企業無線網絡的安全強化措施

來源：TechTarget中(zhōng)國

在本文中(zhōng)，我(wǒ)們列出了數據鏈路層的針對“企業無線局域網可能遭到濫用”的對策。這些對策包括：WEP的安全替代——使用無線安全标準;無線局域網的入侵檢測和異常追蹤。當然，無線網絡的安全性可以(也應該)使用更高層的保障如各種IPSec模式或基于SSL的安全協議等。

使用無線安全标準

2004年，IEEE的“i”課題組開(kāi)發了一(yī)個統一(yī)的無線安全标準，其中(zhōng)部分(fēn)已經被許多無線設備和軟件供應商(shāng)實現以減輕已知(zhī)的802.11安全問 題。原名爲802.11i标準，這個标準現在被廣泛成爲WPA2，它代表了Wi-Fi保護訪問版本2。WAP2取代了WPA，WPA是舊的、不安全的向後 兼容現有無線基礎設施的WEP标準的混合。WPA使用RC4加密，比WPA2中(zhōng)使用的AES加密更弱。WAP2是目前無線網絡最好的解決方案，并期望在可 預見的未來繼續如此。大(dà)多數支持WPA2的無線接入點具有的特征被稱爲Wi-Fi保護設置(WPS)，其中(zhōng)有一(yī)個允許攻擊者獲得WPA2密碼的安全缺陷， 使他或她未經授權而連接到網絡。此功能應盡可能關閉以避免攻擊。

有效部署無線入侵檢測和預防

盡管如前所述，對無線網絡的入侵檢測必須覆蓋數據鏈路層。在這裏，我(wǒ)們簡要介紹無線入侵檢測(IDS)問題。許多應用程序聲稱是無線入侵檢測系統， 但僅僅在這些地址沒有被ACL允許時才檢測局域網中(zhōng)新的MAC地址。這樣的功能在一(yī)些接入點的固件中(zhōng)也能實現。當然，任何能夠繞過基于MAC的ACL的人 也能夠繞過基于MAC的“IDS”。一(yī)個真正的無線入侵檢測系統是一(yī)個提供攻擊簽名數據庫或知(zhī)識庫和推理機、以及一(yī)個适當的報告和報警接口的專業 802.11(或802.15)協議分(fēn)析儀。一(yī)些可疑的尋找無線局域網的事件包括：

· 探測請求(很好的指示了有人在使用主動掃描方式)

· 來自不請自來的訪問點或ad hoc無線客戶端的信标幀

· 洪泛分(fēn)離(lí)/解除認證幀(中(zhōng)間人攻擊?)

· 關聯的未經認證的主機(試圖猜測共享密鑰?)

· 在未啓用漫遊的網絡上的頻繁的幀重組，以及頻繁的數據包轉發(“隐藏節點”、壞鏈接、或可能的DOS攻擊?)

· 封閉網絡中(zhōng)的多個SSID錯誤(SSID蠻力奪取?)

· 可疑的SSID如“AirJack”(或純舊式“31337”)

· 主動幀與複制的MAC地址

· 随機變化的MAC地址(使用Wellenreiter或FakeAP攻擊者)

· 五信道範圍内其他802.11信道的幀傳送，或同一(yī)信道傳輸的不同SSID的幀(錯誤配置和可能不請自來的主機、幹擾、DoS?)

· 主機不使用實現的加密解決方案(這裏應不存在)

· 多重EAP認證請求和響應(蠻力搶奪EAP-LEAP?)

· 畸形和超大(dà)的EAP幀以及各種EAP幀洪泛(802.1x DoS攻擊?)

· 不匹配所建立的周期序列的802.11幀序列号(中(zhōng)間人攻擊、局域網MAC欺詐?)

