由于802.11n技术所实现的速度和可靠性,许多公司正开始使用带宽更大的无线LAN来支持新的移动服务。但是这个变化需要进行更复杂和更可靠的WLAN测试,以验证网络的安全性、连接性和性能。
公司可以不再需要使用耗费人力的工具来检查信号强度、服务器可访问性和Wi-Fi漏洞。测试在地理位置上分散的整个企业网络的成百上千的接入端(AP)和无数的客户端需要使用更高效的自动化工具和方法。
在许多早期的Wi-Fi部署中,安全性意味着检查整个建筑物或园区,监听陌生信号,以便发现未授权的恶意AP。这不仅极为低效,而且经常会“阻碍”许多识别错误的AP,也会忽视其他的一些威胁,如配置错误和操作不当的客户端。
使用具有无线入侵防御系统的AP进行全天监控
随着Wi-Fi越来越流行,许多AP经过更新后能够监听频道内或频道外的流氓信号。另外专门的Wireless Intrusion Prevention Systems (WIPS),也可用于全天监控无线攻击或违规行为,以及响应临时阻挡和发现嫌疑的流氓信号。
然而,这两个方法已经开始融合到一起。许多企业AP现在能够在需要时变成专职WIPS探测器,而且有几个AP供应商也提供了专用的WIPS设备。现在争论的重点越来越不在于扫描的频率,24/7是依赖无线的企业必须要求实现的。相反,合理的安全任务和符合规范要求则占据了核心地位。
集中的WLAN评估工具保证了规范性
为了符合像PCI DSS或Federal Information Security Management Act (FISMA)这样的规范,组织必须证明安全控制的有效性,并记录嫌疑违反规范的情况。现在,许多商业WIPS和一些WLAN管理器能够根据流行的行业规范产生封闭的规范报告,但是仍然需要持续地评估这些安全性控制和政策。
许多公司都雇佣第三方审计人员到现场执行评估;例如,要在一个商店中验证PCI DSS规范。然而,在进行这个审计之前,我们最好先测试一些有问题的地方,然后在它们暴露之前修复 这些问题。理想情况下,这些自我评估应该定期进行,而且不会消耗太多的员工时间,不需要太多的现场调查费用。
这正是集中评估工具发挥作用的地方。例如,AirTight Networks使用基于云的WIPS与上述探测器通信来实现每季度的PCI扫描和修复服务。这些探测器会监听邻近的流量,并探测Cardholder Data Environments (CDEs)的无线漏洞,从而产生PCI DSS 1.2规范所要求的月扫描报告(至少)。
对于那些已经部署了WIPS的公司而言,像Motorola AirDefense提供的无线漏洞评估模块等插件能够将部署的探测器变成远程测试引擎,它们能够周期性地连接AP,探测暴露的端口和URL,并生成记录结果的报告。
自动的远程安全性扫描,不管是由本身的WIPS执行,或者是云服务实现,都能够实现廉价的常规自我评估。然而,它们并不能替代不定期的人工现场渗透测试。
非自动化WLAN测试——渗透测试
查找可能淹没客户端、AP和WLAN管理器的盲点、错误和新攻击是WLAN测试的重要组成部分。然而,这种无线测试还没有实现完全的自动化。
例如,MDK3是一个命令行工具,它可用于猜测隐藏的SSID和MAC ACL,寻找客户端的认证漏洞,并发送802.11 Beacon、Deauth和TKIP MIC DoS攻击。审计人员可以使用MDK3方便地在不同的位置发起这些渗透测试,如办公室内部和外部。然而,诸如MDK3等工具绝不应该在工作时间内对生产环境WLAN执行测试,因为生产使用需要人工指引和结果解释。
集中的渗透测试工具经常可用于发现影响WLAN安全性的较上层的系统漏洞。例如,Metasploit脚本能够尝试许多不同的有线和无线LAN应用程序。如果要对一个大型网络执行更高效的Metasploit测试,我们可以考虑Rapid7的Metasploit Pro,它可以从一个中央控制台执行多层次的远程渗透测试。