為了能夠保護(hù)無(wú)線局域網(wǎng)的安全,防止非法無(wú)線訪問(wèn)設(shè)備給無(wú)線局域網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)��,無(wú)線局域網(wǎng)所有者或網(wǎng)絡(luò)管理員必需使用一定的步驟和工具來(lái)發(fā)現(xiàn)和消滅這些非法的無(wú)線訪問(wèn)設(shè)備��。本文將詳細(xì)說(shuō)明什么是非法無(wú)線訪問(wèn)設(shè)備����,它們會(huì)給無(wú)線局域網(wǎng)帶來(lái)什么樣的安全風(fēng)險(xiǎn),以及可以使用什么樣的最佳做法來(lái)有效地解決它們所帶來(lái)的問(wèn)題的一整套的最佳做法��,以幫助中小企業(yè)能夠消除非法無(wú)線訪問(wèn)設(shè)備帶來(lái)的安全威脅����。
在這里要知道的是檢測(cè)和防范非法無(wú)線訪問(wèn)設(shè)備是一個(gè)持續(xù)的長(zhǎng)期過(guò)期,它應(yīng)該與無(wú)線局域網(wǎng)的整個(gè)生命周期相適應(yīng)�。為此我們必需按一定的最佳做法來(lái)構(gòu)建一個(gè)處理非法無(wú)線訪問(wèn)設(shè)備的處理流程。這個(gè)最佳做法包括:檢測(cè)�、阻止、定位和清除非法無(wú)線訪問(wèn)點(diǎn)����,它是一個(gè)不斷往復(fù)的處理過(guò)程,如圖1所示�。
圖1 處理非法無(wú)線訪問(wèn)設(shè)備的最佳處理模型
一、什么是非法無(wú)線訪設(shè)備
在理想的世界中�,我們對(duì)唯一的無(wú)線網(wǎng)絡(luò)訪問(wèn)設(shè)備所在的位置和狀態(tài)應(yīng)該可以很容易就能了解。但是�����,現(xiàn)實(shí)的無(wú)線局域網(wǎng)中并不只存在一個(gè)無(wú)線訪問(wèn)設(shè)備而已。在企業(yè)的周?chē)鷷?huì)有越來(lái)越多的企業(yè)��、機(jī)構(gòu)或家庭用戶(hù)使用無(wú)線產(chǎn)品�����,這些無(wú)線設(shè)備在其有效的無(wú)線訪問(wèn)距離之內(nèi)很容易就可以連接到企業(yè)無(wú)線局域網(wǎng)之中�����。
現(xiàn)在�,一些WIFI愛(ài)好者仍然非常喜歡通過(guò)戰(zhàn)爭(zhēng)駕駛的方式發(fā)現(xiàn)各種沒(méi)有設(shè)防的無(wú)線局域網(wǎng)�����,它就是利用無(wú)線電波的開(kāi)放性來(lái)進(jìn)行的�����。另外����,企業(yè)的合作伙伴、客戶(hù)��、員工及其它人員都有可能使用一些具有WIFI功能的設(shè)備,例如筆記本電腦�����、PDA��、上網(wǎng)本或智能手機(jī)連入企業(yè)無(wú)線局域網(wǎng)�。這些無(wú)線訪問(wèn)設(shè)備如果沒(méi)有通過(guò)許可,同樣可能給企業(yè)無(wú)線局域網(wǎng)帶來(lái)安全風(fēng)險(xiǎn)�����。
就目前來(lái)說(shuō)�����,非法無(wú)線訪問(wèn)設(shè)備有兩種主要的類(lèi)型:內(nèi)部非法無(wú)線訪問(wèn)設(shè)備和外部非法無(wú)線訪問(wèn)設(shè)備�����。內(nèi)部非法無(wú)線訪問(wèn)設(shè)備處于企業(yè)內(nèi)部局域網(wǎng)中的某個(gè)位置�,它們可能是員工自己建立的無(wú)線AP,也可能是攻擊者在入侵網(wǎng)絡(luò)后自己構(gòu)建的����。