WLAN安全五步曲

申請免費(fèi)試用、咨詢電話：400-8352-114

802.11無線局域網(wǎng)（WLAN）在移動(dòng)性和生產(chǎn)力方面具有優(yōu)點(diǎn)，但不一定意味著就要以犧牲信息系統(tǒng)的安全為代價(jià)。盡管WLAN存在的陷阱讓一些企業(yè)放棄了對WLAN的使用，但還有更多的同樣關(guān)注安全的企業(yè)還是放心地部署了安全的WLAN，他們的辦法就是實(shí)施下列切合實(shí)際的步驟，以保護(hù)信息資產(chǎn)、識(shí)別漏洞、保護(hù)網(wǎng)絡(luò)免受專門針對無線的攻擊。

第一步：發(fā)現(xiàn)及緩解非法WLAN和漏洞

歸根到底，確保WLAN安全首先要了解WLAN所運(yùn)行的環(huán)境。未授權(quán)的"非法"WLAN--包括接入點(diǎn)、軟接入點(diǎn)（充當(dāng)接入點(diǎn)的便攜式電腦）、用戶站、無線條形碼掃描器和打印機(jī)――是企業(yè)網(wǎng)絡(luò)安全面臨的最大威脅之一，因?yàn)樗鼈兘o入侵者敞開了一個(gè)避開了所有現(xiàn)有安全措施的入口點(diǎn)。

因?yàn)橹灰褍r(jià)格低廉的接入點(diǎn)連接到有線網(wǎng)絡(luò)、把WLAN卡插入到便攜式電腦上，就很容易安裝簡單的WLAN，所以員工們會(huì)趁IT部門遲遲不愿采用或者甚至反對新技術(shù)之際，擅自部署未授權(quán)的WLAN。這些非法的接入點(diǎn)通常缺乏標(biāo)準(zhǔn)安全，因而會(huì)避開企業(yè)投資搭建的網(wǎng)絡(luò)安全機(jī)制。

便攜式電腦等不安全的無線用戶站對企業(yè)網(wǎng)絡(luò)安全構(gòu)成的危險(xiǎn)甚至比非法接入點(diǎn)還大。默認(rèn)配置的這些設(shè)備提供不了多少安全，很容易出現(xiàn)配置不當(dāng)。入侵者可以利用任何不安全的無線用戶站作為一塊跳板、闖入網(wǎng)絡(luò)。

同樣的不安全因素來自配置不當(dāng)?shù)腤LAN所引起的網(wǎng)絡(luò)漏洞。與WLAN建在同一個(gè)地方的鄰近WLAN也會(huì)帶來這些風(fēng)險(xiǎn)：鄰近工作站訪問網(wǎng)絡(luò)、干擾無線信道。免費(fèi)軟件如NetStumbler和 Kismet及其他商用掃描器可以掃描無線電波，尋找非法接入點(diǎn)和某些網(wǎng)絡(luò)漏洞。這個(gè)頗費(fèi)時(shí)間的過程需要網(wǎng)絡(luò)管理員親自到WLAN覆蓋區(qū)域走一趟，尋找無線數(shù)據(jù)，但效果不大，因?yàn)樗皇菍o線電波采樣掃描，尋找現(xiàn)有威脅。

新的非法接入點(diǎn)及其他漏洞可能會(huì)在掃描過后出現(xiàn)，等到下一次網(wǎng)絡(luò)管理員掃描網(wǎng)絡(luò)時(shí)，才會(huì)被發(fā)現(xiàn)。Gartner公司的無線安全權(quán)威：John Girard曾在歐洲召開的一次安全大會(huì)上聲稱，要查找安全隱患，最簡單的辦法就是購買手持式"嗅探器"，然后巡視本組織網(wǎng)絡(luò)的邊界。

據(jù)無線安全專家聲稱，要發(fā)現(xiàn)非法接入點(diǎn)、用戶站和漏洞，最好是全天候不間斷地監(jiān)控WLAN。不斷監(jiān)控可以實(shí)時(shí)發(fā)現(xiàn)：非法接入點(diǎn)何時(shí)在何處首次出現(xiàn)、連接到哪個(gè)用戶、交換了多少數(shù)據(jù)、流量傳輸方向。Girard進(jìn)一步說，最安全的辦法就是另外安裝一套無線入侵檢測傳感器。

