這文章列出了數(shù)據(jù)鏈路層的針對(duì)“企業(yè)無(wú)線局域網(wǎng)可能遭到濫用”的對(duì)策。這些對(duì)策包括：WEP的安全替代——使用無(wú)線安全標(biāo)準(zhǔn);無(wú)線局域網(wǎng)的入侵檢測(cè)和異常追蹤。當(dāng)然，無(wú)線網(wǎng)絡(luò)的安全性可以(也應(yīng)該)使用更高層的保障如各種IPSec模式或基于SSL的安全協(xié)議等。有興趣的朋友可以來(lái)看一下。

　　使用無(wú)線安全標(biāo)準(zhǔn)

　　2004年，IEEE的“i”課題組開發(fā)了一個(gè)統(tǒng)一的無(wú)線安全標(biāo)準(zhǔn)，其中部分已經(jīng)被許多無(wú)線設(shè)備和軟件供應(yīng)商實(shí)現(xiàn)以減輕已知的802.11安全問題。原名為802.11i標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)現(xiàn)在被廣泛成為WPA2，它代表了Wi-Fi保護(hù)訪問版本2。WAP2取代了WPA，WPA是舊的、不安全的向后兼容現(xiàn)有無(wú)線基礎(chǔ)設(shè)施的WEP標(biāo)準(zhǔn)的混合。WPA使用RC4加密，比WPA2中使用的AES加密更弱。WAP2是目前無(wú)線網(wǎng)絡(luò)最好的解決方案，并期望在可預(yù)見的未來(lái)繼續(xù)如此。大多數(shù)支持WPA2的無(wú)線接入點(diǎn)具有的特征被稱為Wi-Fi保護(hù)設(shè)置(WPS)，其中有一個(gè)允許攻擊者獲得WPA2密碼的安全缺陷，使他或她未經(jīng)授權(quán)而連接到網(wǎng)絡(luò)。此功能應(yīng)盡可能關(guān)閉以避免攻擊。

　　有效部署無(wú)線入侵檢測(cè)和預(yù)防

　　盡管如前所述，對(duì)無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)必須覆蓋數(shù)據(jù)鏈路層。在這里，我們簡(jiǎn)要介紹無(wú)線入侵檢測(cè)(IDS)問題。許多應(yīng)用程序聲稱是無(wú)線入侵檢測(cè)系統(tǒng)，但僅僅在這些地址沒有被ACL允許時(shí)才檢測(cè)局域網(wǎng)中新的MAC地址。這樣的功能在一些接入點(diǎn)的固件中也能實(shí)現(xiàn)。當(dāng)然，任何能夠繞過基于MAC的ACL的人也能夠繞過基于MAC的“IDS”。一個(gè)真正的無(wú)線入侵檢測(cè)系統(tǒng)是一個(gè)提供攻擊簽名數(shù)據(jù)庫(kù)或知識(shí)庫(kù)和推理機(jī)、以及一個(gè)適當(dāng)?shù)膱?bào)告和報(bào)警接口的專業(yè)802.11(或802.15)協(xié)議分析儀。一些可疑的尋找無(wú)線局域網(wǎng)的事件包括：

　　探測(cè)請(qǐng)求(很好的指示了有人在使用主動(dòng)掃描方式)

　　 來(lái)自不請(qǐng)自來(lái)的訪問點(diǎn)或ad hoc無(wú)線客戶端的信標(biāo)幀

　　洪泛分離/解除認(rèn)證幀(中間人攻擊?)

　　 關(guān)聯(lián)的未經(jīng)認(rèn)證的主機(jī)(試圖猜測(cè)共享密鑰?)

　　在未啟用漫游的網(wǎng)絡(luò)上的頻繁的幀重組，以及頻繁的數(shù)據(jù)包轉(zhuǎn)發(fā)(“隱藏節(jié)點(diǎn)”、壞鏈接、或可能的DOS攻擊?)

　　 封閉網(wǎng)絡(luò)中的多個(gè)SSID錯(cuò)誤(SSID蠻力奪取?)