例如���,攻擊者可以通過(guò)一些軟件加USB無(wú)線網(wǎng)卡的方式來(lái)構(gòu)建一個(gè)無(wú)線AP,這樣的軟件有HostAP和FakeAP���,它們只能在Windows操作系統(tǒng)下運(yùn)行��。而外部非法無(wú)線訪問(wèn)設(shè)備是指處于企業(yè)網(wǎng)絡(luò)外部的無(wú)線訪問(wèn)設(shè)備��,這些無(wú)線訪問(wèn)設(shè)備通常與企業(yè)保持在無(wú)線信號(hào)可以傳達(dá)的范圍之內(nèi)���,大多都是企業(yè)外部人員所擁有�。
不過(guò),在這樣的一個(gè)結(jié)構(gòu)復(fù)雜的無(wú)線網(wǎng)絡(luò)大環(huán)境當(dāng)中��,要區(qū)分哪些無(wú)線訪問(wèn)設(shè)備是安全的��,哪些是非法的有時(shí)變得很困難�����。這是因?yàn)槲覀儼l(fā)現(xiàn)的無(wú)線訪問(wèn)設(shè)備可能屬于企業(yè)外部某個(gè)家庭用戶(hù)使用的無(wú)線設(shè)備�;也可能是一個(gè)由于企業(yè)內(nèi)部員工為了方便自己而建立的無(wú)線AP;它們還可能是一個(gè)來(lái)自外部的惡意無(wú)線訪問(wèn)設(shè)備����,由攻擊者特意安裝在接近企業(yè)的位置���,用來(lái)收集企業(yè)無(wú)線局域網(wǎng)中傳輸?shù)臋C(jī)密數(shù)據(jù)。
在本文中����,我們所指的非法無(wú)線訪問(wèn)設(shè)備就是指所有沒(méi)有經(jīng)過(guò)授權(quán)的無(wú)線訪問(wèn)設(shè)備,無(wú)論這個(gè)無(wú)線訪問(wèn)設(shè)備是由誰(shuí)建立的���,也不管建立它的目的是什么�����,只要是沒(méi)有經(jīng)過(guò)企業(yè)授權(quán)的就是非法的無(wú)線訪問(wèn)設(shè)備����。
它們包括:
1�、鄰居家的無(wú)線AP
2、AD HOC計(jì)算機(jī)����,進(jìn)行點(diǎn)對(duì)點(diǎn)的直接連接,發(fā)送機(jī)密文件���。
3���、非授權(quán)AP
4����、非授權(quán)站點(diǎn)����,PDA和智能手機(jī)
5、惡意站點(diǎn)
6���、惡意無(wú)線AP
簡(jiǎn)而言之����,非法無(wú)線訪問(wèn)設(shè)備就是指那些未知的或任何不可信賴(lài)的基于802.11標(biāo)準(zhǔn)的站點(diǎn)和無(wú)線AP�,以及那些想進(jìn)一步給企業(yè)帶來(lái)商業(yè)風(fēng)險(xiǎn)的無(wú)線訪問(wèn)設(shè)備����。如圖2所示就是非法無(wú)線訪問(wèn)設(shè)備的類(lèi)型和其分布位置圖。
圖2 非法無(wú)線訪問(wèn)設(shè)備類(lèi)型和分布位置圖
二����、企業(yè)有必要對(duì)非法無(wú)線訪問(wèn)設(shè)備進(jìn)行檢測(cè)和防范嗎��?
到這里�����,有一些讀者可能會(huì)問(wèn):"我的無(wú)線局域網(wǎng)已經(jīng)實(shí)施了強(qiáng)大的安全措施�,并且應(yīng)用了基于802.1x的認(rèn)證措施���,就算存在非法無(wú)線訪問(wèn)設(shè)備���,它們也應(yīng)該不能對(duì)無(wú)線局域網(wǎng)構(gòu)成任何威脅,因?yàn)檫@些非法的無(wú)線訪問(wèn)設(shè)備不能通過(guò)建立的認(rèn)證體系��。那么還有必要花費(fèi)時(shí)間和金錢(qián)來(lái)檢測(cè)非法無(wú)線訪問(wèn)設(shè)備嗎��?"
