??? 為了能夠保護無線局域網(wǎng)的安全�����,防止非法無線訪問設(shè)備給無線局域網(wǎng)帶來的安全風(fēng)險��,無線局域網(wǎng)所有者或網(wǎng)絡(luò)管理員必需使用一定的步驟和工具來發(fā)現(xiàn)和消滅這些非法的無線訪問設(shè)備�����。本文將詳細說明什么是非法無線訪問設(shè)備����,它們會給無線局域網(wǎng)帶來什么樣的安全風(fēng)險,以及可以使用什么樣的最佳做法來有效地解決它們所帶來的問題的一整套的最佳做法,以幫助中小企業(yè)能夠消除非法無線訪問設(shè)備帶來的安全威脅����。
??? 在這里要知道的是檢測和防范非法無線訪問設(shè)備是一個持續(xù)的長期過期,它應(yīng)該與無線局域網(wǎng)的整個生命周期相適應(yīng)����。為此我們必需按一定的最佳做法來構(gòu)建一個處理非法無線訪問設(shè)備的處理流程。這個最佳做法包括:檢測����、阻止、定位和清除非法無線訪問點��,它是一個不斷往復(fù)的處理過程��,如圖1所示��。
??? 圖1 處理非法無線訪問設(shè)備的最佳處理模型
??? 一�����、什么是非法無線訪設(shè)備
??? 在理想的世界中�,我們對唯一的無線網(wǎng)絡(luò)訪問設(shè)備所在的位置和狀態(tài)應(yīng)該可以很容易就能了解。但是����,現(xiàn)實的無線局域網(wǎng)中并不只存在一個無線訪問設(shè)備而已��。在企業(yè)的周圍會有越來越多的企業(yè)��、機構(gòu)或家庭用戶使用無線產(chǎn)品���,這些無線設(shè)備在其有效的無線訪問距離之內(nèi)很容易就可以連接到企業(yè)無線局域網(wǎng)之中。
??? 現(xiàn)在����,一些WIFI愛好者仍然非常喜歡通過戰(zhàn)爭駕駛的方式發(fā)現(xiàn)各種沒有設(shè)防的無線局域網(wǎng),它就是利用無線電波的開放性來進行的����。另外�����,企業(yè)的合作伙伴��、客戶����、員工及其它人員都有可能使用一些具有WIFI功能的設(shè)備�,例如筆記本電腦�、PDA、上網(wǎng)本或智能手機連入企業(yè)無線局域網(wǎng)���。這些無線訪問設(shè)備如果沒有通過許可�����,同樣可能給企業(yè)無線局域網(wǎng)帶來安全風(fēng)險����。
??? 就目前來說���,非法無線訪問設(shè)備有兩種主要的類型:內(nèi)部非法無線訪問設(shè)備和外部非法無線訪問設(shè)備���。內(nèi)部非法無線訪問設(shè)備處于企業(yè)內(nèi)部局域網(wǎng)中的某個位置,它們可能是員工自己建立的無線AP���,也可能是攻擊者在入侵網(wǎng)絡(luò)后自己構(gòu)建的��。例如��,攻擊者可以通過一些軟件加USB無線網(wǎng)卡的方式來構(gòu)建一個無線AP�����,這樣的軟件有HostAP和FakeAP��,它們只能在Windows操作系統(tǒng)下運行��。而外部非法無線訪問設(shè)備是指處于企業(yè)網(wǎng)絡(luò)外部的無線訪問設(shè)備����,這些無線訪問設(shè)備通常與企業(yè)保持在無線信號可以傳達的范圍之內(nèi),大多都是企業(yè)外部人員所擁有�。
??? 不過,在這樣的一個結(jié)構(gòu)復(fù)雜的無線網(wǎng)絡(luò)大環(huán)境當(dāng)中���,要區(qū)分哪些無線訪問設(shè)備是安全的�����,哪些是非法的有時變得很困難�。這是因為我們發(fā)現(xiàn)的無線訪問設(shè)備可能屬于企業(yè)外部某個家庭用戶使用的無線設(shè)備�����;也可能是一個由于企業(yè)內(nèi)部員工為了方便自己而建立的無線AP��;它們還可能是一個來自外部的惡意無線訪問設(shè)備��,由攻擊者特意安裝在接近企業(yè)的位置���,用來收集企業(yè)無線局域網(wǎng)中傳輸?shù)臋C密數(shù)據(jù)����。
??? 在本文中����,我們所指的非法無線訪問設(shè)備就是指所有沒有經(jīng)過授權(quán)的無線訪問設(shè)備,無論這個無線訪問設(shè)備是由誰建立的����,也不管建立它的目的是什么,只要是沒有經(jīng)過企業(yè)授權(quán)的就是非法的無線訪問設(shè)備����。
??? 它們包括:
??? 1、鄰居家的無線AP
??? 2�����、AD HOC計算機��,進行點對點的直接連接,發(fā)送機密文件�。
??? 3、非授權(quán)AP
??? 4��、非授權(quán)站點�����,PDA和智能手機
??? 5�、惡意站點
??? 6、惡意無線AP
??? 簡而言之�,非法無線訪問設(shè)備就是指那些未知的或任何不可信賴的基于802.11標準的站點和無線AP,以及那些想進一步給企業(yè)帶來商業(yè)風(fēng)險的無線訪問設(shè)備����。如圖2所示就是非法無線訪問設(shè)備的類型和其分布位置圖。
??? 圖2 非法無線訪問設(shè)備類型和分布位置圖
??? 二�����、企業(yè)有必要對非法無線訪問設(shè)備進行檢測和防范嗎��?
