谍影重重之无线局域网的反间谍战
时间:06-10
来源:通信产业报
点击:
无线局域网(WLAN)的兴起给所有企业带来的好处是显而易见的,它不仅让企业能够在需要应用IT网络的位置更加容易地部署出一个无线局域网,而且其不需要线缆的特性,又为企业节约了大量的网络基础设施购买和部署成本。但是,无线局域网同样有着与有线局域网相似的各种安全威胁,并且,由于其无线的特性,使得它比有线局域网存在更多易于攻击的弱点,例如非法无线访问设备带来的安全威胁就是无线局域特有的安全威胁之一。
现在具有WiFi无线功能的设备种类越来越多,它们的大小和重量也越来越轻便。因此,非法的无线访问设备有可能是一台使用了无线嗅探软件和密码破解软件的笔记本电脑,也可能是一台具有WiFi功能的PDA或智能手机,甚至是一台具有WiFi功能的PSP游戏机,更不要说由企业内部员工或黑客安插在无线局域网内部的非法无线AP了。因此,只要是非授权的无线访问设备都可以称之为非法无线访问设备。
正是由于这些无线访问设备的便携性,从而使得它们能够像间谍一样悄无声息地潜伏在企业部署的局域网周围或内部。通过监听无线局域网发送出来的无线电波中的各种信息,来获得无线局域网中传输的机密信息。或者通过无线局域网入侵到企业局域网内部,以得到更多他们想要的机密信息。
那么,作为一个网络管理员或安全工程师,我们该如何做才能检测和防御那些随时都想接入企业无线局域网中的非法无线访问设备,打赢这场无线局域网中的反间谍战呢?
就目前来说,大多数成功部署非法无线访问设备检测和防御解决方案的企业,都是使用下列所示的这些技术和工具来解决的:
1、应用无线网络嗅探技术来进行协议分析和追踪;
2、应用无线入侵检测/防御系统(WIDS/IPS),然后在无线局域网的工作站或AP中安装传感器的方式来检测非法无线访问设备。但是,它并不能检测到被动式无线嗅探攻击和接入请求,以及内部人员主动外部无线访问点的方式;
3、使用手持式无线设备检测工具。一些手持式现场无线检测工具可以用来检测接收的无线信号的强度和噪声,并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测,还可以用来检测无线信号实际的边界位置;
4、通过进行现场调查(site survey)、MAC地址列表检查和噪音检测(noise checking)等方式来检测非法无线访问设备。
在实际应用当中,为了能够达到最好的检测效果,通常将上述4种方式全部结合起来使用。因此,在本文的下面,雪源梅香将给大家展示一个三层立体式检测和防御非法无线访问设备的方案,以及部署它应当遵从的步骤。
第一步:全面了解我们的无线局域网
了解无线局域网的目的就是为了知道当前无线局域网中有哪些无线设备,以及企业周围存在哪些相邻的无线局域网和无线访问设备等信息。
我们最好能够对当前无线局域网中所有的无线访问设备和AP都做一个详细的调查,然后将与这些无线设备相关的属性全部记录到无线设备清单当中。这些需要记录的无线设备属性包括:每台设备及无线网卡使用的MAC地址及当前的分配的IP地址、AP和无线网卡使用的SSID号,以及AP的供应商、AP的类型和AP及无线网卡使用的信道等信息。
对无线局域网中已知无线访问设备及AP的属性进行完整记录目的,就是用它们来作为后面区分非法无线访问设备的依据。
另外,以后在无线局域网的运营过程中,如果需要添加新的无线访问设备,那么,我们还必需将新加入的设备属性加入到这张表格当中。