很顯然����,一些讀者存在這樣的疑問(wèn)是很正常的,而且��,使用一定的安全防范措施�,例如實(shí)施802.1x認(rèn)證,也能夠防止一些沒(méi)有通過(guò)認(rèn)證的無(wú)線訪問(wèn)設(shè)備連入企業(yè)無(wú)線局域網(wǎng)����。但是�,百密總有一疏����,你要看你實(shí)施的安全措施是哪種方式。就拿加密來(lái)說(shuō)����,使用WEP加密肯定是可以被攻破的,使用WPA或WPA2企業(yè)版又要好一點(diǎn)���,但仍然可以被攻擊者通過(guò)中間人攻擊的方式來(lái)得到加密鍵��。這就是說(shuō)���,絕對(duì)的安全是不可能的。
如前所述���,非法無(wú)線訪問(wèn)設(shè)備是指仍然通過(guò)WI-FI技術(shù)連接到企業(yè)內(nèi)部無(wú)線局域網(wǎng)中的非授權(quán)設(shè)備。這些非法無(wú)線接入設(shè)備可能是內(nèi)部非授權(quán)員工的無(wú)線設(shè)備�,也可能是外部攻擊者的無(wú)線設(shè)備,或者是戰(zhàn)爭(zhēng)駕駛的無(wú)線設(shè)備��。無(wú)論哪種非法無(wú)線接入設(shè)備,都有可能給企業(yè)的無(wú)線局域網(wǎng)帶來(lái)安全風(fēng)險(xiǎn)��,造成企業(yè)機(jī)密數(shù)據(jù)的泄漏和丟失��。甚至一些沒(méi)有構(gòu)建無(wú)線局域網(wǎng)的企業(yè)�,由于企業(yè)內(nèi)部員工將具有WI-FI功能的設(shè)備連接到企業(yè)內(nèi)部網(wǎng)絡(luò)中使用,而且沒(méi)有禁用這些設(shè)備的無(wú)線功能����,那么這些無(wú)線設(shè)備同樣可以成為泄漏企業(yè)機(jī)密和攻擊者入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的突破口。
而且��,企業(yè)的內(nèi)部員工有可能為了方便自己�,偷偷將一個(gè)無(wú)線訪問(wèn)點(diǎn)接入到某個(gè)交換機(jī)端口中,然后通過(guò)它連接到企業(yè)的內(nèi)部無(wú)線局域網(wǎng)當(dāng)中��。還有�,一些特殊行為的企業(yè),例如超市等大賣(mài)場(chǎng)�����,一些網(wǎng)絡(luò)設(shè)備就在與顧客交流的現(xiàn)場(chǎng)��,攻擊者完全有可能通過(guò)物理接觸的方式將一臺(tái)無(wú)線AP接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)當(dāng)中,例如前臺(tái)POS機(jī)使用的交換機(jī)等�。甚至一些使用無(wú)線視頻監(jiān)控的無(wú)線AP也可能成為攻擊者連入企業(yè)內(nèi)部無(wú)線局域網(wǎng)的一個(gè)突破口。
從上述所示的這些非法無(wú)線訪問(wèn)設(shè)備帶來(lái)的問(wèn)題就可以看出���,即使我們使用了多么強(qiáng)大的安全措施來(lái)保護(hù)無(wú)線局域網(wǎng)的安全���,但是非法無(wú)線訪問(wèn)設(shè)備所帶來(lái)的安全問(wèn)題仍然是存在的。因此��,我們就有必要通過(guò)一些方法來(lái)檢測(cè)和防御非法無(wú)線訪問(wèn)設(shè)備帶來(lái)的安全威脅�。
到目前為止,可以用來(lái)檢測(cè)和防御非法無(wú)線訪問(wèn)設(shè)備的主要方法包括:
1�����、使用無(wú)線嗅探器��,通過(guò)與筆記本電腦或PDA設(shè)備的聯(lián)合使用�,可以在企業(yè)整個(gè)無(wú)線局域網(wǎng)區(qū)域內(nèi)漫游查找非法無(wú)線訪問(wèn)設(shè)備。但是�,這種方式需要技術(shù)人員有一定的嗅探器知識(shí),還必需非常了解企業(yè)目前的無(wú)線設(shè)備的分布狀況����。