第二步：牢牢控制所有接入點(diǎn)和設(shè)備

WLAN安全的下一步涉及對WLAN實(shí)行邊界控制。應(yīng)當(dāng)部署個(gè)人代理軟件，以便向企業(yè)和用戶報(bào)告所有安全漏洞、執(zhí)行企業(yè)安全政策，從而保護(hù)每臺(tái)配備無線功能的便攜式電腦的安全。組織應(yīng)當(dāng)部署提供高級安全和管理功能的企業(yè)級接入點(diǎn)。

企業(yè)應(yīng)當(dāng)更改默認(rèn)的服務(wù)集標(biāo)識(shí)符（SSID）。SSID實(shí)際上就是每個(gè)接入點(diǎn)的名字。思科接入點(diǎn)的默認(rèn)SSID是tsunami；Linksys接入點(diǎn)的默認(rèn)SSID是linksys；而英特爾和Symbol接入點(diǎn)的默認(rèn)SSID是101。這些默認(rèn)的SSID無異于把易受攻擊的WLAN匯報(bào)給了黑客。應(yīng)當(dāng)把SSID改成對外人來說毫無意義的名字。名字平常的SSID只會(huì)叫黑客注意他們想要闖入的寶貴信息。

企業(yè)還應(yīng)當(dāng)配置接入點(diǎn)，禁用廣播模式。在廣播模式下，接入點(diǎn)會(huì)不斷廣播其SSID，作為搜尋哪些用戶站與之相連的信標(biāo)。如果關(guān)閉了這項(xiàng)默認(rèn)特性，用戶站必須知道SSID，才能連接到接入點(diǎn)。

大多數(shù)企業(yè)級接入點(diǎn)可以讓你根據(jù)對授權(quán)用戶站的媒體訪問控制（MAC）地址進(jìn)行過濾，以此限制哪些用戶站可以連接到接入點(diǎn)。盡管MAC地址過濾并非萬無一失，但這種方法對哪些用戶站可以連接到網(wǎng)絡(luò)提供了基本的控制功能。有些規(guī)模較大的企業(yè)所組建的比較復(fù)雜的WLAN允許上百個(gè)用戶站在接入點(diǎn)之間進(jìn)行漫游，這時(shí)它們可能需要遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（RADIUS）服務(wù)器提供更復(fù)雜的過濾功能。

為了消除這種威脅：入侵者從連接速度大大降低的停車場或者樓上連接到你的WLAN，應(yīng)當(dāng)對接入點(diǎn)進(jìn)行配置，禁止比較低的連接速度。

第三步：加密和驗(yàn)證――VPN

加密和驗(yàn)證為WLAN提供了基本安全。不過，目前無懈可擊的加密和驗(yàn)證標(biāo)準(zhǔn)還沒有出臺(tái)。2001年，研究人員和黑客向世人展示他們能夠破譯802.11 WLAN的標(biāo)準(zhǔn)加密方法：有線對等保密（WEP）。沒過多久，黑客就發(fā)布了WEPCrack這些免費(fèi)軟件工具，這樣誰都可以用這些工具破譯這種加密方法，只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量，就能弄明白加密密鑰。

報(bào)告表明WEP及標(biāo)準(zhǔn)驗(yàn)證存在漏洞之后，許多企業(yè)心灰意冷，不敢把WEP添加到部署的WLAN當(dāng)中。這樣一來，它們的網(wǎng)絡(luò)就完全暴露無遺。因?yàn)檫@些加密和驗(yàn)證標(biāo)準(zhǔn)容易受到攻擊，所以應(yīng)當(dāng)部署更牢固的加密和驗(yàn)證方法，利用無線虛擬專用網(wǎng)（VPN）和RADIUS服務(wù)器更加全面地保護(hù)WLAN的安全。VPN可以在接入點(diǎn)和網(wǎng)絡(luò)之間采用強(qiáng)驗(yàn)證和強(qiáng)加密機(jī)制；而RADIUS系統(tǒng)可以用來管理驗(yàn)證、記賬及對網(wǎng)絡(luò)資源的訪問。

