保障无线局域网有很多种方法,但是,到底哪种方法更适合于用户所在的局域网,局域网是否能够完全有效地应对802.11和802.1x攻击,这些都需要根据无线局域网自身的情况,采取不同的方法。无线局域网应用逐渐变得流行起来,但无线局域网的安全问题,却一直是制约行业发展的因素之一,也是业内人士争论的焦点。本文将会为你介绍无线局域网漏洞以及如何消除这些潜在的威胁因素,还会为你阐述如何评估无线局域网漏洞并管理其风险。
802.11i的的完成和Wi-Fi产品的成熟,使得维护无线局域网所需要的工具已经变得更加丰富起来,也有可供用户检测和应对入侵行为的工具。但是,这些新增的部分安全功能,对于提供防护和满足当今企业无线局域网配置要求的全面安全解决方案来说,还远远不够。如果出现802.11或者802.1x攻击,你如何确定局域网能够有效地应对? 实践证明,有效防御需要系统地查明和消除被黑客利用的漏洞,这些漏洞将会被用来入侵网络从而损害用户利益。
一、明确WLAN漏洞
所有的网络都有漏洞,但在有线网络中,物理性障碍可以限制访问介质来减少风险。以太网交换机未被使用的接口可以禁用,也可以设定具体的使用范围和地理环境。但在无线网络中,传输媒介在空中。墙壁、门户、楼层都会降低信号强度,而攻击者却又可以从楼梯、大厅、停车场或者附件的建筑物内发起攻击。这些新的载体可以被用来查找802.11和802.1x固有的漏洞。
无法控制访问
不法之徒会利用共享Stumbler工具和高增益天线发现无线局域网。入侵者会通过未经认证的“流氓”接入点,进入公司无线网络。他们还会寻找能与任何其他设备相连的疏于管理的无线设备。一旦连接,入侵者就可以使用传统的网络攻击探测客户端、服务器并找到可利用的开放端口和服务进程。
AP合理的设置可以减少射频信号的泄露,但这并不能防止外人利用你的WLAN载体发送或者接收信号。
缺乏保密
入侵者发现你的WLAN很容易利用无线通信进行监听。共享和收费监听工具可以记录数据包并提取无线传播中的TCP/IP协议报头、用户名、密码、电子邮件、文档、语音通信等信息。为了防止窃听,WLAN可以采用WEP协议、TKIP协议或者AES、CCMP协议对802.11数据帧进行加密。
不过,这三种协议都容易被破解。入侵者通过分析捕捉到的数据包,可以猜测到WEP密钥或者简短的TKIP/AES预共享密钥PSKs,利用它们对802.11数据包进行解密。而使用较长的TKIP和AES,复杂的PSK和动态会话密钥,可以避免被破解。但是,802.11管理和控制帧仍然不能被加密,也不能像ESSID和MAC地址那样具有报头值。因此,重要的是了解攻击者可以找到什么并评估他们带来的种种损失。
未经授权的网络使用
WLAN访问通过WEP密钥控制——对用户开放的一个十六进制数值。而在使用TKIP、AES的网络中,访问则是通过PSK——对所有用户开放的数字密码。这些密钥可以让家庭或者小型办公中的用户拥有同样的权限访问WLAN。但外部人员一旦获得这些密钥,他们也将拥有同样的权限进入这些网络。
大部分的情况是,人员更倾向于基于验证用户身份,单独对用户授予WLAN访问许可。为此,可以使用802.1X端口访问控制配合TIKP或者AES来实现。802.1x带有可扩展身份验证协议(EAP),可以通过密码、令牌或者数字证书来验证信息。动态会话密钥发送给指定用户,而其他尝试访问的人则会被拒绝。不过,EAP也具有漏洞。比如,轻量级的EAP可以通过字典攻击获取用户密码。评估WLAN 802.1x/EAP漏洞,是让你的网络变得更加安全的一种明智之选。
伪造数据
所有的802.11数据包都含有一个循环冗余校验(CRC),以帮助接收者发现传输中是否出现问题,但是它并不能识别伪造数据帧。为了缓解这一问题,TKIP和AES使用顺序和密码信息验证,以检测和丢弃重复或者注入的802.1x数据包。不过,检测伪造802.11管理/控制或者802.1x/EAP 开始/注销并没有一个统一的标准。原始数据包注入工具可以在任何时候,被用来发送伪造数据包,发动对WLAN的攻击——特别是DoS攻击。
拒绝服务
