为了能够保护无线局域网的安全,防止非法无线访问设备给无线局域网带来的安全风险,无线局域网所有者或网络管理员必需使用一定的步骤和工具来发现和消灭这些非法的无线访问设备。本文将详细说明什么是非法无线访问设备,它们会给无线局域网带来什么样的安全风险,以及可以使用什么样的最佳做法来有效地解决它们所带来的问题的一整套的最佳做法,以帮助中小企业能够消除非法无线访问设备带来的安全威胁。
在这里要知道的是检测和防范非法无线访问设备是一个持续的长期过期,它应该与无线局域网的整个生命周期相适应。为此我们必需按一定的最佳做法来构建一个处理非法无线访问设备的处理流程。这个最佳做法包括:检测、阻止、定位和清除非法无线访问点,它是一个不断往复的处理过程,如图1所示。
图1 处理非法无线访问设备的最佳处理模型
一、什么是非法无线访设备
在理想的世界中,我们对唯一的无线网络访问设备所在的位置和状态应该可以很容易就能了解。但是,现实的无线局域网中并不只存在一个无线访问设备而已。在企业的周围会有越来越多的企业、机构或家庭用户使用无线产品,这些无线设备在其有效的无线访问距离之内很容易就可以连接到企业无线局域网之中。
现在,一些WIFI爱好者仍然非常喜欢通过战争驾驶的方式发现各种没有设防的无线局域网,它就是利用无线电波的开放性来进行的。另外,企业的合作伙伴、客户、员工及其它人员都有可能使用一些具有WIFI功能的设备,例如笔记本电脑、PDA、上网本或智能手机连入企业无线局域网。这些无线访问设备如果没有通过许可,同样可能给企业无线局域网带来安全风险。
就目前来说,非法无线访问设备有两种主要的类型:内部非法无线访问设备和外部非法无线访问设备。内部非法无线访问设备处于企业内部局域网中的某个位置,它们可能是员工自己建立的无线AP,也可能是攻击者在入侵网络后自己构建的。例如,攻击者可以通过一些软件加USB无线网卡的方式来构建一个无线AP,这样的软件有HostAP和FakeAP,它们只能在Windows操作系统下运行。而外部非法无线访问设备是指处于企业网络外部的无线访问设备,这些无线访问设备通常与企业保持在无线信号可以传达的范围之内,大多都是企业外部人员所拥有。
不过,在这样的一个结构复杂的无线网络大环境当中,要区分哪些无线访问设备是安全的,哪些是非法的有时变得很困难。这是因为我们发现的无线访问设备可能属于企业外部某个家庭用户使用的无线设备;也可能是一个由于企业内部员工为了方便自己而建立的无线AP;它们还可能是一个来自外部的恶意无线访问设备,由攻击者特意安装在接近企业的位置,用来收集企业无线局域网中传输的机密数据。
在本文中,我们所指的非法无线访问设备就是指所有没有经过授权的无线访问设备,无论这个无线访问设备是由谁建立的,也不管建立它的目的是什么,只要是没有经过企业授权的就是非法的无线访问设备。
它们包括:
1、邻居家的无线AP
2、AD HOC计算机,进行点对点的直接连接,发送机密文件。
3、非授权AP
4、非授权站点,PDA和智能手机
5、恶意站点
6、恶意无线AP
简而言之,非法无线访问设备就是指那些未知的或任何不可信赖的基于802.11标准的站点和无线AP,以及那些想进一步给企业带来商业风险的无线访问设备。如图2所示就是非法无线访问设备的类型和其分布位置图。
图2 非法无线访问设备类型和分布位置图
二、企业有必要对非法无线访问设备进行检测和防范吗?
到这里,有一些读者可能会问:"我的无线局域网已经实施了强大的安全措施,并且应用了基于802.1x的认证措施,就算存在非法无线访问设备,它们也应该不能对无线局域网构成任何威胁,因为这些非法的无线访问设备不能通过建立的认证体系。那么还有必要花费时间和金钱来检测非法无线访问设备吗?"