· ARP欺詐以及其他源于無線局域網的攻擊

組織面臨着控制通過無線接入點連接到他們的企業網絡中(zhōng)的人和物(wù)的挑戰。許多企業無線供應商(shāng)已經增強了自身的接入點和無線控制器産品自然包括防火(huǒ)牆、 RADIUS、網絡訪問控制、以及無線IPS。這種繼承提供了對連接到無線基礎設施的無線用戶更好的控制以及控制這些用戶在企業網絡上可以去(qù)的地方。這是 一(yī)個急需的深度防護方法，因爲有線側防火(huǒ)牆和IPS不能提供必要的對抗無線攻擊的保護。大(dà)多數無線攻擊發生(shēng)在第二層以及無線介質之間。傳統的有線防火(huǒ)牆不 能檢測到這些攻擊，并且有線IP沒有檢查這些類型的數據包的能力。這導緻了專業無線IPS産品的出現。

無線IPS和IDS

無線IPS使用無線傳感器識别無線攻擊。這些無線傳感器通常使用與在接入點發現的相同Wi-Fi波段，這就是很多公司允許接入點的雙重用途的原因， 既可用于訪問又(yòu)可用于檢測攻擊。這些根據供應商(shāng)的不同而不同。有許多混合方法。最常見的方法是，在沒有人訪問時暫停無線電台，并執行惡意接入點和攻擊的無 線空域快照。但是這種部分(fēn)時間的無線入侵檢測方法意味着你隻能在無線電台處于檢測模式時檢測到攻擊。對于一(yī)天中(zhōng)剩下(xià)的時間，無線攻擊無法被檢測到。這個問 題促使一(yī)些廠商(shāng)在訪問接入點時使用次要的Wi-Fi電台以使一(yī)個電台被用于專職訪問而另一(yī)個用于全職無線IPS。

Wi-Fi協議允許爲信道分(fēn)配不同的頻率，使得一(yī)個信道可以分(fēn)配給每個頻率。在嚴重擁擠的無線環境中(zhōng)，使用不同的信道(或頻率)允許管理員(yuán)減少幹 擾，這也被成爲共信道幹擾。因此，對無線攻擊的适當檢測需要定期檢查每個通道的攻擊。基本上有兩組頻率：在2.4-GHz頻譜運行的802.11b和 802.11g;在5GHz頻譜運行的802.11a;802.11n工(gōng)作在兩個頻譜，2.4 GHz和5 GHz;802.11ac僅工(gōng)作在5-GHz譜。

由于無線傳感器從一(yī)個信道跳躍到另一(yī)個信道收集無線數據包以供分(fēn)析，它将不會收集有些數據包，因此，那些包将被錯過因爲傳感器在同一(yī)時間隻能監控一(yī) 個通道。因此，一(yī)些廠商(shāng)現在允許傳感器選擇“鎖定頻道”以隻允許一(yī)個信道(或頻率)被監視。對于隻有一(yī)個信道被使用的高度敏感環境，這個功能可以幫助管理 員(yuán)減少數據包丢失。現實情況是，由于無線網絡是一(yī)個物(wù)理介質，總會發生(shēng)數據包的丢失。這是由于許多因素，包括移動無線設備、設備的距離(lí)的傳感器、傳感器的 天線強度等等。

無線入侵檢測系統隻涉及到接收數據包。因此，它的範圍在物(wù)理上比一(yī)個發送和接收的接入點更廣泛。在一(yī)個典型的接入點和傳感器的部署中(zhōng)，經驗法則是每三個接入點一(yī)個傳感器。無線網絡勘測将有助于确定最佳的傳感器覆蓋和安置。

大(dà)多數人部署無線入侵檢測系統來檢測惡意接入點，三角測量也是一(yī)個好的想法。雖然一(yī)個流氓AP可以被一(yī)個單一(yī)的傳感器檢測，但其物(wù)理位置無法被檢測 到。需要用到三角測量來确定流氓AP的近似物(wù)理位置。三角測量至少涉及到三個傳感器，它們中(zhōng)的所有都是被與三個傳感器的信息相關的同一(yī)個管理系統管理，并 且基于複雜的算法确定流氓AP的物(wù)理位置。通常AP顯示在IDS管理軟件的樓層平面圖中(zhōng)。

