來(lái)源:TechTarget中國
在本文中,我們列出了數據鏈路層的針對“企業(yè)無(wú)線(xiàn)局域網(wǎng)可能遭到濫用”的對策。這些對策包括:WEP的安全替代——使用無(wú)線(xiàn)安全標準;無(wú)線(xiàn)局域網(wǎng)的入侵檢測和異常追蹤。當然,無(wú)線(xiàn)網(wǎng)絡(luò )的安全性可以(也應該)使用更高層的保障如各種IPSec模式或基于SSL的安全協(xié)議等。
使用無(wú)線(xiàn)安全標準
2004年,IEEE的“i”課題組開(kāi)發(fā)了一個(gè)統一的無(wú)線(xiàn)安全標準,其中部分已經(jīng)被許多無(wú)線(xiàn)設備和軟件供應商實(shí)現以減輕已知的802.11安全問(wèn) 題。原名為802.11i標準,這個(gè)標準現在被廣泛成為WPA2,它代表了Wi-Fi保護訪(fǎng)問(wèn)版本2。WAP2取代了WPA,WPA是舊的、不安全的向后 兼容現有無(wú)線(xiàn)基礎設施的WEP標準的混合。WPA使用RC4加密,比WPA2中使用的AES加密更弱。WAP2是目前無(wú)線(xiàn)網(wǎng)絡(luò )最好的解決方案,并期望在可 預見(jiàn)的未來(lái)繼續如此。大多數支持WPA2的無(wú)線(xiàn)接入點(diǎn)具有的特征被稱(chēng)為Wi-Fi保護設置(WPS),其中有一個(gè)允許攻擊者獲得WPA2密碼的安全缺陷, 使他或她未經(jīng)授權而連接到網(wǎng)絡(luò )。此功能應盡可能關(guān)閉以避免攻擊。
有效部署無(wú)線(xiàn)入侵檢測和預防
盡管如前所述,對無(wú)線(xiàn)網(wǎng)絡(luò )的入侵檢測必須覆蓋數據鏈路層。在這里,我們簡(jiǎn)要介紹無(wú)線(xiàn)入侵檢測(IDS)問(wèn)題。許多應用程序聲稱(chēng)是無(wú)線(xiàn)入侵檢測系統, 但僅僅在這些地址沒(méi)有被ACL允許時(shí)才檢測局域網(wǎng)中新的MAC地址。這樣的功能在一些接入點(diǎn)的固件中也能實(shí)現。當然,任何能夠繞過(guò)基于MAC的ACL的人 也能夠繞過(guò)基于MAC的“IDS”。一個(gè)真正的無(wú)線(xiàn)入侵檢測系統是一個(gè)提供攻擊簽名數據庫或知識庫和推理機、以及一個(gè)適當的報告和報警接口的專(zhuān)業(yè) 802.11(或802.15)協(xié)議分析儀。一些可疑的尋找無(wú)線(xiàn)局域網(wǎng)的事件包括:
· 探測請求(很好的指示了有人在使用主動(dòng)掃描方式)
· 來(lái)自不請自來(lái)的訪(fǎng)問(wèn)點(diǎn)或ad hoc無(wú)線(xiàn)客戶(hù)端的信標幀
· 洪泛分離/解除認證幀(中間人攻擊?)
· 關(guān)聯(lián)的未經(jīng)認證的主機(試圖猜測共享密鑰?)
· 在未啟用漫游的網(wǎng)絡(luò )上的頻繁的幀重組,以及頻繁的數據包轉發(fā)(“隱藏節點(diǎn)”、壞鏈接、或可能的DOS攻擊?)
· 封閉網(wǎng)絡(luò )中的多個(gè)SSID錯誤(SSID蠻力奪取?)
· 可疑的SSID如“AirJack”(或純舊式“31337”)
· 主動(dòng)幀與復制的MAC地址
· 隨機變化的MAC地址(使用Wellenreiter或FakeAP攻擊者)
· 五信道范圍內其他802.11信道的幀傳送,或同一信道傳輸的不同SSID的幀(錯誤配置和可能不請自來(lái)的主機、干擾、DoS?)
· 主機不使用實(shí)現的加密解決方案(這里應不存在)
· 多重EAP認證請求和響應(蠻力搶奪EAP-LEAP?)
· 畸形和超大的EAP幀以及各種EAP幀洪泛(802.1x DoS攻擊?)
· 不匹配所建立的周期序列的802.11幀序列號(中間人攻擊、局域網(wǎng)MAC欺詐?)
