許多單位組織面臨著控制通過無線接入點(diǎn)連接到他們的企業(yè)網(wǎng)絡(luò)中的人和物的挑戰(zhàn),急需加強(qiáng)企業(yè)無線網(wǎng)絡(luò)的安全強(qiáng)化措施及其必要性 ����。許多企業(yè)無線供應(yīng)商已經(jīng)增強(qiáng)了自身的接入點(diǎn)和無線控制器產(chǎn)品自然包括防火墻、 RADIUS����、網(wǎng)絡(luò)訪問控制�����、以及無線IPS����。這種繼承提供了對(duì)連接到無線基礎(chǔ)設(shè)施的無線用戶更好的控制以及控制這些用戶在企業(yè)網(wǎng)絡(luò)上可以去的地方。這是一個(gè)急需的深度防護(hù)方法����,因?yàn)橛芯€側(cè)防火墻和IPS不能提供必要的對(duì)抗無線攻擊的保護(hù)��。大多數(shù)無線攻擊發(fā)生在第二層以及無線介質(zhì)之間��。傳統(tǒng)的有線防火墻不 能檢測(cè)到這些攻擊����,并且有線IP沒有檢查這些類型的數(shù)據(jù)包的能力��。這導(dǎo)致了專業(yè)無線IPS產(chǎn)品的出現(xiàn)�����。
無線IPS
無線IPS使用無線傳感器識(shí)別無線攻擊����。這些無線傳感器通常使用與在接入點(diǎn)發(fā)現(xiàn)的相同Wi-Fi波段,這就是很多公司允許接入點(diǎn)的雙重用途的原因��, 既可用于訪問又可用于檢測(cè)攻擊��。這些根據(jù)供應(yīng)商的不同而不同����。有許多混合方法。最常見的方法是����,在沒有人訪問時(shí)暫停無線電臺(tái)����,并執(zhí)行惡意接入點(diǎn)和攻擊的無 線空域快照����。但是這種部分時(shí)間的無線入侵檢測(cè)方法意味著你只能在無線電臺(tái)處于檢測(cè)模式時(shí)檢測(cè)到攻擊。對(duì)于一天中剩下的時(shí)間��,無線攻擊無法被檢測(cè)到�����。
Wi-Fi協(xié)議允許為信道分配不同的頻率��,使得一個(gè)信道可以分配給每個(gè)頻率��。在嚴(yán)重?fù)頂D的無線環(huán)境中�����,使用不同的信道(或頻率)允許管理員減少干 擾�����,這也被成為共信道干擾�����。因此��,對(duì)無線攻擊的適當(dāng)檢測(cè)需要定期檢查每個(gè)通道的攻擊����。基本上有兩組頻率:在2.4-GHz頻譜運(yùn)行的802.11b和 802.11g;在5GHz頻譜運(yùn)行的802.11a;802.11n工作在兩個(gè)頻譜�����,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜�����。
由于無線傳感器從一個(gè)信道跳躍到另一個(gè)信道收集無線數(shù)據(jù)包以供分析��,它將不會(huì)收集有些數(shù)據(jù)包����,因此,那些包將被錯(cuò)過因?yàn)閭鞲衅髟谕粫r(shí)間只能監(jiān)控一 個(gè)通道。因此�����,一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個(gè)信道(或頻率)被監(jiān)視�����。對(duì)于只有一個(gè)信道被使用的高度敏感環(huán)境�����,這個(gè)功能可以幫助管理 員減少數(shù)據(jù)包丟失?����,F(xiàn)實(shí)情況是��,由于無線網(wǎng)絡(luò)是一個(gè)物理介質(zhì)��,總會(huì)發(fā)生數(shù)據(jù)包的丟失�����。這是由于許多因素��,包括移動(dòng)無線設(shè)備��、設(shè)備的距離的傳感器��、傳感器的 天線強(qiáng)度等等�����。
無線入侵檢測(cè)系統(tǒng)只涉及到接收數(shù)據(jù)包����。因此,它的范圍在物理上比一個(gè)發(fā)送和接收的接入點(diǎn)更廣泛�����。在一個(gè)典型的接入點(diǎn)和傳感器的部署中�����,經(jīng)驗(yàn)法則是每三個(gè)接入點(diǎn)一個(gè)傳感器�����。無線網(wǎng)絡(luò)勘測(cè)將有助于確定最佳的傳感器覆蓋和安置�����。
大多數(shù)人部署無線入侵檢測(cè)系統(tǒng)來檢測(cè)惡意接入點(diǎn),三角測(cè)量也是一個(gè)好的想法��。雖然一個(gè)流氓AP可以被一個(gè)單一的傳感器檢測(cè)����,但其物理位置無法被檢測(cè) 到。需要用到三角測(cè)量來確定流氓AP的近似物理位置��。三角測(cè)量至少涉及到三個(gè)傳感器��,它們中的所有都是被與三個(gè)傳感器的信息相關(guān)的同一個(gè)管理系統(tǒng)管理��,并 且基于復(fù)雜的算法確定流氓AP的物理位置����。通常AP顯示在IDS管理軟件的樓層平面圖中。
無線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)
無線網(wǎng)絡(luò)加強(qiáng)的最后一點(diǎn)與無線網(wǎng)絡(luò)在整個(gè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中的位置相關(guān)����。由于無線網(wǎng)絡(luò)的特點(diǎn),無線網(wǎng)絡(luò)不應(yīng)該直接連接到有線局域網(wǎng)��。相反��,它們必須被視 為不安全的公共網(wǎng)絡(luò)連接����,或在最寬松的安全方法中作為DMZ。將一個(gè)無線接入點(diǎn)直接插入局域網(wǎng)交換機(jī)是自找麻煩(雖然802.1x認(rèn)證可以緩解這個(gè)問 題)��。一個(gè)具有良好狀態(tài)和代理的防火墻能力的安全無線網(wǎng)關(guān)必須將無線網(wǎng)絡(luò)與有線局域網(wǎng)分開�����。
現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的AP����,但創(chuàng)建一個(gè)返回到控制器的加密隧道,并在接觸局域網(wǎng)之前通過它傳送所有流量�����。這個(gè)控制器 將運(yùn)行防火墻和入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡(luò)之前檢查該流量����。如果無線網(wǎng)絡(luò)在該區(qū)域包括多個(gè)接入點(diǎn)和漫游用戶訪問,則 “有線側(cè)”的接入點(diǎn)必須被放在同一VLAN中�����,從剩下的有線網(wǎng)絡(luò)中安全隔離。高端的專業(yè)無線網(wǎng)關(guān)集合了接入點(diǎn)��、防火墻��、VPN集中器�����、以及用戶漫游支持能 力��。網(wǎng)關(guān)的安全對(duì)你的無線網(wǎng)絡(luò)——甚至是接入點(diǎn)自己——的保護(hù)能力不應(yīng)忽視��。無線網(wǎng)關(guān)�����、接入點(diǎn)����、以及網(wǎng)橋的大多數(shù)安全問題來源于不安全的設(shè)備管理實(shí)施,包 括使用Telnet�����、TFTP�����、默認(rèn)的SNMP團(tuán)體字符串和默認(rèn)的密碼,以及允許從網(wǎng)絡(luò)無線側(cè)進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠(yuǎn)程管理��。確保每個(gè)設(shè)備的安全被適當(dāng)?shù)膶?計(jì)����,并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測(cè)系統(tǒng)相呼應(yīng)使用無線專用入侵檢測(cè)系統(tǒng)����。
企業(yè)通訊