　　 可疑的SSID如“AirJack”(或純舊式“31337”)

　　主動(dòng)幀與復(fù)制的MAC地址

　　隨機(jī)變化的MAC地址(使用Wellenreiter或FakeAP攻擊者)

　　 五信道范圍內(nèi)其他802.11信道的幀傳送，或同一信道傳輸?shù)牟煌琒SID的幀(錯(cuò)誤配置和可能不請(qǐng)自來(lái)的主機(jī)、干擾、DoS?)

　　主機(jī)不使用實(shí)現(xiàn)的加密解決方案(這里應(yīng)不存在)

　　 多重EAP認(rèn)證請(qǐng)求和響應(yīng)(蠻力搶奪EAP-LEAP?)

　　 畸形和超大的EAP幀以及各種EAP幀洪泛(802.1x DoS攻擊?)

　　不匹配所建立的周期序列的802.11幀序列號(hào)(中間人攻擊、局域網(wǎng)MAC欺詐?)

　　ARP欺詐以及其他源于無(wú)線局域網(wǎng)的攻擊

　　組織面臨著控制通過無(wú)線接入點(diǎn)連接到他們的企業(yè)網(wǎng)絡(luò)中的人和物的挑戰(zhàn)。許多企業(yè)無(wú)線供應(yīng)商已經(jīng)增強(qiáng)了自身的接入點(diǎn)和無(wú)線控制器產(chǎn)品自然包括防火墻、RADIUS、網(wǎng)絡(luò)訪問控制、以及無(wú)線IPS。這種繼承提供了對(duì)連接到無(wú)線基礎(chǔ)設(shè)施的無(wú)線用戶更好的控制以及控制這些用戶在企業(yè)網(wǎng)絡(luò)上可以去的地方。這是一個(gè)急需的深度防護(hù)方法，因?yàn)橛芯€側(cè)防火墻和IPS不能提供必要的對(duì)抗無(wú)線攻擊的保護(hù)。大多數(shù)無(wú)線攻擊發(fā)生在第二層以及無(wú)線介質(zhì)之間。傳統(tǒng)的有線防火墻不能檢測(cè)到這些攻擊，并且有線IP沒有檢查這些類型的數(shù)據(jù)包的能力。這導(dǎo)致了專業(yè)無(wú)線IPS產(chǎn)品的出現(xiàn)。

　　無(wú)線IPS和IDS

　　無(wú)線IPS使用無(wú)線傳感器識(shí)別無(wú)線攻擊。這些無(wú)線傳感器通常使用與在接入點(diǎn)發(fā)現(xiàn)的相同Wi-Fi波段，這就是很多公司允許接入點(diǎn)的雙重用途的原因，既可用于訪問又可用于檢測(cè)攻擊。這些根據(jù)供應(yīng)商的不同而不同。有許多混合方法。最常見的方法是，在沒有人訪問時(shí)暫停無(wú)線電臺(tái)，并執(zhí)行惡意接入點(diǎn)和攻擊的無(wú)線空域快照。但是這種部分時(shí)間的無(wú)線入侵檢測(cè)方法意味著你只能在無(wú)線電臺(tái)處于檢測(cè)模式時(shí)檢測(cè)到攻擊。對(duì)于一天中剩下的時(shí)間，無(wú)線攻擊無(wú)法被檢測(cè)到。這個(gè)問題促使一些廠商在訪問接入點(diǎn)時(shí)使用次要的Wi-Fi電臺(tái)以使一個(gè)電臺(tái)被用于專職訪問而另一個(gè)用于全職無(wú)線IPS。

　　Wi-Fi協(xié)議允許為信道分配不同的頻率，使得一個(gè)信道可以分配給每個(gè)頻率。在嚴(yán)重?fù)頂D的無(wú)線環(huán)境中，使用不同的信道(或頻率)允許管理員減少干擾，這也被成為共信道干擾。因此，對(duì)無(wú)線攻擊的適當(dāng)檢測(cè)需要定期檢查每個(gè)通道的攻擊?；旧嫌袃山M頻率：在2.4-GHz頻譜運(yùn)行的802.11b和802.11g;在5GHz頻譜運(yùn)行的802.11a;802.11n工作在兩個(gè)頻譜，2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。

