日期:2015-12-15 點擊: 關鍵詞:企業無線覆蓋局域網亂用現象
在本文下面,我們列出了數據;鏈路層針對“企業無線覆蓋局域網亂用現象”的對策。這些對策包括:WEP的安全替代--使用無線安全標準;無線局域網異常追蹤。當然,無線網絡的安全性可以使用更高層的保障如各種IPSec模式或基于SSL的安全協議等。
應該的使用無線安全標準
2004年,IEEE的研發組開發了一個統一的無線安全標準,其中一大半被無線覆蓋設備和軟件供應商實現還減輕了已知的802.11安全問題。一開始原名為802.11i標準,這個標準現在被廣泛稱之為wpa2,它代表了wifi保護訪問版本2。然而wpa是舊的版本不安全的向后兼容現有無線基礎設施的WEP標準的混合所以被wap2給取代了。WPA使用RC4加密,比WPA2中使用的AES加密更弱。WAP2是目前無線覆蓋方案最好的解決方法,并期望在可預見的未來繼續如此。大多數支持WPA2的無線接入點具有的特征被稱為wifi覆蓋保護設置(WPS),其中有一個允許攻擊者獲得WPA2密碼的安全缺陷,使他或她未經授權而連接到網絡。此功能應盡可能關閉以避免攻擊。
無線IPS和IDS
無線ips使用無線傳感器識別無線攻擊。這些無線無線傳感器通常使用與在接入點發現的相同wifi波段,這就是為什么企業無線接入點允許雙重用途的原因,不且可以用來訪問還可以用于檢測網絡是否被攻擊。這種方式根據廠家的不同而不同。因為有很多的配置方法,最常見的方法是,在沒有人訪問時暫停無線電臺,并執行惡意接入點和攻擊的無線空域快照。但是這種部分時間的無線入侵檢測方法意味著你只能在無線電臺處于檢測模式時檢測到攻擊。對于一天中剩下的時間,無線攻擊無法被檢測到。這個問題促使一些廠商在訪問接入點時使用次要的wifi電臺以使一個電臺被用于專職訪問而另一個用于全職無線IPS。
Wifi協議允許為信道分配不同的頻率,使得一個信道可以分配給每個頻率。在嚴重擁擠的無線環境中,使用不同的信道(或頻率)允許管理員減少干擾,這也被成為共信道干擾。因此,對無線攻擊的適當檢測需要定期檢查每個通道的攻擊。基本上有兩組頻率:在2.4-GHz頻譜運行的802.11b和802.11g;在5GHz頻譜運行的802.11a;802.11n工作在兩個頻譜,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。
由于無線傳感器從一個信道跳躍到另一個信道收集無線數據包以供分析,它將不會收集有些數據包,因此,那些包將被錯過因為傳感器在同一時間只能監控一個通道。因此,一些廠商現在允許傳感器選擇“鎖定頻道”以只允許一個信道(或頻率)被監視。對于只有一個信道被使用的高度敏感環境,這個功能可以幫助管理員減少數據包丟失。現實情況是,由于無線網絡是一個物理介質,總會發生數據包的丟失。這是由于許多因素,包括移動無線設備、設備的距離的傳感器、傳感器的天線強度等等。
無線入侵檢測系統只涉及到接收數據包。因此,它的范圍在物理上比一個發送和接收的接入點更廣泛。在一個典型的接入點和傳感器的部署中,經驗法則是每三個接入點一個傳感器。無線網絡勘測將有助于確定最佳的傳感器覆蓋和安置。
大多數人部署無線入侵檢測系統來檢測惡意接入點,三角測量也是一個好的想法。雖然一個流氓ap可以被一個單一的傳感器檢測,但其物理位置無法被檢測到。需要用到三角測量來確定流氓ap的近似物理位置。三角測量至少涉及到三個傳感器,它們中的所有都是被與三個傳感器的信息相關的同一個管理系統管理,并且基于復雜的算法確定流氓ap的物理位置。通常ap顯示在IDS管理軟件的樓層平面圖中。
企業無線網絡定位和安全網關
無線網絡加強的最后一點與無線網絡在整個網絡拓撲設計中的位置相關。由于無線網絡的特點,無線網絡不應該直接連接到有線局域網。相反,它們必須被視為不安全的公共網絡連接,或在最寬松的安全方法中作為dmz。將一個無線接入點直接插入局域網交換機是自找麻煩(雖然802.1x認證可以緩解這個問題)。一個具有良好狀態和代理的防火墻能力的安全無線網關必須將無線網絡與有線局域網分開。
現今最常見的方法是擁有可以在局域網上任何地方連接的ap,但創建一個返回到控制器的加密隧道,并在接觸局域網之前通過它傳送所有流量。這個控制器將運行防火墻和入侵檢測/防御系統(IDS/IPS)的能力在它接觸到到內部網絡之前檢查該流量。如果無線網絡在該區域包括多個接入點和漫游用戶訪問,則“有線側”的接入點必須被放在同一vlan中,從剩下的有線網絡中安全隔離。高端的專業無線網關集合了接入點、防火墻、vpn集中器、以及用戶漫游支持能力。網關的安全對你的無線網絡--甚至是接入點自己--的保護能力不應忽視。無線網關、接入點、以及網橋的大多數安全問題來源于不安全的設備管理實施,包括使用Telnet、TFTP、默認的SNMP團體字符串和默認的密碼,以及允許從網絡無線側進行網關和接入點的遠程管理。確保每個設備的安全被適當的審計,并且與更傳統的在數據鏈路層以上工作的入侵檢測系統相呼應使用無線專用入侵檢測系統。
來源:互聯網
企業通訊