??? 到這里����,有一些讀者可能會問:"我的無線局域網(wǎng)已經(jīng)實施了強大的安全措施,并且應(yīng)用了基于802.1x的認證措施�����,就算存在非法無線訪問設(shè)備�����,它們也應(yīng)該不能對無線局域網(wǎng)構(gòu)成任何威脅����,因為這些非法的無線訪問設(shè)備不能通過建立的認證體系。那么還有必要花費時間和金錢來檢測非法無線訪問設(shè)備嗎�����?"
??? 很顯然���,一些讀者存在這樣的疑問是很正常的����,而且����,使用一定的安全防范措施�����,例如實施802.1x認證���,也能夠防止一些沒有通過認證的無線訪問設(shè)備連入企業(yè)無線局域網(wǎng)。但是�����,百密總有一疏�����,你要看你實施的安全措施是哪種方式�。就拿加密來說,使用WEP加密肯定是可以被攻破的�,使用WPA或WPA2企業(yè)版又要好一點,但仍然可以被攻擊者通過中間人攻擊的方式來得到加密鍵����。這就是說,絕對的安全是不可能的��。
??? 如前所述,非法無線訪問設(shè)備是指仍然通過WI-FI技術(shù)連接到企業(yè)內(nèi)部無線局域網(wǎng)中的非授權(quán)設(shè)備�����。這些非法無線接入設(shè)備可能是內(nèi)部非授權(quán)員工的無線設(shè)備����,也可能是外部攻擊者的無線設(shè)備�,或者是戰(zhàn)爭駕駛的無線設(shè)備。無論哪種非法無線接入設(shè)備�,都有可能給企業(yè)的無線局域網(wǎng)帶來安全風(fēng)險,造成企業(yè)機密數(shù)據(jù)的泄漏和丟失�����。甚至一些沒有構(gòu)建無線局域網(wǎng)的企業(yè)��,由于企業(yè)內(nèi)部員工將具有WI-FI功能的設(shè)備連接到企業(yè)內(nèi)部網(wǎng)絡(luò)中使用���,而且沒有禁用這些設(shè)備的無線功能����,那么這些無線設(shè)備同樣可以成為泄漏企業(yè)機密和攻擊者入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的突破口���。
??? 而且�����,企業(yè)的內(nèi)部員工有可能為了方便自己�,偷偷將一個無線訪問點接入到某個交換機端口中,然后通過它連接到企業(yè)的內(nèi)部無線局域網(wǎng)當(dāng)中�����。還有�����,一些特殊行為的企業(yè)�����,例如超市等大賣場��,一些網(wǎng)絡(luò)設(shè)備就在與顧客交流的現(xiàn)場��,攻擊者完全有可能通過物理接觸的方式將一臺無線AP接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)當(dāng)中���,例如前臺POS機使用的交換機等���。甚至一些使用無線視頻監(jiān)控的無線AP也可能成為攻擊者連入企業(yè)內(nèi)部無線局域網(wǎng)的一個突破口�����。
??? 從上述所示的這些非法無線訪問設(shè)備帶來的問題就可以看出���,即使我們使用了多么強大的安全措施來保護無線局域網(wǎng)的安全����,但是非法無線訪問設(shè)備所帶來的安全問題仍然是存在的。因此���,我們就有必要通過一些方法來檢測和防御非法無線訪問設(shè)備帶來的安全威脅�����。
??? 到目前為止�����,可以用來檢測和防御非法無線訪問設(shè)備的主要方法包括:
??? 1��、使用無線嗅探器���,通過與筆記本電腦或PDA設(shè)備的聯(lián)合使用�,可以在企業(yè)整個無線局域網(wǎng)區(qū)域內(nèi)漫游查找非法無線訪問設(shè)備����。但是,這種方式需要技術(shù)人員有一定的嗅探器知識���,還必需非常了解企業(yè)目前的無線設(shè)備的分布狀況�。