　　由于無(wú)線傳感器從一個(gè)信道跳躍到另一個(gè)信道收集無(wú)線數(shù)據(jù)包以供分析，它將不會(huì)收集有些數(shù)據(jù)包，因此，那些包將被錯(cuò)過因?yàn)閭鞲衅髟谕粫r(shí)間只能監(jiān)控一個(gè)通道。因此，一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個(gè)信道(或頻率)被監(jiān)視。對(duì)于只有一個(gè)信道被使用的高度敏感環(huán)境，這個(gè)功能可以幫助管理員減少數(shù)據(jù)包丟失。現(xiàn)實(shí)情況是，由于無(wú)線網(wǎng)絡(luò)是一個(gè)物理介質(zhì)，總會(huì)發(fā)生數(shù)據(jù)包的丟失。這是由于許多因素，包括移動(dòng)無(wú)線設(shè)備、設(shè)備的距離的傳感器、傳感器的天線強(qiáng)度等等。

　　無(wú)線入侵檢測(cè)系統(tǒng)只涉及到接收數(shù)據(jù)包。因此，它的范圍在物理上比一個(gè)發(fā)送和接收的接入點(diǎn)更廣泛。在一個(gè)典型的接入點(diǎn)和傳感器的部署中，經(jīng)驗(yàn)法則是每三個(gè)接入點(diǎn)一個(gè)傳感器。無(wú)線網(wǎng)絡(luò)勘測(cè)將有助于確定最佳的傳感器覆蓋和安置。

　　大多數(shù)人部署無(wú)線入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)惡意接入點(diǎn)，三角測(cè)量也是一個(gè)好的想法。雖然一個(gè)流氓AP可以被一個(gè)單一的傳感器檢測(cè)，但其物理位置無(wú)法被檢測(cè)到。需要用到三角測(cè)量來(lái)確定流氓AP的近似物理位置。三角測(cè)量至少涉及到三個(gè)傳感器，它們中的所有都是被與三個(gè)傳感器的信息相關(guān)的同一個(gè)管理系統(tǒng)管理，并且基于復(fù)雜的算法確定流氓AP的物理位置。通常AP顯示在IDS管理軟件的樓層平面圖中。

　　藍(lán)牙IPS

　　由于藍(lán)牙也是一種無(wú)線技術(shù)，并且工作頻率與802.11b和802.11g相同，一些無(wú)線IPS產(chǎn)品已經(jīng)被設(shè)計(jì)為檢測(cè)藍(lán)牙。為什么你要檢測(cè)到藍(lán)牙?由于運(yùn)行在一個(gè)與Wi-Fi共享的頻率范圍，藍(lán)牙偶爾也會(huì)引起干擾問題，但藍(lán)牙的攻擊也出現(xiàn)了。最常見和最嚴(yán)重的是藍(lán)牙流氓。

　　藍(lán)牙攻擊影響了許多組織機(jī)構(gòu)，但最重要的是零售商。攻擊者有確定的方式黑掉銷售系統(tǒng)點(diǎn)并通過插入藍(lán)牙無(wú)線電波的方式注冊(cè)鍵區(qū)。一個(gè)惡意的雇員或者假冒的技術(shù)人員打開銷售系統(tǒng)點(diǎn)或注冊(cè)鍵區(qū)并將藍(lán)牙廣播電臺(tái)連接到設(shè)備。由于信用卡刷卡，他們被同時(shí)廣播到鄰近的空間。如果一個(gè)攻擊者在附近，無(wú)論是在商店貨在停車場(chǎng)，他或她僅僅使用藍(lán)牙設(shè)備監(jiān)聽和接收這些信用卡號(hào)碼。