无绳电话、蓝牙、微波炉、邻近AP接入点等等,与你所在的网络,可能都会遭受拒绝服务攻击。事实上,产生大量的伪造802.11或者802.1x数据包,会影响到WLAN的正常合法使用。DoS拒绝服务攻击持续不段的数据传输会影响到其他数据的正常传输,利用成千上万的假冒AP挤占无线传输带宽,或者发送伪造认证、EAP注销帧等让用户不能连接网络。 DoS攻击也可以由无线设备瘫痪而导致。一个恶意的EAP身份反应会破坏具有漏洞的AP。无线设备往往是新技术产品,它们需要强化应对DoS攻击和其他问题的能力。
脆弱的终端
随着WLAN安全协议的改进,攻击者开始更多的关注802.11终端。默认情况下,很多客户端设备都处于友好状态,它可以与任何其他设备互联,包括未知AP和Ad Hoc。这种混杂的行为会让网络和终端暴露出多种风险,从文件共享给陌生人到公共和私人网络之间的客户端连接,都会出现多种安全威胁。
#p#
二、攻击透视:风险分析
你可以使用风险分析促使安全政策的形成和执行,从而保护WLAN免遭攻击。正在使用的监测和定期测试可以用来验证,WLAN部署是否合符规范要求。一旦发现漏洞,可以重新分析并对安全政策进行修正和提炼一满足实际需要。这样一个循环反复的过程,可以用下图进行表示,以创建一个连续的、可衡量的有利于帮助WLAN风险管理的基础模块。
一个更实际的目标就是降低风险到一个可接受的水平。通过验证WLAN漏洞来考虑风险事宜,可以减少攻击者对网络的不利影响。
风险分析,首先要根据业务需求来确定。说到底,安全并不仅仅是通过防堵入侵者来实现——它还需要让合法用户获得授权服务。其次,量化无线传输所带来的风险。列出无线网络和上游有线网络对资产可能造成的损失。那么,这些服务和数据库需要包含哪些信息呢?我们需要考虑驻留在无线终端和流动在无线链接中的数据——这也是一种需要保护的资产。对于每一项资产,都要对遭受损害所带来的成本支出进行评估。而评估是可以通过具体的量化指标来衡量的。 以上过程完成以后,你就建立起了一个资产风险优先秩序名单。通过这份名单你可以制定出一份安全政策,然后选择、安装、配置执行和落实安全政策。最后,测试WLAN验证政策的执行结果,并确定其他潜在漏洞。#p#
三、进行漏洞评估
漏洞评估是一个系统的评价体系,它需要使用渗透性测试以观察可能会被利用的安全漏洞。评定结果要受到审查,以确定漏洞的严重级别和消除漏洞的方法和步骤。
为了更有效,评估需要反复进行并最终确定。通常,在网络升级或者安全政策发生变更的情况下,需要再次进行评估,以防止随着时间推移漏洞蔓延到整个无线网络。
需要指出的是,所有的评估应该获得业主的同意,考虑到对网络资源和业务活动的潜在影响。下面,将谈论对评估WLAN漏洞有所帮助的技术和工具,它们包括无线设备发现、渗透测试,以及安全事件监测和频谱分析等等。
使用便携工具发现WLAN
任何漏洞的评估,第一步就是要确定无线设备。经过授权的设备接受评估,而其他设备则要仔细检查,以确定所有权和它对WLAN业务的影响和潜在威胁。当规划一个新的WLAN的时候,发现作为站点调查的一个组成部分,但风险分析所需要的信息则不限于此。
Wi-Fi Stumbler是一款免费易用的软件,适用于大多数操作系统,也包括手持设备。不过,它的功能也有限,它只能发现AP,但不能发现监测站和非802.11干扰源。一个完整的漏洞评估,需要一个便携式无线网络分析仪,使得所有射频通道都可以得到扫描,所有无线设备的详细信息都能收集。
使用渗透测试寻找漏洞
入侵者使用无线、TCP/IP和服务器攻击工具来攻击WLAN。你可以“以牙还牙”使用这些相同的工具,对所属网络的设备和WLAN基础设施进行渗透测试。利用模拟攻击对WLAN进行渗透测试,可以较为全面地发现各种漏洞,并帮助你了解漏洞所带来的后果。
使用WIPS实时监测
WLAN发现和测试发现漏洞,并不意味着这些漏洞会被利用。便携式WLAN分析仪可以“抽查”某个位置上的实时动态——事实上,测试过后运行分析仪可以帮助模拟攻击。但对于全天候监测整个无线设备和实际用户流量来说,应该使用无线入侵防御系统( WIPS )。
使用无线分析器进行调查
由WIPS提交的报告可以帮助进行深入的调查。WLAN和频谱分析仪在漏洞评估过程中发挥着重要的作用。而在测试结束后,远程(WIPS传感器或者基于AP传感器)分析仪可以帮助深入调查潜在漏洞。
【编辑推荐】