在本文下面�����,我們列出了數(shù)據(jù);鏈路層針對(duì)“企業(yè)無線覆蓋局域網(wǎng)亂用現(xiàn)象”的對(duì)策���。這些對(duì)策包括:WEP的安全替代--使用無線安全標(biāo)準(zhǔn);無線局域網(wǎng)異常追蹤。當(dāng)然���,無線網(wǎng)絡(luò)的安全性可以使用更高層的保障如各種IPSec模式或基于SSL的安全協(xié)議等���。
應(yīng)該的使用無線安全標(biāo)準(zhǔn)
2004年,IEEE的研發(fā)組開發(fā)了一個(gè)統(tǒng)一的無線安全標(biāo)準(zhǔn)��,其中一大半被無線覆蓋設(shè)備和軟件供應(yīng)商實(shí)現(xiàn)還減輕了已知的802.11安全問題��。一開始原名為802.11i標(biāo)準(zhǔn)��,這個(gè)標(biāo)準(zhǔn)現(xiàn)在被廣泛稱之為wpa2��,它代表了wifi保護(hù)訪問版本2��。然而wpa是舊的版本不安全的向后兼容現(xiàn)有無線基礎(chǔ)設(shè)施的WEP標(biāo)準(zhǔn)的混合所以被wap2給取代了�����。WPA使用RC4加密,比WPA2中使用的AES加密更弱�����。WAP2是目前無線覆蓋方案最好的解決方法�����,并期望在可預(yù)見的未來繼續(xù)如此��。大多數(shù)支持WPA2的無線接入點(diǎn)具有的特征被稱為wifi覆蓋保護(hù)設(shè)置(WPS)���,其中有一個(gè)允許攻擊者獲得WPA2密碼的安全缺陷��,使他或她未經(jīng)授權(quán)而連接到網(wǎng)絡(luò)��。此功能應(yīng)盡可能關(guān)閉以避免攻擊�����。
無線IPS和IDS
無線ips使用無線傳感器識(shí)別無線攻擊���。這些無線無線傳感器通常使用與在接入點(diǎn)發(fā)現(xiàn)的相同wifi波段,這就是為什么企業(yè)無線接入點(diǎn)允許雙重用途的原因���,不且可以用來訪問還可以用于檢測網(wǎng)絡(luò)是否被攻擊��。這種方式根據(jù)廠家的不同而不同���。因?yàn)橛泻芏嗟呐渲梅椒?�,最常見的方法是,在沒有人訪問時(shí)暫停無線電臺(tái)��,并執(zhí)行惡意接入點(diǎn)和攻擊的無線空域快照�����。但是這種部分時(shí)間的無線入侵檢測方法意味著你只能在無線電臺(tái)處于檢測模式時(shí)檢測到攻擊���。對(duì)于一天中剩下的時(shí)間�����,無線攻擊無法被檢測到��。這個(gè)問題促使一些廠商在訪問接入點(diǎn)時(shí)使用次要的wifi電臺(tái)以使一個(gè)電臺(tái)被用于專職訪問而另一個(gè)用于全職無線IPS��。
Wifi協(xié)議允許為信道分配不同的頻率��,使得一個(gè)信道可以分配給每個(gè)頻率�����。在嚴(yán)重?fù)頂D的無線環(huán)境中���,使用不同的信道(或頻率)允許管理員減少干擾�����,這也被成為共信道干擾���。因此,對(duì)無線攻擊的適當(dāng)檢測需要定期檢查每個(gè)通道的攻擊���?�;旧嫌袃山M頻率:在2.4-GHz頻譜運(yùn)行的802.11b和802.11g;在5GHz頻譜運(yùn)行的802.11a;802.11n工作在兩個(gè)頻譜��,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜��。
由于無線傳感器從一個(gè)信道跳躍到另一個(gè)信道收集無線數(shù)據(jù)包以供分析�����,它將不會(huì)收集有些數(shù)據(jù)包��,因此���,那些包將被錯(cuò)過因?yàn)閭鞲衅髟谕粫r(shí)間只能監(jiān)控一個(gè)通道�����。因此���,一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個(gè)信道(或頻率)被監(jiān)視���。對(duì)于只有一個(gè)信道被使用的高度敏感環(huán)境�����,這個(gè)功能可以幫助管理員減少數(shù)據(jù)包丟失?�,F(xiàn)實(shí)情況是�����,由于無線網(wǎng)絡(luò)是一個(gè)物理介質(zhì)��,總會(huì)發(fā)生數(shù)據(jù)包的丟失��。這是由于許多因素�����,包括移動(dòng)無線設(shè)備�����、設(shè)備的距離的傳感器���、傳感器的天線強(qiáng)度等等��。
