來源:TechTarget中國
在本文中����,我們列出了數(shù)據(jù)鏈路層的針對“企業(yè)無線局域網(wǎng)可能遭到濫用”的對策����。這些對策包括:WEP的安全替代——使用無線安全標(biāo)準(zhǔn);無線局域網(wǎng)的入侵檢測和異常追蹤���。當(dāng)然�,無線網(wǎng)絡(luò)的安全性可以(也應(yīng)該)使用更高層的保障如各種IPSec模式或基于SSL的安全協(xié)議等。
使用無線安全標(biāo)準(zhǔn)
2004年��,IEEE的“i”課題組開發(fā)了一個統(tǒng)一的無線安全標(biāo)準(zhǔn)��,其中部分已經(jīng)被許多無線設(shè)備和軟件供應(yīng)商實現(xiàn)以減輕已知的802.11安全問 題�。原名為802.11i標(biāo)準(zhǔn),這個標(biāo)準(zhǔn)現(xiàn)在被廣泛成為WPA2���,它代表了Wi-Fi保護(hù)訪問版本2�。WAP2取代了WPA����,WPA是舊的、不安全的向后 兼容現(xiàn)有無線基礎(chǔ)設(shè)施的WEP標(biāo)準(zhǔn)的混合��。WPA使用RC4加密����,比WPA2中使用的AES加密更弱。WAP2是目前無線網(wǎng)絡(luò)最好的解決方案���,并期望在可 預(yù)見的未來繼續(xù)如此����。大多數(shù)支持WPA2的無線接入點(diǎn)具有的特征被稱為Wi-Fi保護(hù)設(shè)置(WPS),其中有一個允許攻擊者獲得WPA2密碼的安全缺陷�����, 使他或她未經(jīng)授權(quán)而連接到網(wǎng)絡(luò)��。此功能應(yīng)盡可能關(guān)閉以避免攻擊��。
有效部署無線入侵檢測和預(yù)防
盡管如前所述���,對無線網(wǎng)絡(luò)的入侵檢測必須覆蓋數(shù)據(jù)鏈路層�����。在這里����,我們簡要介紹無線入侵檢測(IDS)問題����。許多應(yīng)用程序聲稱是無線入侵檢測系統(tǒng)��, 但僅僅在這些地址沒有被ACL允許時才檢測局域網(wǎng)中新的MAC地址��。這樣的功能在一些接入點(diǎn)的固件中也能實現(xiàn)�����。當(dāng)然,任何能夠繞過基于MAC的ACL的人 也能夠繞過基于MAC的“IDS”�����。一個真正的無線入侵檢測系統(tǒng)是一個提供攻擊簽名數(shù)據(jù)庫或知識庫和推理機(jī)����、以及一個適當(dāng)?shù)膱蟾婧蛨缶涌诘膶I(yè) 802.11(或802.15)協(xié)議分析儀。一些可疑的尋找無線局域網(wǎng)的事件包括:
· 探測請求(很好的指示了有人在使用主動掃描方式)
· 來自不請自來的訪問點(diǎn)或ad hoc無線客戶端的信標(biāo)幀
· 洪泛分離/解除認(rèn)證幀(中間人攻擊?)
· 關(guān)聯(lián)的未經(jīng)認(rèn)證的主機(jī)(試圖猜測共享密鑰?)
· 在未啟用漫游的網(wǎng)絡(luò)上的頻繁的幀重組���,以及頻繁的數(shù)據(jù)包轉(zhuǎn)發(fā)(“隱藏節(jié)點(diǎn)”�����、壞鏈接�����、或可能的DOS攻擊?)
· 封閉網(wǎng)絡(luò)中的多個SSID錯誤(SSID蠻力奪取?)
· 可疑的SSID如“AirJack”(或純舊式“31337”)
· 主動幀與復(fù)制的MAC地址
· 隨機(jī)變化的MAC地址(使用Wellenreiter或FakeAP攻擊者)
· 五信道范圍內(nèi)其他802.11信道的幀傳送����,或同一信道傳輸?shù)牟煌琒SID的幀(錯誤配置和可能不請自來的主機(jī)、干擾����、DoS?)
· 主機(jī)不使用實現(xiàn)的加密解決方案(這里應(yīng)不存在)
· 多重EAP認(rèn)證請求和響應(yīng)(蠻力搶奪EAP-LEAP?)
· 畸形和超大的EAP幀以及各種EAP幀洪泛(802.1x DoS攻擊?)
· 不匹配所建立的周期序列的802.11幀序列號(中間人攻擊、局域網(wǎng)MAC欺詐?)
