日期:2015-09-02 點擊: 關鍵詞:企業(yè)無線網(wǎng)絡,企業(yè)無線網(wǎng)絡必要性
許多單位組織面臨著控制通過無線接入點連接到他們的企業(yè)網(wǎng)絡中的人和物的挑戰(zhàn),急需加強企業(yè)無線網(wǎng)絡的安全強化措施及其必要性 。許多企業(yè)無線供應商已經(jīng)增強了自身的接入點和無線控制器產(chǎn)品自然包括防火墻、 RADIUS、網(wǎng)絡訪問控制、以及無線IPS。這種繼承提供了對連接到無線基礎設施的無線用戶更好的控制以及控制這些用戶在企業(yè)網(wǎng)絡上可以去的地方。這是一個急需的深度防護方法,因為有線側防火墻和IPS不能提供必要的對抗無線攻擊的保護。大多數(shù)無線攻擊發(fā)生在第二層以及無線介質之間。傳統(tǒng)的有線防火墻不 能檢測到這些攻擊,并且有線IP沒有檢查這些類型的數(shù)據(jù)包的能力。這導致了專業(yè)無線IPS產(chǎn)品的出現(xiàn)。
無線IPS
無線IPS使用無線傳感器識別無線攻擊。這些無線傳感器通常使用與在接入點發(fā)現(xiàn)的相同Wi-Fi波段,這就是很多公司允許接入點的雙重用途的原因, 既可用于訪問又可用于檢測攻擊。這些根據(jù)供應商的不同而不同。有許多混合方法。最常見的方法是,在沒有人訪問時暫停無線電臺,并執(zhí)行惡意接入點和攻擊的無 線空域快照。但是這種部分時間的無線入侵檢測方法意味著你只能在無線電臺處于檢測模式時檢測到攻擊。對于一天中剩下的時間,無線攻擊無法被檢測到。
Wi-Fi協(xié)議允許為信道分配不同的頻率,使得一個信道可以分配給每個頻率。在嚴重擁擠的無線環(huán)境中,使用不同的信道(或頻率)允許管理員減少干 擾,這也被成為共信道干擾。因此,對無線攻擊的適當檢測需要定期檢查每個通道的攻擊。基本上有兩組頻率:在2.4-GHz頻譜運行的802.11b和 802.11g;在5GHz頻譜運行的802.11a;802.11n工作在兩個頻譜,2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。
由于無線傳感器從一個信道跳躍到另一個信道收集無線數(shù)據(jù)包以供分析,它將不會收集有些數(shù)據(jù)包,因此,那些包將被錯過因為傳感器在同一時間只能監(jiān)控一 個通道。因此,一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個信道(或頻率)被監(jiān)視。對于只有一個信道被使用的高度敏感環(huán)境,這個功能可以幫助管理 員減少數(shù)據(jù)包丟失。現(xiàn)實情況是,由于無線網(wǎng)絡是一個物理介質,總會發(fā)生數(shù)據(jù)包的丟失。這是由于許多因素,包括移動無線設備、設備的距離的傳感器、傳感器的 天線強度等等。
無線入侵檢測系統(tǒng)只涉及到接收數(shù)據(jù)包。因此,它的范圍在物理上比一個發(fā)送和接收的接入點更廣泛。在一個典型的接入點和傳感器的部署中,經(jīng)驗法則是每三個接入點一個傳感器。無線網(wǎng)絡勘測將有助于確定最佳的傳感器覆蓋和安置。
大多數(shù)人部署無線入侵檢測系統(tǒng)來檢測惡意接入點,三角測量也是一個好的想法。雖然一個流氓AP可以被一個單一的傳感器檢測,但其物理位置無法被檢測 到。需要用到三角測量來確定流氓AP的近似物理位置。三角測量至少涉及到三個傳感器,它們中的所有都是被與三個傳感器的信息相關的同一個管理系統(tǒng)管理,并 且基于復雜的算法確定流氓AP的物理位置。通常AP顯示在IDS管理軟件的樓層平面圖中。
無線網(wǎng)絡定位和安全網(wǎng)關
無線網(wǎng)絡加強的最后一點與無線網(wǎng)絡在整個網(wǎng)絡拓撲設計中的位置相關。由于無線網(wǎng)絡的特點,無線網(wǎng)絡不應該直接連接到有線局域網(wǎng)。相反,它們必須被視 為不安全的公共網(wǎng)絡連接,或在最寬松的安全方法中作為DMZ。將一個無線接入點直接插入局域網(wǎng)交換機是自找麻煩(雖然802.1x認證可以緩解這個問 題)。一個具有良好狀態(tài)和代理的防火墻能力的安全無線網(wǎng)關必須將無線網(wǎng)絡與有線局域網(wǎng)分開。
現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的AP,但創(chuàng)建一個返回到控制器的加密隧道,并在接觸局域網(wǎng)之前通過它傳送所有流量。這個控制器 將運行防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡之前檢查該流量。如果無線網(wǎng)絡在該區(qū)域包括多個接入點和漫游用戶訪問,則 “有線側”的接入點必須被放在同一VLAN中,從剩下的有線網(wǎng)絡中安全隔離。高端的專業(yè)無線網(wǎng)關集合了接入點、防火墻、VPN集中器、以及用戶漫游支持能 力。網(wǎng)關的安全對你的無線網(wǎng)絡——甚至是接入點自己——的保護能力不應忽視。無線網(wǎng)關、接入點、以及網(wǎng)橋的大多數(shù)安全問題來源于不安全的設備管理實施,包 括使用Telnet、TFTP、默認的SNMP團體字符串和默認的密碼,以及允許從網(wǎng)絡無線側進行網(wǎng)關和接入點的遠程管理。確保每個設備的安全被適當?shù)膶?計,并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測系統(tǒng)相呼應使用無線專用入侵檢測系統(tǒng)。
企業(yè)通訊