??? 2��、使用無線入侵檢測/防御系統(tǒng)(WIDS/IPS)��,它們有主機型和網(wǎng)絡(luò)型之分�,在部署時應(yīng)兩種同時使用。無線入侵防范系統(tǒng)是目前最有效的檢測非法無線訪問設(shè)備的方法�,但是,它并不能檢測到被動式無線嗅探攻擊和接入請求�,以及內(nèi)部人員主動連接外部無線訪問設(shè)備的攻擊方式。
??? 3��、使用手持式無線信號檢測工具���。
??? 4��、安裝無線檢測探頭�。在所有無線局域網(wǎng)覆蓋區(qū)域都需要安裝相應(yīng)的探頭來檢測無線訪問設(shè)備的接入信號。非法無線信號的檢測探針的安裝位置可以是處于特殊位置的工作站��,也可以使用具有無線信號檢測功能的無線AP.這樣做可能要求企業(yè)增加相應(yīng)的投資成本�����。而且�����,這些探頭產(chǎn)生的信息需要一個中心化服務(wù)器來進行管理和分析�����,以確定哪些是正常的接入請求����,哪些是非法的���。
??? 在實際應(yīng)用當(dāng)中�����,為了能夠達到最好的檢測效果�,應(yīng)該將這4種方式結(jié)合起來使用。實際上��,在使用的過程中���,還可以根據(jù)不同的需求選擇其它的外設(shè)配置��。例如如果需要繪制非法無線訪問設(shè)備分布位置的地圖�����,我們還得借助GPS和相應(yīng)的繪圖軟件來完成這個任務(wù)�����。
??? 另外��,除了上述這些經(jīng)常使用的檢測方法外���,還有一些其它的技術(shù)可以用來檢測非法的無線訪問設(shè)備。這些技術(shù)包括現(xiàn)場調(diào)查(site survey)����、MAC地址列表檢查����、噪音檢測(noise checking)和無線流量分析等����。在本文中,我將只介紹使用無線入侵檢測防御系統(tǒng)的方式�����,來檢測存在于無線局域網(wǎng)中的非法無線訪問設(shè)備�。
??? 三、在無線局域構(gòu)建階段全面了解當(dāng)前的非法無線訪問設(shè)備的分布狀況
??? 在部署一個新的無線網(wǎng)絡(luò)之前���,我們必需先查明現(xiàn)有的無線信號源�,包括墻壁�����、門窗和微波爐等��,以及任何現(xiàn)有的802.11網(wǎng)絡(luò)及設(shè)備����。同時,我們還必需將這些找到的不可信任的無線設(shè)備建立一個檔案����,記錄下這些無線設(shè)備的MAC地址、ESSID號����、信道、信號噪聲比(SNR)和大約的位置等信息��。這樣有利于在后面的非法無線設(shè)備檢測過程中用來識別檢測到的無線設(shè)備是否為非法無線設(shè)備���。
??? 并且��,還需要通過無線網(wǎng)絡(luò)規(guī)劃工具����,來創(chuàng)建一個無線訪問設(shè)備的分布平面圖�����,并在其中指定無線信號需要覆蓋的范圍�����、安裝的位置和信號的強度,以及無線AP為其提供的服務(wù)所要具有的能力和吞吐量����。而且還必需為現(xiàn)有的無線局域網(wǎng)繪制一張無線訪問點和訪問設(shè)備的位置分布平面圖,在此平面圖上標識出正常無線訪問點的具體位置��。也必需將正常無線AP的MAC地址�����、SSID號�����、信號噪聲比等信息
關(guān)鍵詞標簽:無線局域網(wǎng)
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程