WLAN安全五步曲

申請免費試用、咨詢電話：400-8352-114

802.11無線局域網(wǎng)（WLAN）在移動性和生產(chǎn)力方面具有優(yōu)點，但不一定意味著就要以犧牲信息系統(tǒng)的安全為代價。盡管WLAN存在的陷阱讓一些企業(yè)放棄了對WLAN的使用，但還有更多的同樣關(guān)注安全的企業(yè)還是放心地部署了安全的WLAN，他們的辦法就是實施下列切合實際的步驟，以保護(hù)信息資產(chǎn)、識別漏洞、保護(hù)網(wǎng)絡(luò)免受專門針對無線的攻擊。

第一步：發(fā)現(xiàn)及緩解非法WLAN和漏洞

歸根到底，確保WLAN安全首先要了解WLAN所運行的環(huán)境。未授權(quán)的"非法"WLAN--包括接入點、軟接入點（充當(dāng)接入點的便攜式電腦）、用戶站、無線條形碼掃描器和打印機――是企業(yè)網(wǎng)絡(luò)安全面臨的最大威脅之一，因為它們給入侵者敞開了一個避開了所有現(xiàn)有安全措施的入口點。

因為只要把價格低廉的接入點連接到有線網(wǎng)絡(luò)、把WLAN卡插入到便攜式電腦上，就很容易安裝簡單的WLAN，所以員工們會趁IT部門遲遲不愿采用或者甚至反對新技術(shù)之際，擅自部署未授權(quán)的WLAN。這些非法的接入點通常缺乏標(biāo)準(zhǔn)安全，因而會避開企業(yè)投資搭建的網(wǎng)絡(luò)安全機制。

便攜式電腦等不安全的無線用戶站對企業(yè)網(wǎng)絡(luò)安全構(gòu)成的危險甚至比非法接入點還大。默認(rèn)配置的這些設(shè)備提供不了多少安全，很容易出現(xiàn)配置不當(dāng)。入侵者可以利用任何不安全的無線用戶站作為一塊跳板、闖入網(wǎng)絡(luò)。

同樣的不安全因素來自配置不當(dāng)?shù)腤LAN所引起的網(wǎng)絡(luò)漏洞。與WLAN建在同一個地方的鄰近WLAN也會帶來這些風(fēng)險：鄰近工作站訪問網(wǎng)絡(luò)、干擾無線信道。免費軟件如NetStumbler和 Kismet及其他商用掃描器可以掃描無線電波，尋找非法接入點和某些網(wǎng)絡(luò)漏洞。這個頗費時間的過程需要網(wǎng)絡(luò)管理員親自到WLAN覆蓋區(qū)域走一趟，尋找無線數(shù)據(jù)，但效果不大，因為它只是對無線電波采樣掃描，尋找現(xiàn)有威脅。

新的非法接入點及其他漏洞可能會在掃描過后出現(xiàn)，等到下一次網(wǎng)絡(luò)管理員掃描網(wǎng)絡(luò)時，才會被發(fā)現(xiàn)。Gartner公司的無線安全權(quán)威：John Girard曾在歐洲召開的一次安全大會上聲稱，要查找安全隱患，最簡單的辦法就是購買手持式"嗅探器"，然后巡視本組織網(wǎng)絡(luò)的邊界。

據(jù)無線安全專家聲稱，要發(fā)現(xiàn)非法接入點、用戶站和漏洞，最好是全天候不間斷地監(jiān)控WLAN。不斷監(jiān)控可以實時發(fā)現(xiàn)：非法接入點何時在何處首次出現(xiàn)、連接到哪個用戶、交換了多少數(shù)據(jù)、流量傳輸方向。Girard進(jìn)一步說，最安全的辦法就是另外安裝一套無線入侵檢測傳感器。

第二步：牢牢控制所有接入點和設(shè)備

WLAN安全的下一步涉及對WLAN實行邊界控制。應(yīng)當(dāng)部署個人代理軟件，以便向企業(yè)和用戶報告所有安全漏洞、執(zhí)行企業(yè)安全政策，從而保護(hù)每臺配備無線功能的便攜式電腦的安全。組織應(yīng)當(dāng)部署提供高級安全和管理功能的企業(yè)級接入點。

企業(yè)應(yīng)當(dāng)更改默認(rèn)的服務(wù)集標(biāo)識符（SSID）。SSID實際上就是每個接入點的名字。思科接入點的默認(rèn)SSID是tsunami；Linksys接入點的默認(rèn)SSID是linksys；而英特爾和Symbol接入點的默認(rèn)SSID是101。這些默認(rèn)的SSID無異于把易受攻擊的WLAN匯報給了黑客。應(yīng)當(dāng)把SSID改成對外人來說毫無意義的名字。名字平常的SSID只會叫黑客注意他們想要闖入的寶貴信息。

企業(yè)還應(yīng)當(dāng)配置接入點，禁用廣播模式。在廣播模式下，接入點會不斷廣播其SSID，作為搜尋哪些用戶站與之相連的信標(biāo)。如果關(guān)閉了這項默認(rèn)特性，用戶站必須知道SSID，才能連接到接入點。

大多數(shù)企業(yè)級接入點可以讓你根據(jù)對授權(quán)用戶站的媒體訪問控制（MAC）地址進(jìn)行過濾，以此限制哪些用戶站可以連接到接入點。盡管MAC地址過濾并非萬無一失，但這種方法對哪些用戶站可以連接到網(wǎng)絡(luò)提供了基本的控制功能。有些規(guī)模較大的企業(yè)所組建的比較復(fù)雜的WLAN允許上百個用戶站在接入點之間進(jìn)行漫游，這時它們可能需要遠(yuǎn)程驗證撥入用戶服務(wù)（RADIUS）服務(wù)器提供更復(fù)雜的過濾功能。