同时,我们还必需将这些找到的不可信任的无线设备建立一个档案,记录下这些无线设备的MAC地址、ESSID号、信道、信号噪声比(SNR)和大约的位置等信息。这样有利于在后面的非法无线设备检测过程中用来识别检测到的无线设备是否为非法无线设备。使用的表格样式也可与上述表1相同。
完成企业当前无线局域网及周边其它无线访问设备的登记工作后,最好能够将这些无线访问设备在企业无线局域网中所在的位置,用一张平面图将它们标示出来,以便以后在检测非法无线访问设备时,知道他们所在的具体位置。
第二步:部署检测和防御非法无线访问设备的解决方案
在本文的前面,我就提到检测和防御非法无线访问设备的最好解决方法,就是充分结合上面提到的目前4种主要解决方法,来部署一个混合式的三层立体式解决方案。
在这个三层立体式检测和防御非法无线访问设备的解决方案中,我们将整个检测和防御体系分为控制层、服务层和传感器层。
在传感器层,可以将无线信号探测器安装到工作站中,也可以使用与AP集成的传感器。但是,不管使用哪种方式,都必需能够监控到所有的可疑活动,其中包括非法无线访问设备的接入。所有检测到的信号通过无线网络传送到服务层,由安装在服务层的WIDS/IPS进行处理。
服务层就是安装有WIDS/IPS的服务器,它在接收到来自各传感器发送过来的检测信息后,能够及时对这些信息进行相应的处理。一旦发现网络中或周边位置存在新非法无线访问设备,WIDS/IPS就会发送相关安全警报给控制层的管理员,再由管理员做最后的响应,或者由WIPS进行自动防御。
为了能够产生非法无线访问设备的警报,WIDS/IPS通常是使用ACL(访问控制列表)来进行控制。ACL主要是通过无线访问设备的MAC地址、配置名和最近使用的IP地址来识别和发现它们的。
有时,我们不想对邻近企业的无线访问设备都产生警报,这样会增加我们的工作量,也容易产生误报和漏报。我们只是需要了解这些无线访问设备是否曾经访问过我们的网络。那么,我们可以这样设置WIDS/IPS,让它对已知的邻近AP不产生报警,但是当发现它们试图连入企业无线局域网时应当及时发出警报。
对于无线信号传感器不能检测到的位置,我们就可以通过手持式无线信号分析设备来达到目的,例如,我们可以使用手持式无线信号分析设备对企业无线局域网周边和各个死角进行移动式检测,以发现可漏掉的非法无线访问设备。
所有的这些都可以由一台网络管理系统来控制,它完成对WID/IPS服务器的管理、配置等操作,而且,WIDS/IPS服务器产生的警报也会直接发送到后台管理员控制台中,并由管理员进行及时的事件响应。
现在具有WiFi无线功能的设备种类越来越多,它们的大小和重量也越来越轻便。因此,非法的无线访问设备有可能是一台使用了无线嗅探软件和密码破解软件的笔记本电脑,也可能是一台具有WiFi功能的PDA或智能手机,甚至是一台具有WiFi功能的PSP游戏机,更不要说由企业内部员工或黑客安插在无线局域网内部的非法无线AP了。因此,只要是非授权的无线访问设备都可以称之为非法无线访问设备。
正是由于这些无线访问设备的便携性,从而使得它们能够像间谍一样悄无声息地潜伏在企业部署的局域网周围或内部。通过监听无线局域网发送出来的无线电波中的各种信息,来获得无线局域网中传输的机密信息。或者通过无线局域网入侵到企业局域网内部,以得到更多他们想要的机密信息。
那么,作为一个网络管理员或安全工程师,我们该如何做才能检测和防御那些随时都想接入企业无线局域网中的非法无线访问设备,打赢这场无线局域网中的反间谍战呢?