很显然,一些读者存在这样的疑问是很正常的,而且,使用一定的安全防范措施,例如实施802.1x认证,也能够防止一些没有通过认证的无线访问设备连入企业无线局域网。但是,百密总有一疏,你要看你实施的安全措施是哪种方式。就拿加密来说,使用WEP加密肯定是可以被攻破的,使用WPA或WPA2企业版又要好一点,但仍然可以被攻击者通过中间人攻击的方式来得到加密键。这就是说,绝对的安全是不可能的。
如前所述,非法无线访问设备是指仍然通过WI-FI技术连接到企业内部无线局域网中的非授权设备。这些非法无线接入设备可能是内部非授权员工的无线设备,也可能是外部攻击者的无线设备,或者是战争驾驶的无线设备。无论哪种非法无线接入设备,都有可能给企业的无线局域网带来安全风险,造成企业机密数据的泄漏和丢失。甚至一些没有构建无线局域网的企业,由于企业内部员工将具有WI-FI功能的设备连接到企业内部网络中使用,而且没有禁用这些设备的无线功能,那么这些无线设备同样可以成为泄漏企业机密和攻击者入侵企业内部网络的突破口。
而且,企业的内部员工有可能为了方便自己,偷偷将一个无线访问点接入到某个交换机端口中,然后通过它连接到企业的内部无线局域网当中。还有,一些特殊行为的企业,例如超市等大卖场,一些网络设备就在与顾客交流的现场,攻击者完全有可能通过物理接触的方式将一台无线AP接入到企业的内部网络当中,例如前台POS机使用的交换机等。甚至一些使用无线视频监控的无线AP也可能成为攻击者连入企业内部无线局域网的一个突破口。
从上述所示的这些非法无线访问设备带来的问题就可以看出,即使我们使用了多么强大的安全措施来保护无线局域网的安全,但是非法无线访问设备所带来的安全问题仍然是存在的。因此,我们就有必要通过一些方法来检测和防御非法无线访问设备带来的安全威胁。
到目前为止,可以用来检测和防御非法无线访问设备的主要方法包括:
1、使用无线嗅探器,通过与笔记本电脑或PDA设备的联合使用,可以在企业整个无线局域网区域内漫游查找非法无线访问设备。但是,这种方式需要技术人员有一定的嗅探器知识,还必需非常了解企业目前的无线设备的分布状况。
2、使用无线入侵检测/防御系统(WIDS/IPS),它们有主机型和网络型之分,在部署时应两种同时使用。无线入侵防范系统是目前最有效的检测非法无线访问设备的方法,但是,它并不能检测到被动式无线嗅探攻击和接入请求,以及内部人员主动连接外部无线访问设备的攻击方式。
3、使用手持式无线信号检测工具。
4、安装无线检测探头。在所有无线局域网覆盖区域都需要安装相应的探头来检测无线访问设备的接入信号。非法无线信号的检测探针的安装位置可以是处于特殊位置的工作站,也可以使用具有无线信号检测功能的无线AP.这样做可能要求企业增加相应的投资成本。而且,这些探头产生的信息需要一个中心化服务器来进行管理和分析,以确定哪些是正常的接入请求,哪些是非法的。
在实际应用当中,为了能够达到最好的检测效果,应该将这4种方式结合起来使用。实际上,在使用的过程中,还可以根据不同的需求选择其它的外设配置。例如如果需要绘制非法无线访问设备分布位置的地图,我们还得借助GPS和相应的绘图软件来完成这个任务。
另外,除了上述这些经常使用的检测方法外,还有一些其它的技术可以用来检测非法的无线访问设备。这些技术包括现场调查(site survey)、MAC地址列表检查、噪音检测(noise checking)和无线流量分析等。在本文中,我将只介绍使用无线入侵检测防御系统的方式,来检测存在于无线局域网中的非法无线访问设备。
三、在无线局域构建阶段全面了解当前的非法无线访问设备的分布状况
在部署一个新的无线网络之前,我们必需先查明现有的无线信号源,包括墙壁、门窗和微波炉等,以及任何现有的802.11网络及设备。同时,我们还必需将这些找到的不可信任的无线设备建立一个档案,记录下这些无线设备的MAC地址、ESSID号、信道、信号噪声比(SNR)和大约的位置等信息。这样有利于在后面的非法无线设备检测过程中用来识别检测到的无线设备是否为非法无线设备。
并且,还需要通过无线网络规划工具,来创建一个无线访问设备的分布平面图,并在其中指定无线信号需要覆盖的范围、安装的位置和信号的强度,以及无线AP为其提供的服务所要具有的能力和吞吐量。而且还必需为现有的无线局域网绘制一张无线访问点和访问设备的位置分布平面图,在此平面图上标识出正常无线访问点的具体位置。也必需将正常无线AP的MAC地址、SSID号、信号噪声比等信息
关键词标签:无线局域网
相关阅读
热门文章 网络安全管理软件-PCHunter使用教程虚拟主机中ASPX一些安全设置“和谐”内网保护神——ProVisa内网安全管理Discuz!配置文件中的安全设置
人气排行 xp系统关闭445端口方法_ 教你如何关闭xp系统445端口网络安全管理软件-PCHunter使用教程企业网络安全事件应急响应方案什么是IPS(入侵防御系统)linux iptables如何封IP段腾讯QQ密码防盗十大建议隐藏ip地址增加网络信息的安全性Windows Server 2008利用组策略的安全设置
查看所有0条评论>>