就目前來說����,非法無線訪問設備有兩種主要的類型:內(nèi)部非法無線訪問設備和外部非法無線訪問設備。內(nèi)部非法無線訪問設備處于企業(yè)內(nèi)部局域網(wǎng)中的某個位置��,它們可能是員工自己建立的無線AP���,也可能是攻擊者在入侵網(wǎng)絡后自己構建的���。例如,攻擊者可以通過一些軟件加USB無線網(wǎng)卡的方式來構建一個無線AP���,這樣的軟件有HostAP和FakeAP���,它們只能在Windows操作系統(tǒng)下運行�。而外部非法無線訪問設備是指處于企業(yè)網(wǎng)絡外部的無線訪問設備����,這些無線訪問設備通常與企業(yè)保持在無線信號可以傳達的范圍之內(nèi),大多都是企業(yè)外部人員所擁有����。
不過,在這樣的一個結構復雜的無線網(wǎng)絡大環(huán)境當中��,要區(qū)分哪些無線訪問設備是安全的�����,哪些是非法的有時變得很困難���。這是因為我們發(fā)現(xiàn)的無線訪問設備可能屬于企業(yè)外部某個家庭用戶使用的無線設備;也可能是一個由于企業(yè)內(nèi)部員工為了方便自己而建立的無線AP;它們還可能是一個來自外部的惡意無線訪問設備����,由攻擊者特意安裝在接近企業(yè)的位置����,用來收集企業(yè)無線局域網(wǎng)中傳輸?shù)臋C密數(shù)據(jù)。
在本文中��,我們所指的非法無線訪問設備就是指所有沒有經(jīng)過授權的無線訪問設備����,無論這個無線訪問設備是由誰建立的,也不管建立它的目的是什么�,只要是沒有經(jīng)過企業(yè)授權的就是非法的無線訪問設備。
它們包括:
1�����、 鄰居家的無線AP
2��、 AD HOC計算機����,進行點對點的直接連接,發(fā)送機密文件����。
3、 非授權AP
4���、 非授權站點��,PDA和智能手機
5���、 惡意站點
6���、 惡意無線AP
為了能夠保護無線局域網(wǎng)的安全,防止非法無線訪問設備給無線局域網(wǎng)帶來的安全風險�����,無線局域網(wǎng)所有者或網(wǎng)絡管理員必需使用一定的步驟和工具來發(fā)現(xiàn)和消滅這些非法的無線訪問設備�。
但是檢測和防范非法無線訪問設備是一個持續(xù)的長期過期,它應該與無線局域網(wǎng)的整個生命周期相適應�。為此我們必需按一定的最佳做法來構建一個處理非法無線訪問設備的處理流程,這個最佳做法包括:檢測�����、阻止�����、定位和清除非法無線訪問點�����。
一、非法無線設備的檢測方法
到目前為止�,可以用來檢測和防御非法無線訪問設備的主要方法包括:
1��、 使用無線嗅探器����,通過與筆記本電腦或PDA設備的聯(lián)合使用,可以在企業(yè)整個無線局域網(wǎng)區(qū)域內(nèi)漫游查找非法無線訪問設備���。但是�,這種方式需要技術人員有一定的嗅探器知識�����,還必需非常了解企業(yè)目前的無線設備的分布狀況��。
2��、 使用無線入侵檢測/防御系統(tǒng)(WIDS/IPS)���,它們有主機型和網(wǎng)絡型之分�,在部署時應兩種同時使用���。無線入侵防范系統(tǒng)是目前最有效的檢測非法無線訪問設備的方法�,但是,它并不能檢測到被動式無線嗅探攻擊和接入請求���,以及內(nèi)部人員主動連接外部無線訪問設備的攻擊方式�����。
3�����、 使用手持式無線信號檢測工具�����。
4��、 安裝無線檢測探頭����。在所有無線局域網(wǎng)覆蓋區(qū)域都需要安裝相應的探頭來檢測無線訪問設備的接入信號�。非法無線信號的檢測探針的安裝位置可以是處于特殊位置的工作站,也可以使用具有無線信號檢測功能的無線AP�����。這樣做可能要求企業(yè)增加相應的投資成本。而且��,這些探頭產(chǎn)生的信息需要一個中心化服務器來進行管理和分析�,以確定哪些是正常的接入請求����,哪些是非法的。
在實際應用當中�����,為了能夠達到最好的檢測效果����,應該將這4種方式結合起來使用。實際上�����,在使用的過程中���,還可以根據(jù)不同的需求選擇其它的外設配置�。例如如果需要繪制非法無線訪問設備分布位置的地圖,我們還得借助GPS和相應的繪圖軟件來完成這個任務����。