2���、使用無(wú)線入侵檢測(cè)/防御系統(tǒng)(WIDS/IPS)���,它們有主機(jī)型和網(wǎng)絡(luò)型之分��,在部署時(shí)應(yīng)兩種同時(shí)使用�����。無(wú)線入侵防范系統(tǒng)是目前最有效的檢測(cè)非法無(wú)線訪問(wèn)設(shè)備的方法���,但是,它并不能檢測(cè)到被動(dòng)式無(wú)線嗅探攻擊和接入請(qǐng)求�����,以及內(nèi)部人員主動(dòng)連接外部無(wú)線訪問(wèn)設(shè)備的攻擊方式�����。
3��、使用手持式無(wú)線信號(hào)檢測(cè)工具��。
4、安裝無(wú)線檢測(cè)探頭�。在所有無(wú)線局域網(wǎng)覆蓋區(qū)域都需要安裝相應(yīng)的探頭來(lái)檢測(cè)無(wú)線訪問(wèn)設(shè)備的接入信號(hào)。非法無(wú)線信號(hào)的檢測(cè)探針的安裝位置可以是處于特殊位置的工作站����,也可以使用具有無(wú)線信號(hào)檢測(cè)功能的無(wú)線AP.這樣做可能要求企業(yè)增加相應(yīng)的投資成本。而且�����,這些探頭產(chǎn)生的信息需要一個(gè)中心化服務(wù)器來(lái)進(jìn)行管理和分析����,以確定哪些是正常的接入請(qǐng)求,哪些是非法的����。
在實(shí)際應(yīng)用當(dāng)中,為了能夠達(dá)到最好的檢測(cè)效果��,應(yīng)該將這4種方式結(jié)合起來(lái)使用����。實(shí)際上,在使用的過(guò)程中�,還可以根據(jù)不同的需求選擇其它的外設(shè)配置�����。例如如果需要繪制非法無(wú)線訪問(wèn)設(shè)備分布位置的地圖����,我們還得借助GPS和相應(yīng)的繪圖軟件來(lái)完成這個(gè)任務(wù)�。
另外��,除了上述這些經(jīng)常使用的檢測(cè)方法外��,還有一些其它的技術(shù)可以用來(lái)檢測(cè)非法的無(wú)線訪問(wèn)設(shè)備����。這些技術(shù)包括現(xiàn)場(chǎng)調(diào)查(site survey)、MAC地址列表檢查����、噪音檢測(cè)(noise checking)和無(wú)線流量分析等。在本文中��,我將只介紹使用無(wú)線入侵檢測(cè)防御系統(tǒng)的方式����,來(lái)檢測(cè)存在于無(wú)線局域網(wǎng)中的非法無(wú)線訪問(wèn)設(shè)備�。
三��、在無(wú)線局域構(gòu)建階段全面了解當(dāng)前的非法無(wú)線訪問(wèn)設(shè)備的分布狀況
在部署一個(gè)新的無(wú)線網(wǎng)絡(luò)之前�,我們必需先查明現(xiàn)有的無(wú)線信號(hào)源,包括墻壁�����、門(mén)窗和微波爐等����,以及任何現(xiàn)有的802.11網(wǎng)絡(luò)及設(shè)備。同時(shí)����,我們還必需將這些找到的不可信任的無(wú)線設(shè)備建立一個(gè)檔案,記錄下這些無(wú)線設(shè)備的MAC地址����、ESSID號(hào)、信道�����、信號(hào)噪聲比(SNR)和大約的位置等信息���。這樣有利于在后面的非法無(wú)線設(shè)備檢測(cè)過(guò)程中用來(lái)識(shí)別檢測(cè)到的無(wú)線設(shè)備是否為非法無(wú)線設(shè)備�����。
并且����,還需要通過(guò)無(wú)線網(wǎng)絡(luò)規(guī)劃工具��,來(lái)創(chuàng)建一個(gè)無(wú)線訪問(wèn)設(shè)備的分布平面圖����,并在其中指定無(wú)線信號(hào)需要覆蓋的范圍、安裝的位置和信號(hào)的強(qiáng)度���,以及無(wú)線AP為其提供的服務(wù)所要具有的能力和吞吐量����。而且還必需為現(xiàn)有的無(wú)線局域網(wǎng)繪制一張無(wú)線訪問(wèn)點(diǎn)和訪問(wèn)設(shè)備的位置分布平面圖���,在此平面圖上標(biāo)識(shí)出正常無(wú)線訪問(wèn)點(diǎn)的具體位置�。也必需將正常無(wú)線AP的MAC地址�、SSID號(hào)�����、信號(hào)噪聲比等信息
關(guān)鍵詞標(biāo)簽:無(wú)線局域網(wǎng)
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置