無線検知システム(WIDS)検出技術を確立し、アクティブな防衛行動に基づいてネットワークセキュリティで、それはさまざまなネットワークリソースと社内システムから情報を収集するためのイニシアチブをとることができ、苦しんでいるかどうかを分析します。
「**不正デバイスを予防、APを保護する必要が定期的に無線信号検出システムによって検出されたAP ** WIDS(ワイヤレス侵入検知システム)を監視する、監視サイバースペースを展開内部から以下の参考文献Baiduの百科事典通路AP無線ネットワーク機器で状況を理解し、違法な機器に対して適切な予防措置をとる。「
あなたはネットワークセキュリティWIFIへの注力を理解する上で、この引用文を読んだ後、ここで私たちはその後、WIDSの二つのモデルを導入する必要があります、2つの作業モードは、重要な最初のIDS分析を検出するために、フレームヘッダ情報と組み合わさオブジェクト元のフレームをキャプチャするために、データリンク層は、IEEE 802.11プロトコルに基づいて無線LANモニタモードを使用することで、WLANアクセスデバイスのテストと認定。認証ホストの検出に基づくように、第2のモードは、ネットワークのIEEE 802.3プロトコル層に基づいて、イーサネットパケットフォーマットを捕捉するためのマネージド無線カードを使用することです。
ネットワークRADIUS(ユーザサービスにおけるリモート認証ダイヤルに加えて 、 このように不正APの効果の分離と検出を実現し、クライアントとAP間の相互認証を実現することができ、ユーザーサービスにおけるリモート認証ダイヤル)。ブランチオフィスのワイヤレスネットワークの使用量は、集中監視および管理に次の例でSIEMサーバーの本部に送信することができます。
1。ワイヤレスネットワークカードをインストールします。
▶プラットフォーム環境OSSIM 4、USBワイヤレスネットワークカード、無線ネットワークカード(チップモデルのRealtek RTL8187)。
このカードに簡単RTL8187は、Linuxシステムのために特定します。コンソールにサーバワイヤレスカードにインストール、タイプdmesgコマンドは、図1-31に示すカードチップモデルを表示します。また、使用lsmodを| grepをするusbcoreコマンドは、USBカード情報を表示することができます。
無線LANチップ1-31検出
▶ワイヤレスインストールのデバッグツールを、コマンドは以下の通り。
#ワイヤレス・ツールをインストールapt-getを
ワイヤレスToolkitをインストールした後、iwconfigをあなたが追加したカード情報を確認するためにコマンドを使用して、ワイヤレスカードがwlan0で対応するデバイス名、デバイスファイルを表示することができます。
iwconfigを入力コマンド
LO NOワイヤレス拡張機能。
Eth0のNOワイヤレス拡張機能。
Wlan0 IEEE ESSIDを802.11bg:OFF /任意の
モード:管理アクセスポイントを:未-関連のTx-20はパワーdBmのは=で
リトライロング制限:RTSのThrを7:フラグメントのThr OFF:OFF
キー暗号化:OFF
電源管理:OFF
2。ワイヤレスネットワークカードを設定します
インストールツールをデバッグした後、無線ネットワーク信号用のコマンドiwlist検索を使用。:まず、次のコマンドを使用してインタフェースを起動
#ifconfigアップwlan0
そして、無線カードは、ネットワーク環境全体のスキャンを開始します。
#iwlist wlan0スキャン
在本实例中加入了SSID为buff的无线网。为便于调试,不要隐藏无线网的SSID。操作命令如下:
#iwconfig wlan0 essid "buff"
#dhclient wlan0
最后,加入WiFi后通过DHCP客户端动态获取IP地址,通过ifconfig命令查看获取的IP地址。wlan0设备的详细配置信息会写入文件/etc/network/interfaces。待成功加入无线网络之后开始设置无线嗅探器。
3.安装kismet
kismet是一个便利的无线网络扫描程序,它能通过检测周围的无线信号来找到非法WLAN。这里使用它来扫描无线网络。
#apt-get update //更新源
#apt-get install kismet //安装kismet
4.设置kismet
① 编辑/etc/kismet/kismet.conf文件,找到“source=”这一行,将其改成source=rtl8187,wlan0,wlan0-wids,保存并退出。其中rtl8187代表设备驱动,wlan0代表网卡设备名称,wlan0-wids 为描述信息。