另外,除了上述這些經(jīng)常使用的檢測方法外����,還有一些其它的技術可以用來檢測非法的無線訪問設備。這些技術包括現(xiàn)場調(diào)查(site survey)�����、MAC地址列表檢查����、噪音檢測(noise checking)和無線流量分析等。在本文中����,我將只介紹使用無線入侵檢測防御系統(tǒng)的方式,來檢測存在于無線局域網(wǎng)中的非法無線訪問設備���。
不過����,在部署一個新的無線網(wǎng)絡之前,我們還必需先查明現(xiàn)有的無線信號源����,包括墻壁、門窗和微波爐等���,以及任何現(xiàn)有的802.11網(wǎng)絡及設備���。同時�,還需要通過無線網(wǎng)絡規(guī)劃工具,來創(chuàng)建一個無線訪問設備的分布平面圖�����,并在其中指定無線信號需要覆蓋的范圍�����、安裝的位置和信號的強度�����,以及無線AP為其提供的服務所要具有的能力和吞吐量。
要完成這些前期檢測工作���,一些手持式無線檢測工具可以用來檢測接收的無線信號的強度和噪聲���,并且可以很靈活地對整個需要覆蓋的無線信號區(qū)域都進行檢測,還可以用來檢測無線信號實際的邊界位置��。這些現(xiàn)場無線檢測工具將收集到的信息反饋到無線網(wǎng)絡規(guī)劃工具�����,然后通過無線網(wǎng)絡規(guī)劃工具就可以使用每個AP的ESSID��、通道等信息創(chuàng)建一個實際的無線信號覆蓋地圖���。
通過手持式無線檢測工具在無線局域網(wǎng)部署完成后還可以用來檢測無線信號的質(zhì)量�,發(fā)現(xiàn)信號的死角和信號通道重疊問題�,并由此對無線AP的通道進行調(diào)整,以減少通道相同造成的干擾��。例如MITS WiSCAN就是采用Win CE為操作平臺的便攜式無線檢測設備�����。它支持802.11b/g/a 協(xié)議,提供對目前環(huán)境的無線網(wǎng)絡整體信息�,各信道訊號質(zhì)量,AP數(shù)量參數(shù)等����,并可對所有頻道的AP進行監(jiān)控。
在這個過程中���,我們還可以使用無線嗅探軟件加GPS的方式來檢測和繪制無線訪問設備的地圖�。使用軟件可以為我們大大節(jié)省解決這個問題的時間����,這樣的軟件包括Netstumber。
同時�����,在部署無線局域網(wǎng)時��,將無線局域網(wǎng)內(nèi)部所有的無線訪問設備的相關屬性做一個詳細的記錄�����,記錄的內(nèi)容包括:每臺設備的MAC地址�、AP使用的SSID號、AP的供應商��、AP的類型和AP使用的信道等信息��。其中要記錄的主要是無線訪問設備的MAC地址�,它是標識一臺無線訪問設備的最好方式。另外�,由于無線訪問設備是可移動的,要想得到它們的信息�����,就必需進行連續(xù)二十四小的不間斷監(jiān)控���,還必需立即找出它們所在的位置���。
二、部署檢測非法無線訪問設備的解決方案
要想能夠全面地檢測到無線局域網(wǎng)
覆蓋范圍內(nèi)所有位置的非法無線訪問設備�,我們就必需在企業(yè)網(wǎng)絡中部署一個有效的檢測非法無線訪問設備的解決方案。
為了能達到最好的檢測效果��,我們應當使用分層方式來部署一個立體式的檢測非法無線訪問設備的解決方案�。通常將整個解決方案分為三層,并且混合使用多種檢測非法無線訪問設備的檢測方法�����。如圖1所示就是一種三層立體式檢測非法無線訪問設備的部署結構原理圖。
圖1 三層立體式檢測非法無線訪問設備的部署結構原理圖
在圖1所示的這個檢測非法無線訪問設備的示意圖中��,無線局域網(wǎng)中的設備可以被一些安全防范設備所監(jiān)控��,這些安全設備包括無線入侵檢測防御系統(tǒng)(WIDS/IPS)���,它們可以對整個無線局域網(wǎng)中的設備進行每星期24小時連續(xù)不斷地監(jiān)控���。并且,在無線局域網(wǎng)信號的整個覆蓋區(qū)域的各個位置都安裝有無線信號檢測傳感器��,這些傳感器收集的信號將全部返回到WIDS/IPS的中央控制服務器進行監(jiān)控和分析�����。
對于WIDS/IPS不能檢測到的位置�����,可以通過手持式無線信號分析設備來達到目的���,例如使用手持式無線信號分析設備對企業(yè)無線局域網(wǎng)周邊和各個死角進行移動式檢測��,以發(fā)現(xiàn)可漏掉的非法無線訪問設備���。所有的這些可以由一臺網(wǎng)絡管理系統(tǒng)來控制,通過它對WID/IPS中央服務器進行管理����、配置等操作,而且WIDS/IPS服務器產(chǎn)生的警報將會直接發(fā)送到后臺管理員的控制臺��,并由事件響應人員進行及時的處理�����。