· ARP欺詐以及其他源于無(wú)線(xiàn)局域網(wǎng)的攻擊
組織面臨著(zhù)控制通過(guò)無(wú)線(xiàn)接入點(diǎn)連接到他們的企業(yè)網(wǎng)絡(luò )中的人和物的挑戰。許多企業(yè)無(wú)線(xiàn)供應商已經(jīng)增強了自身的接入點(diǎn)和無(wú)線(xiàn)控制器產(chǎn)品自然包括防火墻、 RADIUS、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、以及無(wú)線(xiàn)IPS。這種繼承提供了對連接到無(wú)線(xiàn)基礎設施的無(wú)線(xiàn)用戶(hù)更好的控制以及控制這些用戶(hù)在企業(yè)網(wǎng)絡(luò )上可以去的地方。這是 一個(gè)急需的深度防護方法,因為有線(xiàn)側防火墻和IPS不能提供必要的對抗無(wú)線(xiàn)攻擊的保護。大多數無(wú)線(xiàn)攻擊發(fā)生在第二層以及無(wú)線(xiàn)介質(zhì)之間。傳統的有線(xiàn)防火墻不 能檢測到這些攻擊,并且有線(xiàn)IP沒(méi)有檢查這些類(lèi)型的數據包的能力。這導致了專(zhuān)業(yè)無(wú)線(xiàn)IPS產(chǎn)品的出現。
無(wú)線(xiàn)IPS和IDS
無(wú)線(xiàn)IPS使用無(wú)線(xiàn)傳感器識別無(wú)線(xiàn)攻擊。這些無(wú)線(xiàn)傳感器通常使用與在接入點(diǎn)發(fā)現的相同Wi-Fi波段,這就是很多公司允許接入點(diǎn)的雙重用途的原因, 既可用于訪(fǎng)問(wèn)又可用于檢測攻擊。這些根據供應商的不同而不同。有許多混合方法。最常見(jiàn)的方法是,在沒(méi)有人訪(fǎng)問(wèn)時(shí)暫停無(wú)線(xiàn)電臺,并執行惡意接入點(diǎn)和攻擊的無(wú) 線(xiàn)空域快照。但是這種部分時(shí)間的無(wú)線(xiàn)入侵檢測方法意味著(zhù)你只能在無(wú)線(xiàn)電臺處于檢測模式時(shí)檢測到攻擊。對于一天中剩下的時(shí)間,無(wú)線(xiàn)攻擊無(wú)法被檢測到。這個(gè)問(wèn) 題促使一些廠(chǎng)商在訪(fǎng)問(wèn)接入點(diǎn)時(shí)使用次要的Wi-Fi電臺以使一個(gè)電臺被用于專(zhuān)職訪(fǎng)問(wèn)而另一個(gè)用于全職無(wú)線(xiàn)IPS。
Wi-Fi協(xié)議允許為信道分配不同的頻率,使得一個(gè)信道可以分配給每個(gè)頻率。在嚴重擁擠的無(wú)線(xiàn)環(huán)境中,使用不同的信道(或頻率)允許管理員減少干 擾,這也被成為共信道干擾。因此,對無(wú)線(xiàn)攻擊的適當檢測需要定期檢查每個(gè)通道的攻擊。基本上有兩組頻率:在2.4-GHz頻譜運行的802.11b和 802.11g;在5GHz頻譜運行的802.11a;802.11n工作在兩個(gè)頻譜,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。
由于無(wú)線(xiàn)傳感器從一個(gè)信道跳躍到另一個(gè)信道收集無(wú)線(xiàn)數據包以供分析,它將不會(huì )收集有些數據包,因此,那些包將被錯過(guò)因為傳感器在同一時(shí)間只能監控一 個(gè)通道。因此,一些廠(chǎng)商現在允許傳感器選擇“鎖定頻道”以只允許一個(gè)信道(或頻率)被監視。對于只有一個(gè)信道被使用的高度敏感環(huán)境,這個(gè)功能可以幫助管理 員減少數據包丟失。現實(shí)情況是,由于無(wú)線(xiàn)網(wǎng)絡(luò )是一個(gè)物理介質(zhì),總會(huì )發(fā)生數據包的丟失。這是由于許多因素,包括移動(dòng)無(wú)線(xiàn)設備、設備的距離的傳感器、傳感器的 天線(xiàn)強度等等。
無(wú)線(xiàn)入侵檢測系統只涉及到接收數據包。因此,它的范圍在物理上比一個(gè)發(fā)送和接收的接入點(diǎn)更廣泛。在一個(gè)典型的接入點(diǎn)和傳感器的部署中,經(jīng)驗法則是每三個(gè)接入點(diǎn)一個(gè)傳感器。無(wú)線(xiàn)網(wǎng)絡(luò )勘測將有助于確定最佳的傳感器覆蓋和安置。
大多數人部署無(wú)線(xiàn)入侵檢測系統來(lái)檢測惡意接入點(diǎn),三角測量也是一個(gè)好的想法。雖然一個(gè)流氓AP可以被一個(gè)單一的傳感器檢測,但其物理位置無(wú)法被檢測 到。需要用到三角測量來(lái)確定流氓AP的近似物理位置。三角測量至少涉及到三個(gè)傳感器,它們中的所有都是被與三個(gè)傳感器的信息相關(guān)的同一個(gè)管理系統管理,并 且基于復雜的算法確定流氓AP的物理位置。通常AP顯示在IDS管理軟件的樓層平面圖中。