　　所有的藍(lán)牙設(shè)備工作在2.4GHz頻段并使用79頻道從一個(gè)信道跳(跳頻)到另一個(gè)信道，達(dá)到1600跳/秒。通常根據(jù)其范圍可以劃分為三類藍(lán)牙設(shè)備。3類設(shè)備是我們大多數(shù)人所熟悉的，通常包括藍(lán)牙耳機(jī)。在約1米的范圍限制下，他們不會(huì)為攻擊者提供好的服務(wù)。因此，攻擊者通常使用2類和3類設(shè)備，它們可以很容易在網(wǎng)上以20美元以下的價(jià)格買到。

　　有些供應(yīng)商已經(jīng)將他們的無(wú)線IPS產(chǎn)品調(diào)整為也可以檢測(cè)到藍(lán)牙，使管理員可以檢測(cè)到這些設(shè)備的存在，尤其是在秘密地點(diǎn)和交易大廳。由于通信范圍的相對(duì)強(qiáng)度，位置也是藍(lán)牙檢測(cè)需要考慮的關(guān)鍵因素。如果無(wú)線IPS傳感器超出范圍，它只可能檢測(cè)不到藍(lán)牙設(shè)備。

　　無(wú)線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)

　　無(wú)線網(wǎng)絡(luò)加強(qiáng)的最后一點(diǎn)與無(wú)線網(wǎng)絡(luò)在整個(gè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中的位置相關(guān)。由于無(wú)線網(wǎng)絡(luò)的特點(diǎn)，無(wú)線網(wǎng)絡(luò)不應(yīng)該直接連接到有線局域網(wǎng)。相反，它們必須被視為不安全的公共網(wǎng)絡(luò)連接，或在最寬松的安全方法中作為DMZ。將一個(gè)無(wú)線接入點(diǎn)直接插入局域網(wǎng)交換機(jī)是自找麻煩(雖然802.1x認(rèn)證可以緩解這個(gè)問題)。一個(gè)具有良好狀態(tài)和代理的防火墻能力的安全無(wú)線網(wǎng)關(guān)必須將無(wú)線網(wǎng)絡(luò)與有線局域網(wǎng)分開。

　　現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的AP，但創(chuàng)建一個(gè)返回到控制器的加密隧道，并在接觸局域網(wǎng)之前通過它傳送所有流量。這個(gè)控制器將運(yùn)行防火墻和入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡(luò)之前檢查該流量。如果無(wú)線網(wǎng)絡(luò)在該區(qū)域包括多個(gè)接入點(diǎn)和漫游用戶訪問，則“有線側(cè)”的接入點(diǎn)必須被放在同一VLAN中，從剩下的有線網(wǎng)絡(luò)中安全隔離。高端的專業(yè)無(wú)線網(wǎng)關(guān)集合了接入點(diǎn)、防火墻、VPN集中器、以及用戶漫游支持能力。網(wǎng)關(guān)的安全對(duì)你的無(wú)線網(wǎng)絡(luò)——甚至是接入點(diǎn)自己——的保護(hù)能力不應(yīng)忽視。

　　無(wú)線網(wǎng)關(guān)、接入點(diǎn)、以及網(wǎng)橋的大多數(shù)安全問題來(lái)源于不安全的設(shè)備管理實(shí)施，包括使用Telnet、TFTP、默認(rèn)的SNMP團(tuán)體字符串和默認(rèn)的密碼，以及允許從網(wǎng)絡(luò)無(wú)線側(cè)進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠(yuǎn)程管理。確保每個(gè)設(shè)備的安全被適當(dāng)?shù)膶徲?jì)，并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測(cè)系統(tǒng)相呼應(yīng)使用無(wú)線專用入侵檢測(cè)系統(tǒng)。以上就是關(guān)于企業(yè)無(wú)線網(wǎng)絡(luò)安全的強(qiáng)化措施的全部?jī)?nèi)容，希望大家能喜歡，謝謝閱讀，請(qǐng)繼續(xù)關(guān)注yii666，我們會(huì)努力分享更多優(yōu)秀的文章。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-466594.html