雖然VPN被譽(yù)為是WLAN的安全解決方案，但單向驗(yàn)證的VPN仍很容易被人鉆空子。部署在大組織的WLAN會(huì)帶來重大難題：需要把客戶軟件分發(fā)到所有客戶機(jī)，并加以維護(hù)。單向驗(yàn)證的VPN也容易受到中間人攻擊（man-in-the-middle attack）及其他諸多的已知攻擊。雙向驗(yàn)證的無線VPN可以提供強(qiáng)驗(yàn)證，克服WEP的缺陷。
盡管存在上述漏洞，但加密和驗(yàn)證仍是確保WLAN安全的必備要素。

第四步：制定及執(zhí)行WLAN政策

每個(gè)企業(yè)網(wǎng)絡(luò)都要有使用和安全方面的政策，WLAN同樣如此。雖然由于每個(gè)WLAN的安全和管理需求各不相同，政策也會(huì)隨之不同，但全面的政策（以及政策執(zhí)行）可以保護(hù)企業(yè)避免不必要的安全漏洞和性能衰退。

制訂WLAN政策應(yīng)當(dāng)從基本面入手：禁止未授權(quán)的接入點(diǎn)和特定網(wǎng)絡(luò)，因?yàn)樗鼈儠?huì)避開網(wǎng)絡(luò)安全。由于許多安全特性是在接入點(diǎn)和用戶站上實(shí)現(xiàn)控制的，譬如啟用WEP或者VPN、SSID的廣播功能，所以相關(guān)政策要落實(shí)到位，禁止對接入點(diǎn)和WLAN卡重新配置，以免這些特性被更改。

如果制訂政策限制WLAN流量在指定信道上傳輸、連接速度為5.5Mbps和11Mbps、只可以在規(guī)定時(shí)間段訪問，就可以大大提高WLAN的安全。如果為每個(gè)接入點(diǎn)建立一個(gè)指定信道，其他信道上的所有流量就會(huì)被認(rèn)為是可疑活動(dòng)。

制訂政策規(guī)定所有用戶站都以較高速度進(jìn)行連接，這可以保護(hù)WLAN，那樣在停車場或者鄰近辦公室的入侵者可能因?yàn)榫嚯x太遠(yuǎn)，連接速度達(dá)不到5.5Mbps和11Mbps。如果制訂政策，把WLAN流量限制在特定的工作時(shí)間段，就可以保護(hù)WLAN，避免入侵者在停車場連接到網(wǎng)絡(luò)后，發(fā)動(dòng)深夜攻擊，或者避免肆無忌憚的員工趁周圍沒人之機(jī)把敏感文件從有線網(wǎng)絡(luò)發(fā)送到無線網(wǎng)絡(luò)。

雖然政策不可或缺，但如果不加以執(zhí)行，就成了一紙空文。就像前面講到的有效發(fā)現(xiàn)網(wǎng)絡(luò)漏洞那樣，政策執(zhí)行也需要全天候不間斷地監(jiān)控WLAN。

第五步：入侵檢測和防護(hù)

安全管理人員依靠入侵檢測和入侵防護(hù)來確保：WLAN的所有部分都是安全的；免受無線威脅和攻擊。雖然許多組織已經(jīng)為有線網(wǎng)絡(luò)部署了入侵檢測系統(tǒng)（IDS），但只有專門針對WLAN的IDS才能保護(hù)你的網(wǎng)絡(luò)，在流量到達(dá)有線網(wǎng)絡(luò)之前，防御無線攻擊。

最先進(jìn)的無線IDS包括實(shí)時(shí)監(jiān)控802.11a/b/g協(xié)議的功能。通過不斷監(jiān)控所有WLAN的攻擊特征、協(xié)議分析、統(tǒng)計(jì)異常和政策違反現(xiàn)象，組織就能夠查出針對WLAN的攻擊，包括MAC欺騙引起的身份失竊、中間人攻擊和拒絕服務(wù)攻擊；以及非工作時(shí)間的異?；顒?dòng)或者下載大容量文件引起的異常流量。

來源：CCW