· ARP欺詐以及其他源于無線局域網(wǎng)的攻擊
組織面臨著控制通過無線接入點(diǎn)連接到他們的企業(yè)網(wǎng)絡(luò)中的人和物的挑戰(zhàn)�。許多企業(yè)無線供應(yīng)商已經(jīng)增強(qiáng)了自身的接入點(diǎn)和無線控制器產(chǎn)品自然包括防火墻、 RADIUS�����、網(wǎng)絡(luò)訪問控制��、以及無線IPS�����。這種繼承提供了對連接到無線基礎(chǔ)設(shè)施的無線用戶更好的控制以及控制這些用戶在企業(yè)網(wǎng)絡(luò)上可以去的地方�����。這是 一個急需的深度防護(hù)方法,因為有線側(cè)防火墻和IPS不能提供必要的對抗無線攻擊的保護(hù)�����。大多數(shù)無線攻擊發(fā)生在第二層以及無線介質(zhì)之間����。傳統(tǒng)的有線防火墻不 能檢測到這些攻擊,并且有線IP沒有檢查這些類型的數(shù)據(jù)包的能力�����。這導(dǎo)致了專業(yè)無線IPS產(chǎn)品的出現(xiàn)����。
無線IPS和IDS
無線IPS使用無線傳感器識別無線攻擊�����。這些無線傳感器通常使用與在接入點(diǎn)發(fā)現(xiàn)的相同Wi-Fi波段����,這就是很多公司允許接入點(diǎn)的雙重用途的原因, 既可用于訪問又可用于檢測攻擊��。這些根據(jù)供應(yīng)商的不同而不同。有許多混合方法�����。最常見的方法是�,在沒有人訪問時暫停無線電臺,并執(zhí)行惡意接入點(diǎn)和攻擊的無 線空域快照�。但是這種部分時間的無線入侵檢測方法意味著你只能在無線電臺處于檢測模式時檢測到攻擊。對于一天中剩下的時間��,無線攻擊無法被檢測到�����。這個問 題促使一些廠商在訪問接入點(diǎn)時使用次要的Wi-Fi電臺以使一個電臺被用于專職訪問而另一個用于全職無線IPS����。
Wi-Fi協(xié)議允許為信道分配不同的頻率,使得一個信道可以分配給每個頻率�����。在嚴(yán)重?fù)頂D的無線環(huán)境中�,使用不同的信道(或頻率)允許管理員減少干 擾,這也被成為共信道干擾����。因此��,對無線攻擊的適當(dāng)檢測需要定期檢查每個通道的攻擊�?;旧嫌袃山M頻率:在2.4-GHz頻譜運(yùn)行的802.11b和 802.11g;在5GHz頻譜運(yùn)行的802.11a;802.11n工作在兩個頻譜,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜���。
由于無線傳感器從一個信道跳躍到另一個信道收集無線數(shù)據(jù)包以供分析�����,它將不會收集有些數(shù)據(jù)包����,因此����,那些包將被錯過因為傳感器在同一時間只能監(jiān)控一 個通道����。因此,一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個信道(或頻率)被監(jiān)視����。對于只有一個信道被使用的高度敏感環(huán)境�����,這個功能可以幫助管理 員減少數(shù)據(jù)包丟失?���,F(xiàn)實情況是�,由于無線網(wǎng)絡(luò)是一個物理介質(zhì),總會發(fā)生數(shù)據(jù)包的丟失�����。這是由于許多因素�,包括移動無線設(shè)備、設(shè)備的距離的傳感器�、傳感器的 天線強(qiáng)度等等。
無線入侵檢測系統(tǒng)只涉及到接收數(shù)據(jù)包����。因此,它的范圍在物理上比一個發(fā)送和接收的接入點(diǎn)更廣泛�����。在一個典型的接入點(diǎn)和傳感器的部署中,經(jīng)驗法則是每三個接入點(diǎn)一個傳感器����。無線網(wǎng)絡(luò)勘測將有助于確定最佳的傳感器覆蓋和安置。
大多數(shù)人部署無線入侵檢測系統(tǒng)來檢測惡意接入點(diǎn)���,三角測量也是一個好的想法���。雖然一個流氓AP可以被一個單一的傳感器檢測,但其物理位置無法被檢測 到��。需要用到三角測量來確定流氓AP的近似物理位置���。三角測量至少涉及到三個傳感器���,它們中的所有都是被與三個傳感器的信息相關(guān)的同一個管理系統(tǒng)管理,并 且基于復(fù)雜的算法確定流氓AP的物理位置����。通常AP顯示在IDS管理軟件的樓層平面圖中��。
藍(lán)牙IPS
由于藍(lán)牙也是一種無線技術(shù)����,并且工作頻率與802.11b和802.11g相同��,一些無線IPS產(chǎn)品已經(jīng)被設(shè)計為檢測藍(lán)牙����。為什么你要檢測到藍(lán)牙?由于運(yùn)行在一個與Wi-Fi共享的頻率范圍���,藍(lán)牙偶爾也會引起干擾問題��,但藍(lán)牙的攻擊也出現(xiàn)了�。最常見和最嚴(yán)重的是藍(lán)牙流氓�����。