藍(lán)牙IPS

由于藍(lán)牙也是一(yī)種無線技術，并且工(gōng)作頻率與802.11b和802.11g相同，一(yī)些無線IPS産品已經被設計爲檢測藍(lán)牙。爲什麽你要檢測到藍(lán)牙?由于運行在一(yī)個與Wi-Fi共享的頻率範圍，藍(lán)牙偶爾也會引起幹擾問題，但藍(lán)牙的攻擊也出現了。最常見和最嚴重的是藍(lán)牙流氓。

藍(lán)牙攻擊影響了許多組織機構，但最重要的是零售商(shāng)。攻擊者有确定的方式黑掉銷售系統點并通過插入藍(lán)牙無線電波的方式注冊鍵區。一(yī)個惡意的雇員(yuán)或者假 冒的技術人員(yuán)打開(kāi)銷售系統點或注冊鍵區并将藍(lán)牙廣播電台連接到設備。由于信用卡刷卡，他們被同時廣播到鄰近的空間。如果一(yī)個攻擊者在附近，無論是在商(shāng)店(diàn)貨 在停車(chē)場，他或她僅僅使用藍(lán)牙設備監聽(tīng)和接收這些信用卡号碼。

所有的藍(lán)牙設備工(gōng)作在2.4GHz頻段并使用79頻道從一(yī)個信道跳(跳頻)到另一(yī)個信道，達到1600跳/秒。通常根據其範圍可以劃分(fēn)爲三類藍(lán)牙設 備。3類設備是我(wǒ)們大(dà)多數人所熟悉的，通常包括藍(lán)牙耳機。在約1米的範圍限制下(xià)，他們不會爲攻擊者提供好的服務。因此，攻擊者通常使用2類和3類設備，它 們可以很容易在網上以20美元以下(xià)的價格買到。

有些供應商(shāng)已經将他們的無線IPS産品調整爲也可以檢測到藍(lán)牙，使管理員(yuán)可以檢測到這些設備的存在，尤其是在秘密地點和交易大(dà)廳。由于通信範圍的相對強度，位置也是藍(lán)牙檢測需要考慮的關鍵因素。如果無線IPS傳感器超出範圍，它隻可能檢測不到藍(lán)牙設備。

無線網絡定位和安全網關

無線網絡加強的最後一(yī)點與無線網絡在整個網絡拓撲設計中(zhōng)的位置相關。由于無線網絡的特點，無線網絡不應該直接連接到有線局域網。相反，它們必須被視 爲不安全的公共網絡連接，或在最寬松的安全方法中(zhōng)作爲DMZ。将一(yī)個無線接入點直接插入局域網交換機是自找麻煩(雖然802.1x認證可以緩解這個問 題)。一(yī)個具有良好狀态和代理的防火(huǒ)牆能力的安全無線網關必須将無線網絡與有線局域網分(fēn)開(kāi)。

現今最常見的方法是擁有可以在局域網上任何地方連接的AP，但創建一(yī)個返回到控制器的加密隧道，并在接觸局域網之前通過它傳送所有流量。這個控制器 将運行防火(huǒ)牆和入侵檢測/防禦系統(IDS/IPS)的能力在它接觸到到内部網絡之前檢查該流量。如果無線網絡在該區域包括多個接入點和漫遊用戶訪問，則 “有線側”的接入點必須被放(fàng)在同一(yī)VLAN中(zhōng)，從剩下(xià)的有線網絡中(zhōng)安全隔離(lí)。高端的專業無線網關集合了接入點、防火(huǒ)牆、VPN集中(zhōng)器、以及用戶漫遊支持能 力。網關的安全對你的無線網絡——甚至是接入點自己——的保護能力不應忽視。無線網關、接入點、以及網橋的大(dà)多數安全問題來源于不安全的設備管理實施，包 括使用Telnet、TFTP、默認的SNMP團體(tǐ)字符串和默認的密碼，以及允許從網絡無線側進行網關和接入點的遠程管理。确保每個設備的安全被适當的審 計，并且與更傳統的在數據鏈路層以上工(gōng)作的入侵檢測系統相呼應使用無線專用入侵檢測系統。