谍影重重之无线局域网的反间谍战

第三步，定位和清除非法无线访问设备

　　由于非法无线访问设备的位置往往是不固定的，它有可能随时都变换位置，如果我们不能立即定位非法设备的具体位置，那么，就算我们知道企业无线局域网正面临这些"间谍"的侵扰，但是却不知道这些非法无线访问设备从什么位置接入企业无线局域网的。

　　我们当然不能只停留在知道企业无线局域网中是否存在非法无线访问设备这个阶段，部署检测和防御非法无线访问设备解决方案的最终目的就是要能够定位和清除它们。

　　要完成非法无线访问设备的定位任务，当然也需要使用相应的工具和技巧来进行。通常，一些网络管理员和安全工程师都使用以下3种主要的方式：

其一就是利用信号强度来估计非法无线访问设备与最近无线AP的距离。如果安装有无线信号传感器的AP检测到与它进行连接的非法无线访问设备的信号很强，那么两者距离应该很近，可能就在同一楼层、楼上楼下或离房间很近的外部等位置。但是，这种通过无线信号强度进行估计的方式还需要大量的人工参与，而且，由于由于非法无线访问设备可能先入侵与企业相邻的一个无线局域网，然后再通过这个无线局域网对企业进行入侵，此时，再使用这种方式就不会太准确。

　　其二就是利用多个传感器来进行多角度定位。当多个传感器彼此相邻时，它们的无线信号半径肯定有一个交集。那么，如果这些彼此相邻的传感器都检测到了同一个非法无线访问设备，这就是说这台非法无线访问设备位于这些传感器的信号交集位置。这样一来，我们很容易就知道这台非法无线访问设备的具体位置了。

　　对于这种非法无线访问设备的定位方式，使用的传感器个数肯定是越多越好，但是，在实际的无线局域网环境，是不可能在很小的范围内存在多台AP或安装有无线传感器的访问点的。不过，如果一个范围内有3 台及以上信号可以重叠的传感器，那么，就可以对它们信号重叠范围内的所有非法无线访问设备进行精确定位了。

　　其三就是利用无线网络监控软件或流量分析软件来找出非法无线访问设备的具体位置。无线网络监控软件可以实时监控无线网络中的活动连接，通过发现多余的求知连接，就可以知道非法无线访问设备连接到了企业无线局域网中的哪个AP当中，或者与企业无线局域中的哪台无线访问设备进行了点对点的连接。由于无线信号的范围范围是一定的，只要我们在发现非法无线访问设备的AP附近进行排查，就能够找到它们。另外，一些无线网络嗅探器，例如Netstumbler，可以通过分析发送到非法无线访问设备的数据包，来确定它在企业无线局域网的什么位置。

　　当确定非法无线访问设备的具体位置后，我们接下来要做的就是将它们从企业无线局域网中清除出去，以防止它们带来更大的安全风险。

　　清除非法无线访问设备的最好方式当然是直接将它们从无线局域网中拔除，或者还可以追究攻击者的法律责任。例如，如果发现的非法无线访问设备是一个恶意的非法无线访问设备，那么就必需立即清除它，并且在防火墙中添加新的规则来阻止它的连入。如果无线局域网中使用了WIPS(无线入侵防御系统)，那么，它就会自动产生对这些恶意无线访问设备的阻止规则，并同时向后台管理员发送拦截警报。

　　但是，如果发现的非法无线访问设备只是一个非恶意的邻居无线AP，那么我们可以在WIDS/IPS中的ACL表中添加新的规则，限制它的访问，并由此以免它再次触发警报。然后再将发现的这个非法无线AP的信息记录到一个开始的无线设备表中，还可以将它的位置在前面制定的平面图中标出。

　　另外，如果发现的非法无线访问设备是企业新添加的无线访问设备，或者是合作伙伴或客户来企业后带来的无线访问设备，那么，在检测到后，如果这些无线访问设备本身符合企业的安全策略，那么，我们只需要将某个访问权限授与给它们后，允许它们接入企业的无线局域网，然后解除对这些无线访问设备的警报即可。

　　通过本文，我们应当知道该按什么步骤来部署检测和防御非法无线访问设备的解决方案，也知道如何定位和清除发现的非法无线访问设备。同时，我们也只有掌握了本文中所述的这些针对非法无线访问设备的解决方法，我们才有可能在与非法无线访问设备的反间谍战中掌握主动权，才有把握打赢这场无线局域网中的反间谍战。