藍(lán)牙攻擊影響了許多組織機(jī)構(gòu)�,但最重要的是零售商。攻擊者有確定的方式黑掉銷售系統(tǒng)點(diǎn)并通過插入藍(lán)牙無線電波的方式注冊鍵區(qū)�����。一個惡意的雇員或者假 冒的技術(shù)人員打開銷售系統(tǒng)點(diǎn)或注冊鍵區(qū)并將藍(lán)牙廣播電臺連接到設(shè)備���。由于信用卡刷卡�,他們被同時廣播到鄰近的空間。如果一個攻擊者在附近�,無論是在商店貨 在停車場,他或她僅僅使用藍(lán)牙設(shè)備監(jiān)聽和接收這些信用卡號碼����。
所有的藍(lán)牙設(shè)備工作在2.4GHz頻段并使用79頻道從一個信道跳(跳頻)到另一個信道,達(dá)到1600跳/秒���。通常根據(jù)其范圍可以劃分為三類藍(lán)牙設(shè) 備��。3類設(shè)備是我們大多數(shù)人所熟悉的�,通常包括藍(lán)牙耳機(jī)����。在約1米的范圍限制下,他們不會為攻擊者提供好的服務(wù)�。因此,攻擊者通常使用2類和3類設(shè)備�����,它 們可以很容易在網(wǎng)上以20美元以下的價格買到����。
有些供應(yīng)商已經(jīng)將他們的無線IPS產(chǎn)品調(diào)整為也可以檢測到藍(lán)牙,使管理員可以檢測到這些設(shè)備的存在���,尤其是在秘密地點(diǎn)和交易大廳�����。由于通信范圍的相對強(qiáng)度����,位置也是藍(lán)牙檢測需要考慮的關(guān)鍵因素����。如果無線IPS傳感器超出范圍,它只可能檢測不到藍(lán)牙設(shè)備����。
無線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)
無線網(wǎng)絡(luò)加強(qiáng)的最后一點(diǎn)與無線網(wǎng)絡(luò)在整個網(wǎng)絡(luò)拓?fù)湓O(shè)計中的位置相關(guān)。由于無線網(wǎng)絡(luò)的特點(diǎn)���,無線網(wǎng)絡(luò)不應(yīng)該直接連接到有線局域網(wǎng)�����。相反�,它們必須被視 為不安全的公共網(wǎng)絡(luò)連接,或在最寬松的安全方法中作為DMZ���。將一個無線接入點(diǎn)直接插入局域網(wǎng)交換機(jī)是自找麻煩(雖然802.1x認(rèn)證可以緩解這個問 題)�����。一個具有良好狀態(tài)和代理的防火墻能力的安全無線網(wǎng)關(guān)必須將無線網(wǎng)絡(luò)與有線局域網(wǎng)分開�。
現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的AP�,但創(chuàng)建一個返回到控制器的加密隧道,并在接觸局域網(wǎng)之前通過它傳送所有流量��。這個控制器 將運(yùn)行防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡(luò)之前檢查該流量��。如果無線網(wǎng)絡(luò)在該區(qū)域包括多個接入點(diǎn)和漫游用戶訪問�,則 “有線側(cè)”的接入點(diǎn)必須被放在同一VLAN中,從剩下的有線網(wǎng)絡(luò)中安全隔離�����。高端的專業(yè)無線網(wǎng)關(guān)集合了接入點(diǎn)���、防火墻�����、VPN集中器��、以及用戶漫游支持能 力�����。網(wǎng)關(guān)的安全對你的無線網(wǎng)絡(luò)——甚至是接入點(diǎn)自己——的保護(hù)能力不應(yīng)忽視���。無線網(wǎng)關(guān)、接入點(diǎn)�����、以及網(wǎng)橋的大多數(shù)安全問題來源于不安全的設(shè)備管理實施���,包 括使用Telnet�、TFTP�、默認(rèn)的SNMP團(tuán)體字符串和默認(rèn)的密碼,以及允許從網(wǎng)絡(luò)無線側(cè)進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠(yuǎn)程管理����。確保每個設(shè)備的安全被適當(dāng)?shù)膶?計,并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測系統(tǒng)相呼應(yīng)使用無線專用入侵檢測系統(tǒng)。
全國統(tǒng)一熱線:0532-83832267