藍牙IPS
由于藍牙也是一種無(wú)線(xiàn)技術(shù),并且工作頻率與802.11b和802.11g相同,一些無(wú)線(xiàn)IPS產(chǎn)品已經(jīng)被設計為檢測藍牙。為什么你要檢測到藍牙?由于運行在一個(gè)與Wi-Fi共享的頻率范圍,藍牙偶爾也會(huì )引起干擾問(wèn)題,但藍牙的攻擊也出現了。最常見(jiàn)和最嚴重的是藍牙流氓。
藍牙攻擊影響了許多組織機構,但最重要的是零售商。攻擊者有確定的方式黑掉銷(xiāo)售系統點(diǎn)并通過(guò)插入藍牙無(wú)線(xiàn)電波的方式注冊鍵區。一個(gè)惡意的雇員或者假 冒的技術(shù)人員打開(kāi)銷(xiāo)售系統點(diǎn)或注冊鍵區并將藍牙廣播電臺連接到設備。由于信用卡刷卡,他們被同時(shí)廣播到鄰近的空間。如果一個(gè)攻擊者在附近,無(wú)論是在商店貨 在停車(chē)場(chǎng),他或她僅僅使用藍牙設備監聽(tīng)和接收這些信用卡號碼。
所有的藍牙設備工作在2.4GHz頻段并使用79頻道從一個(gè)信道跳(跳頻)到另一個(gè)信道,達到1600跳/秒。通常根據其范圍可以劃分為三類(lèi)藍牙設 備。3類(lèi)設備是我們大多數人所熟悉的,通常包括藍牙耳機。在約1米的范圍限制下,他們不會(huì )為攻擊者提供好的服務(wù)。因此,攻擊者通常使用2類(lèi)和3類(lèi)設備,它 們可以很容易在網(wǎng)上以20美元以下的價(jià)格買(mǎi)到。
有些供應商已經(jīng)將他們的無(wú)線(xiàn)IPS產(chǎn)品調整為也可以檢測到藍牙,使管理員可以檢測到這些設備的存在,尤其是在秘密地點(diǎn)和交易大廳。由于通信范圍的相對強度,位置也是藍牙檢測需要考慮的關(guān)鍵因素。如果無(wú)線(xiàn)IPS傳感器超出范圍,它只可能檢測不到藍牙設備。
無(wú)線(xiàn)網(wǎng)絡(luò )定位和安全網(wǎng)關(guān)
無(wú)線(xiàn)網(wǎng)絡(luò )加強的最后一點(diǎn)與無(wú)線(xiàn)網(wǎng)絡(luò )在整個(gè)網(wǎng)絡(luò )拓撲設計中的位置相關(guān)。由于無(wú)線(xiàn)網(wǎng)絡(luò )的特點(diǎn),無(wú)線(xiàn)網(wǎng)絡(luò )不應該直接連接到有線(xiàn)局域網(wǎng)。相反,它們必須被視 為不安全的公共網(wǎng)絡(luò )連接,或在最寬松的安全方法中作為DMZ。將一個(gè)無(wú)線(xiàn)接入點(diǎn)直接插入局域網(wǎng)交換機是自找麻煩(雖然802.1x認證可以緩解這個(gè)問(wèn) 題)。一個(gè)具有良好狀態(tài)和代理的防火墻能力的安全無(wú)線(xiàn)網(wǎng)關(guān)必須將無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)局域網(wǎng)分開(kāi)。
現今最常見(jiàn)的方法是擁有可以在局域網(wǎng)上任何地方連接的AP,但創(chuàng )建一個(gè)返回到控制器的加密隧道,并在接觸局域網(wǎng)之前通過(guò)它傳送所有流量。這個(gè)控制器 將運行防火墻和入侵檢測/防御系統(IDS/IPS)的能力在它接觸到到內部網(wǎng)絡(luò )之前檢查該流量。如果無(wú)線(xiàn)網(wǎng)絡(luò )在該區域包括多個(gè)接入點(diǎn)和漫游用戶(hù)訪(fǎng)問(wèn),則 “有線(xiàn)側”的接入點(diǎn)必須被放在同一VLAN中,從剩下的有線(xiàn)網(wǎng)絡(luò )中安全隔離。高端的專(zhuān)業(yè)無(wú)線(xiàn)網(wǎng)關(guān)集合了接入點(diǎn)、防火墻、VPN集中器、以及用戶(hù)漫游支持能 力。網(wǎng)關(guān)的安全對你的無(wú)線(xiàn)網(wǎng)絡(luò )——甚至是接入點(diǎn)自己——的保護能力不應忽視。無(wú)線(xiàn)網(wǎng)關(guān)、接入點(diǎn)、以及網(wǎng)橋的大多數安全問(wèn)題來(lái)源于不安全的設備管理實(shí)施,包 括使用Telnet、TFTP、默認的SNMP團體字符串和默認的密碼,以及允許從網(wǎng)絡(luò )無(wú)線(xiàn)側進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠程管理。確保每個(gè)設備的安全被適當的審 計,并且與更傳統的在數據鏈路層以上工作的入侵檢測系統相呼應使用無(wú)線(xiàn)專(zhuān)用入侵檢測系統。
Copyright ? 2019 澳諾網(wǎng)絡(luò )工程有限公司 All Rights Reserved. 魯ICP備19032664號-2