為了消除這種威脅：入侵者從連接速度大大降低的停車場或者樓上連接到你的WLAN，應(yīng)當(dāng)對接入點進(jìn)行配置，禁止比較低的連接速度。

第三步：加密和驗證――VPN

加密和驗證為WLAN提供了基本安全。不過，目前無懈可擊的加密和驗證標(biāo)準(zhǔn)還沒有出臺。2001年，研究人員和黑客向世人展示他們能夠破譯802.11 WLAN的標(biāo)準(zhǔn)加密方法：有線對等保密（WEP）。沒過多久，黑客就發(fā)布了WEPCrack這些免費軟件工具，這樣誰都可以用這些工具破譯這種加密方法，只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量，就能弄明白加密密鑰。

報告表明WEP及標(biāo)準(zhǔn)驗證存在漏洞之后，許多企業(yè)心灰意冷，不敢把WEP添加到部署的WLAN當(dāng)中。這樣一來，它們的網(wǎng)絡(luò)就完全暴露無遺。因為這些加密和驗證標(biāo)準(zhǔn)容易受到攻擊，所以應(yīng)當(dāng)部署更牢固的加密和驗證方法，利用無線虛擬專用網(wǎng)（VPN）和RADIUS服務(wù)器更加全面地保護(hù)WLAN的安全。VPN可以在接入點和網(wǎng)絡(luò)之間采用強驗證和強加密機制；而RADIUS系統(tǒng)可以用來管理驗證、記賬及對網(wǎng)絡(luò)資源的訪問。

雖然VPN被譽為是WLAN的安全解決方案，但單向驗證的VPN仍很容易被人鉆空子。部署在大組織的WLAN會帶來重大難題：需要把客戶軟件分發(fā)到所有客戶機，并加以維護(hù)。單向驗證的VPN也容易受到中間人攻擊（man-in-the-middle attack）及其他諸多的已知攻擊。雙向驗證的無線VPN可以提供強驗證，克服WEP的缺陷。
盡管存在上述漏洞，但加密和驗證仍是確保WLAN安全的必備要素。

第四步：制定及執(zhí)行WLAN政策

每個企業(yè)網(wǎng)絡(luò)都要有使用和安全方面的政策，WLAN同樣如此。雖然由于每個WLAN的安全和管理需求各不相同，政策也會隨之不同，但全面的政策（以及政策執(zhí)行）可以保護(hù)企業(yè)避免不必要的安全漏洞和性能衰退。

制訂WLAN政策應(yīng)當(dāng)從基本面入手：禁止未授權(quán)的接入點和特定網(wǎng)絡(luò)，因為它們會避開網(wǎng)絡(luò)安全。由于許多安全特性是在接入點和用戶站上實現(xiàn)控制的，譬如啟用WEP或者VPN、SSID的廣播功能，所以相關(guān)政策要落實到位，禁止對接入點和WLAN卡重新配置，以免這些特性被更改。

如果制訂政策限制WLAN流量在指定信道上傳輸、連接速度為5.5Mbps和11Mbps、只可以在規(guī)定時間段訪問，就可以大大提高WLAN的安全。如果為每個接入點建立一個指定信道，其他信道上的所有流量就會被認(rèn)為是可疑活動。

制訂政策規(guī)定所有用戶站都以較高速度進(jìn)行連接，這可以保護(hù)WLAN，那樣在停車場或者鄰近辦公室的入侵者可能因為距離太遠(yuǎn)，連接速度達(dá)不到5.5Mbps和11Mbps。如果制訂政策，把WLAN流量限制在特定的工作時間段，就可以保護(hù)WLAN，避免入侵者在停車場連接到網(wǎng)絡(luò)后，發(fā)動深夜攻擊，或者避免肆無忌憚的員工趁周圍沒人之機把敏感文件從有線網(wǎng)絡(luò)發(fā)送到無線網(wǎng)絡(luò)。

雖然政策不可或缺，但如果不加以執(zhí)行，就成了一紙空文。就像前面講到的有效發(fā)現(xiàn)網(wǎng)絡(luò)漏洞那樣，政策執(zhí)行也需要全天候不間斷地監(jiān)控WLAN。

第五步：入侵檢測和防護(hù)

安全管理人員依靠入侵檢測和入侵防護(hù)來確保：WLAN的所有部分都是安全的；免受無線威脅和攻擊。雖然許多組織已經(jīng)為有線網(wǎng)絡(luò)部署了入侵檢測系統(tǒng)（IDS），但只有專門針對WLAN的IDS才能保護(hù)你的網(wǎng)絡(luò)，在流量到達(dá)有線網(wǎng)絡(luò)之前，防御無線攻擊。

最先進(jìn)的無線IDS包括實時監(jiān)控802.11a/b/g協(xié)議的功能。通過不斷監(jiān)控所有WLAN的攻擊特征、協(xié)議分析、統(tǒng)計異常和政策違反現(xiàn)象，組織就能夠查出針對WLAN的攻擊，包括MAC欺騙引起的身份失竊、中間人攻擊和拒絕服務(wù)攻擊；以及非工作時間的異常活動或者下載大容量文件引起的異常流量。

來源：CCW