离分析解决方案使得IT人员能够通过对服务器进行简单的警报升级就可以应对快速变化的各种威胁了。传感器上的固件并不需要升级,因为它们只进行基本的分析。因此分离分析的解决方案使得管理变得非常方便。特别是对于无线IDS来说,分离分析提供了更多的好处。智能的瘦传感器分担了服务器的分析工作,减少了对回程带宽的消耗,提供了更好的可扩展性。多传感器相关和实时网络状态数据库可以帮助减少错误识别,增加高级报警功能,从而提高了监测的准确性。