無線入侵檢測系統(tǒng)只涉及到接收數(shù)據(jù)包���。因此,它的范圍在物理上比一個(gè)發(fā)送和接收的接入點(diǎn)更廣泛���。在一個(gè)典型的接入點(diǎn)和傳感器的部署中�����,經(jīng)驗(yàn)法則是每三個(gè)接入點(diǎn)一個(gè)傳感器��。無線網(wǎng)絡(luò)勘測將有助于確定最佳的傳感器覆蓋和安置��。
大多數(shù)人部署無線入侵檢測系統(tǒng)來檢測惡意接入點(diǎn)��,三角測量也是一個(gè)好的想法���。雖然一個(gè)流氓ap可以被一個(gè)單一的傳感器檢測��,但其物理位置無法被檢測到��。需要用到三角測量來確定流氓ap的近似物理位置��。三角測量至少涉及到三個(gè)傳感器��,它們中的所有都是被與三個(gè)傳感器的信息相關(guān)的同一個(gè)管理系統(tǒng)管理,并且基于復(fù)雜的算法確定流氓ap的物理位置��。通常ap顯示在IDS管理軟件的樓層平面圖中��。
企業(yè)無線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)
無線網(wǎng)絡(luò)加強(qiáng)的最后一點(diǎn)與無線網(wǎng)絡(luò)在整個(gè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中的位置相關(guān)���。由于無線網(wǎng)絡(luò)的特點(diǎn)���,無線網(wǎng)絡(luò)不應(yīng)該直接連接到有線局域網(wǎng)�����。相反�����,它們必須被視為不安全的公共網(wǎng)絡(luò)連接��,或在最寬松的安全方法中作為dmz��。將一個(gè)無線接入點(diǎn)直接插入局域網(wǎng)交換機(jī)是自找麻煩(雖然802.1x認(rèn)證可以緩解這個(gè)問題)�����。一個(gè)具有良好狀態(tài)和代理的防火墻能力的安全無線網(wǎng)關(guān)必須將無線網(wǎng)絡(luò)與有線局域網(wǎng)分開�����。
現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的ap�����,但創(chuàng)建一個(gè)返回到控制器的加密隧道�����,并在接觸局域網(wǎng)之前通過它傳送所有流量���。這個(gè)控制器將運(yùn)行防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡(luò)之前檢查該流量���。如果無線網(wǎng)絡(luò)在該區(qū)域包括多個(gè)接入點(diǎn)和漫游用戶訪問,則“有線側(cè)”的接入點(diǎn)必須被放在同一vlan中��,從剩下的有線網(wǎng)絡(luò)中安全隔離���。高端的專業(yè)無線網(wǎng)關(guān)集合了接入點(diǎn)�����、防火墻�����、vpn集中器、以及用戶漫游支持能力��。網(wǎng)關(guān)的安全對(duì)你的無線網(wǎng)絡(luò)--甚至是接入點(diǎn)自己--的保護(hù)能力不應(yīng)忽視��。無線網(wǎng)關(guān)、接入點(diǎn)�����、以及網(wǎng)橋的大多數(shù)安全問題來源于不安全的設(shè)備管理實(shí)施���,包括使用Telnet��、TFTP���、默認(rèn)的SNMP團(tuán)體字符串和默認(rèn)的密碼,以及允許從網(wǎng)絡(luò)無線側(cè)進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠(yuǎn)程管理���。確保每個(gè)設(shè)備的安全被適當(dāng)?shù)膶徲?jì)��,并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測系統(tǒng)相呼應(yīng)使用無線專用入侵檢測系統(tǒng)�����。
來源:互聯(lián)網(wǎng)
企業(yè)通訊