就目前来说,大多数成功部署非法无线访问设备检测和防御解决方案的企业,都是使用下列所示的这些技术和工具来解决的:
1、应用无线网络嗅探技术来进行协议分析和追踪;
2、应用无线入侵检测/防御系统(WIDS/IPS),然后在无线局域网的工作站或AP中安装传感器的方式来检测非法无线访问设备。但是,它并不能检测到被动式无线嗅探攻击和接入请求,以及内部人员主动外部无线访问点的方式;
3、使用手持式无线设备检测工具。一些手持式现场无线检测工具可以用来检测接收的无线信号的强度和噪声,并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测,还可以用来检测无线信号实际的边界位置;
4、通过进行现场调查(site survey)、MAC地址列表检查和噪音检测(noise checking)等方式来检测非法无线访问设备。
在实际应用当中,为了能够达到最好的检测效果,通常将上述4种方式全部结合起来使用。因此,在本文的下面,雪源梅香将给大家展示一个三层立体式检测和防御非法无线访问设备的方案,以及部署它应当遵从的步骤。
第一步:全面了解我们的无线局域网
了解无线局域网的目的就是为了知道当前无线局域网中有哪些无线设备,以及企业周围存在哪些相邻的无线局域网和无线访问设备等信息。
我们最好能够对当前无线局域网中所有的无线访问设备和AP都做一个详细的调查,然后将与这些无线设备相关的属性全部记录到无线设备清单当中。这些需要记录的无线设备属性包括:每台设备及无线网卡使用的MAC地址及当前的分配的IP地址、AP和无线网卡使用的SSID号,以及AP的供应商、AP的类型和AP及无线网卡使用的信道等信息。
对无线局域网中已知无线访问设备及AP的属性进行完整记录目的,就是用它们来作为后面区分非法无线访问设备的依据。
另外,以后在无线局域网的运营过程中,如果需要添加新的无线访问设备,那么,我们还必需将新加入的设备属性加入到这张表格当中。
同时,我们还必需将这些找到的不可信任的无线设备建立一个档案,记录下这些无线设备的MAC地址、ESSID号、信道、信号噪声比(SNR)和大约的位置等信息。这样有利于在后面的非法无线设备检测过程中用来识别检测到的无线设备是否为非法无线设备。使用的表格样式也可与上述表1相同。
完成企业当前无线局域网及周边其它无线访问设备的登记工作后,最好能够将这些无线访问设备在企业无线局域网中所在的位置,用一张平面图将它们标示出来,以便以后在检测非法无线访问设备时,知道他们所在的具体位置。
第二步:部署检测和防御非法无线访问设备的解决方案
在本文的前面,我就提到检测和防御非法无线访问设备的最好解决方法,就是充分结合上面提到的目前4种主要解决方法,来部署一个混合式的三层立体式解决方案。
在这个三层立体式检测和防御非法无线访问设备的解决方案中,我们将整个检测和防御体系分为控制层、服务层和传感器层。
在传感器层,可以将无线信号探测器安装到工作站中,也可以使用与AP集成的传感器。但是,不管使用哪种方式,都必需能够监控到所有的可疑活动,其中包括非法无线访问设备的接入。所有检测到的信号通过无线网络传送到服务层,由安装在服务层的WIDS/IPS进行处理。
服务层就是安装有WIDS/IPS的服务器,它在接收到来自各传感器发送过来的检测信息后,能够及时对这些信息进行相应的处理。一旦发现网络中或周边位置存在新非法无线访问设备,WIDS/IPS就会发送相关安全警报给控制层的管理员,再由管理员做最后的响应,或者由WIPS进行自动防御。
为了能够产生非法无线访问设备的警报,WIDS/IPS通常是使用ACL(访问控制列表)来进行控制。ACL主要是通过无线访问设备的MAC地址、配置名和最近使用的IP地址来识别和发现它们的。
有时,我们不想对邻近企业的无线访问设备都产生警报,这样会增加我们的工作量,也容易产生误报和漏报。我们只是需要了解这些无线访问设备是否曾经访问过我们的网络。那么,我们可以这样设置WIDS/IPS,让它对已知的邻近AP不产生报警,但是当发现它们试图连入企业无线局域网时应当及时发出警报。
对于无线信号传感器不能检测到的位置,我们就可以通过手持式无线信号分析设备来达到目的,例如,我们可以使用手持式无线信号分析设备对企业无线局域网周边和各个死角进行移动式检测,以发现可漏掉的非法无线访问设备。
所有的这些都可以由一台网络管理系统来控制,它完成对WID/IPS服务器的管理、配置等操作,而且,WIDS/IPS服务器产生的警报也会直接发送到后台管理员控制台中,并由管理员进行及时的事件响应。
- 无线局域网络常见的故障问题集合(01-09)
- 各种无线接入系统比较分析的准则 (01-24)
- 巧解无线路由器不正常工作技巧(02-13)
- 3G与WLAN交互网络结构(02-19)
- 无线局域网用于宽带接入业务解决方案(02-19)
- 无线局域网的优势和技术架构(02-28)