logdefault=192.168.11.10 // OSSIM传感器IP
logtemplate=/var/log/kismet/%n_%D-%i.%l
② 在/etc/init.d/目录下新建文件wids_alienvault.sh。
#vi wids_alienvault.sh
在其中加入如下两行:
#!/bin/sh
/usr/bin/kismet_server -l xml -t kismet -f /etc/kismet/kismet.conf 2>&1 | logger -t kismet -p local7.1
③ 给脚本文件加入执行权限。
#chmod 755 /etc/init.d/wids_alienvault.sh
④ 将“/etc/init.d/wids_alienvault.sh”这条语句加入/etc/rc.local脚本的倒数第2行(也就是exit 0语句的上面)。
⑤ 在OSSIM控制台下输入ossim-setup命令,依次选择Change Sensor Settings-Enable/ Disable detector plugins,选中kismet并保存退出,这时系统会提示重新配置。在后台,系统会将kismet选项加入到/etc/ossim/ossim_setup.conf文件中。
⑥ 修改kismet配置文件。
#vi /etc/ossim/agent/plugins/kismet.cfg
找到location=/var/log/syslog这一行,将其修改为如下内容。
location=/var/log/kismet.log
⑦ 实现自动化配置。
#vi /etc/cron.hourly/kismet
在其中加入如下两行:
#!/bin/bash
/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl
然后编辑/usr/share/ossim/www/wireless/fetch_kismet.pl 这个脚本中sites所带的IP地址。
#vi /usr/share/ossim/www/wireless/fetch_kismet.pl
找到$location=$sites{$ip}这一行,将其改成$sites{'192.168.11.10'}='/var/log/kismet'。此处IP为无线传感器的IP地址。
如果配置成功,则在命令行中输入kismet命令,将显示图1-32所示的欢迎界面。
图1-32 kismet界面
5.配置Rsyslog
在/etc/rsyslog.d/目录下新建文件 wids_alienvault.conf,并在其中加入以下内容:
. @192.168.11.10 //此处IP为OSSIM服务器的IP地址
然后重启动Rsyslog服务。接下来就可通过tail -f /var/log/kismet.log命令来检验成果了。
6.设置OSSIM无线传感器
在OSSIM的Web UI中进入菜单DEPLOYMENT→SYSTEM CONFIGURATION,配置SENSORS,输入无线网卡名称wlan0以及IP地址192.168.11.10,要确保正确加载了kismet服务,配置界面如图1-33所示。
在传感器配置选项中,添加wlan0为监听端口,监控网段为192.168.11.0/24。注意OSSIM系统中的插件Prads、Snort、Ntop和OSSEC需处于UP状态,如图1-34所示。
図ワイヤレススニファは、1-33配置された
1-34は、ワイヤレスネットワークカードを設定し
、図1-35に示すモード無線LANネットワークのオプションを、確認することができます。
1-35無線LANモード図
ウェブUIの設定で最後の分析→検出→ワイヤレスIDSサブメニューを。なお、構成が全く位置情報が第1ユーザインタフェースに入らないでしょう、ケースの右上の[設定]ボタンは、新しい場所、すなわち上記セットwlan0 [192.168.11.10]、1-図を追加しなければなりません。 36図。
図1-36場所の設定
スニファ無線機ベースのコマンドラインツールを除き、また、Webベースの管理ツールOSSIMシステムに追加することができます。WIDSを設定した後、隣接する無線信号は、図1-37に示すように、見出すことができます。
図1-37無線信号を参照して
、図1-38に示すように、無線スニファを開始するために、OSSIMにSIEMコンソールビュー運命ログ情報は、送信されました。
図1-38運命SIEMを表示するために、ログイン
の設定が成功したことを示す、SIEMコンソールに送信されたログ運命を受信した後。
ノートを読む:この記事は、ああ、我々は交換を自分で読んだときの言葉は、**に置き換えられ感謝しています。