一個非法無線訪問設備的檢測系統(tǒng)必需能夠支持各種無線管理任務�����,必需能夠監(jiān)控所有的可疑活動���,其中包括非法的無線訪問設備的接入��。還應該能夠產(chǎn)生非法訪問點的警告信息�����,產(chǎn)生的警告通常依靠其建立的訪問控制列表(ACL)表來決定��。這個無線訪問控制列表中記錄了無線AP的MAC地址��,可配置的名稱�,最近使用的IP地址。另外����,ACL還能夠?qū)z測到的無線設備按規(guī)定進行區(qū)別。
主要的區(qū)別有以下3種方式:
已知和通過認證的無線訪問設備:這些處于無線局域網(wǎng)當中的無線訪問設備是經(jīng)過企業(yè)授權使用的�����。
已知和未通過認證的無線訪問設備:這些無線訪問點可能處于企業(yè)內(nèi)部�,或接近企業(yè)無線局域網(wǎng),已經(jīng)被我們所了解�,但是沒有通過認證的無線訪問設備,它們并不屬于企業(yè)無線局域網(wǎng)的一部分��。
未知和未通過認證的無線訪問設備:這是指這些無線訪問設備第一次被檢測到��,不存在于WIDS/IPS的ACL庫之內(nèi)���,也沒有通過企業(yè)認證�,是一些需要特別注意的無線訪問設備�����。
對于這些未知的未通過認證的無線訪問設備��,一些WIDS/IPS設備在檢測到它們以后就會立即產(chǎn)生警報���,提示管理員立即處理這些威脅���。
有時,我們不想對鄰近企業(yè)的無線訪問設備都產(chǎn)生警報��,這樣會增加我們的工作量����,也容易產(chǎn)生誤報。但是���,我們也需要了解這些無線訪問設備是否曾經(jīng)訪問過我們的網(wǎng)絡���。我們可以這樣設置WIDS/IPS,讓它對已知的鄰近AP不產(chǎn)生報警�����,但是當發(fā)現(xiàn)其試圖連入企業(yè)無線局域網(wǎng)時必需及時發(fā)出警報。
實際上��,ACL是使用一套規(guī)則表達式來達到檢測和發(fā)出警報的目的�。在ACL表中會規(guī)定一些安全規(guī)則,我們可以通過下面的策略來編制我們的無線ACL策略:
1�����、 制定事件嚴重程度的等級����,當出現(xiàn)嚴重事件時,普通級別的事件將延時處理����。
2、 以商業(yè)風險為基礎為不同的無線訪問設備建立不同的規(guī)則��。例如�����,可以忽略使用Guest ESSID的未知設備,但是對Private SSID設備要檢測����。
3�、 以警報事件出現(xiàn)的頻率來建立阻擋規(guī)則,例如�����,當發(fā)現(xiàn)現(xiàn)一個警報出現(xiàn)的頻率次數(shù)達到某個閥值時����,就必需自動產(chǎn)生阻擋行為。
4��、 自動將高風險的警報轉(zhuǎn)發(fā)到更高級別的位置�,以便能夠及時處理這些高危風險。
5��、 能夠自動阻止惡意無線訪問設備��,讓其失去作用���,以此來阻止其產(chǎn)生下一步的惡意行為�����。
三�、定位和清除非法無線訪問設備
一旦發(fā)現(xiàn)了非法無線訪問設備,就應該立即找出它可能存在的位置����,然后決定采取什么樣的處理方式來清除它可能帶來的安全風險。
如果沒有工具軟件來幫忙�����,那么要定位一個非法無線訪問點是很困難和耗費時間的���。非法無線訪問點的位置往往是不固定的�����,它有可能隨時都變換位置���。如果我們不能立即定位非法設備的位置,那么��,我們就有可能永遠不知道它們所在的具體位置����,以及是否接入了�。因此�,我們必需使用一些具有定位功能的WIDS/IPS軟件來幫助我們完成這個任務。
一個簡單但很粗糙的方法就是利用信號強度來估計非法無線訪問點與最近無線AP的距離��。如果檢測到的信號很強���,那么兩者距離應該很近,可能就在同一樓層或樓上樓下等位置���。但是�����,由于非法無線訪問設備可能在其它位置連入后再接入企業(yè)無線局域網(wǎng)的��,因此不會很準確��。
一個更加復雜和準確的定位非法無線訪問點的方法是利用多個傳感器來進行多角度定位�。例如利用三個傳感器來定位����。一個傳感器找到非法無線訪問設備���,第二個傳感器檢測到這個非法無線訪問點時就會與第一個產(chǎn)生交集,然后第三個同樣如此����。這三者的交集位置就是非法傳感器所在位置。檢測到同一非法無線訪問點的傳感器越多����,非法無線訪問點所在的位置范圍就越小,這樣就很容易再通過手工或現(xiàn)場方式找到非法無線訪問點����。