WLAN安全五步曲

申請免費試用、咨詢電話：400-8352-114

802.11無線局域網（WLAN）在移動性和生產力方面具有優(yōu)點，但不一定意味著就要以犧牲信息系統(tǒng)的安全為代價。盡管WLAN存在的陷阱讓一些企業(yè)放棄了對WLAN的使用，但還有更多的同樣關注安全的企業(yè)還是放心地部署了安全的WLAN，他們的辦法就是實施下列切合實際的步驟，以保護信息資產、識別漏洞、保護網絡免受專門針對無線的攻擊。

第一步：發(fā)現(xiàn)及緩解非法WLAN和漏洞

歸根到底，確保WLAN安全首先要了解WLAN所運行的環(huán)境。未授權的"非法"WLAN--包括接入點、軟接入點（充當接入點的便攜式電腦）、用戶站、無線條形碼掃描器和打印機――是企業(yè)網絡安全面臨的最大威脅之一，因為它們給入侵者敞開了一個避開了所有現(xiàn)有安全措施的入口點。

因為只要把價格低廉的接入點連接到有線網絡、把WLAN卡插入到便攜式電腦上，就很容易安裝簡單的WLAN，所以員工們會趁IT部門遲遲不愿采用或者甚至反對新技術之際，擅自部署未授權的WLAN。這些非法的接入點通常缺乏標準安全，因而會避開企業(yè)投資搭建的網絡安全機制。

便攜式電腦等不安全的無線用戶站對企業(yè)網絡安全構成的危險甚至比非法接入點還大。默認配置的這些設備提供不了多少安全，很容易出現(xiàn)配置不當。入侵者可以利用任何不安全的無線用戶站作為一塊跳板、闖入網絡。

同樣的不安全因素來自配置不當?shù)腤LAN所引起的網絡漏洞。與WLAN建在同一個地方的鄰近WLAN也會帶來這些風險：鄰近工作站訪問網絡、干擾無線信道。免費軟件如NetStumbler和 Kismet及其他商用掃描器可以掃描無線電波，尋找非法接入點和某些網絡漏洞。這個頗費時間的過程需要網絡管理員親自到WLAN覆蓋區(qū)域走一趟，尋找無線數(shù)據(jù)，但效果不大，因為它只是對無線電波采樣掃描，尋找現(xiàn)有威脅。

新的非法接入點及其他漏洞可能會在掃描過后出現(xiàn)，等到下一次網絡管理員掃描網絡時，才會被發(fā)現(xiàn)。Gartner公司的無線安全權威：John Girard曾在歐洲召開的一次安全大會上聲稱，要查找安全隱患，最簡單的辦法就是購買手持式"嗅探器"，然后巡視本組織網絡的邊界。

據(jù)無線安全專家聲稱，要發(fā)現(xiàn)非法接入點、用戶站和漏洞，最好是全天候不間斷地監(jiān)控WLAN。不斷監(jiān)控可以實時發(fā)現(xiàn)：非法接入點何時在何處首次出現(xiàn)、連接到哪個用戶、交換了多少數(shù)據(jù)、流量傳輸方向。Girard進一步說，最安全的辦法就是另外安裝一套無線入侵檢測傳感器。

第二步：牢牢控制所有接入點和設備

WLAN安全的下一步涉及對WLAN實行邊界控制。應當部署個人代理軟件，以便向企業(yè)和用戶報告所有安全漏洞、執(zhí)行企業(yè)安全政策，從而保護每臺配備無線功能的便攜式電腦的安全。組織應當部署提供高級安全和管理功能的企業(yè)級接入點。

企業(yè)應當更改默認的服務集標識符（SSID）。SSID實際上就是每個接入點的名字。思科接入點的默認SSID是tsunami；Linksys接入點的默認SSID是linksys；而英特爾和Symbol接入點的默認SSID是101。這些默認的SSID無異于把易受攻擊的WLAN匯報給了黑客。應當把SSID改成對外人來說毫無意義的名字。名字平常的SSID只會叫黑客注意他們想要闖入的寶貴信息。

企業(yè)還應當配置接入點，禁用廣播模式。在廣播模式下，接入點會不斷廣播其SSID，作為搜尋哪些用戶站與之相連的信標。如果關閉了這項默認特性，用戶站必須知道SSID，才能連接到接入點。

大多數(shù)企業(yè)級接入點可以讓你根據(jù)對授權用戶站的媒體訪問控制（MAC）地址進行過濾，以此限制哪些用戶站可以連接到接入點。盡管MAC地址過濾并非萬無一失，但這種方法對哪些用戶站可以連接到網絡提供了基本的控制功能。有些規(guī)模較大的企業(yè)所組建的比較復雜的WLAN允許上百個用戶站在接入點之間進行漫游，這時它們可能需要遠程驗證撥入用戶服務（RADIUS）服務器提供更復雜的過濾功能。

為了消除這種威脅：入侵者從連接速度大大降低的停車場或者樓上連接到你的WLAN，應當對接入點進行配置，禁止比較低的連接速度。

第三步：加密和驗證――VPN

加密和驗證為WLAN提供了基本安全。不過，目前無懈可擊的加密和驗證標準還沒有出臺。2001年，研究人員和黑客向世人展示他們能夠破譯802.11 WLAN的標準加密方法：有線對等保密（WEP）。沒過多久，黑客就發(fā)布了WEPCrack這些免費軟件工具，這樣誰都可以用這些工具破譯這種加密方法，只要觀察網絡上足夠數(shù)量的流量，就能弄明白加密密鑰。

報告表明WEP及標準驗證存在漏洞之后，許多企業(yè)心灰意冷，不敢把WEP添加到部署的WLAN當中。這樣一來，它們的網絡就完全暴露無遺。因為這些加密和驗證標準容易受到攻擊，所以應當部署更牢固的加密和驗證方法，利用無線虛擬專用網（VPN）和RADIUS服務器更加全面地保護WLAN的安全。VPN可以在接入點和網絡之間采用強驗證和強加密機制；而RADIUS系統(tǒng)可以用來管理驗證、記賬及對網絡資源的訪問。

雖然VPN被譽為是WLAN的安全解決方案，但單向驗證的VPN仍很容易被人鉆空子。部署在大組織的WLAN會帶來重大難題：需要把客戶軟件分發(fā)到所有客戶機，并加以維護。單向驗證的VPN也容易受到中間人攻擊（man-in-the-middle attack）及其他諸多的已知攻擊。雙向驗證的無線VPN可以提供強驗證，克服WEP的缺陷。
盡管存在上述漏洞，但加密和驗證仍是確保WLAN安全的必備要素。

第四步：制定及執(zhí)行WLAN政策

每個企業(yè)網絡都要有使用和安全方面的政策，WLAN同樣如此。雖然由于每個WLAN的安全和管理需求各不相同，政策也會隨之不同，但全面的政策（以及政策執(zhí)行）可以保護企業(yè)避免不必要的安全漏洞和性能衰退。

制訂WLAN政策應當從基本面入手：禁止未授權的接入點和特定網絡，因為它們會避開網絡安全。由于許多安全特性是在接入點和用戶站上實現(xiàn)控制的，譬如啟用WEP或者VPN、SSID的廣播功能，所以相關政策要落實到位，禁止對接入點和WLAN卡重新配置，以免這些特性被更改。

如果制訂政策限制WLAN流量在指定信道上傳輸、連接速度為5.5Mbps和11Mbps、只可以在規(guī)定時間段訪問，就可以大大提高WLAN的安全。如果為每個接入點建立一個指定信道，其他信道上的所有流量就會被認為是可疑活動。

制訂政策規(guī)定所有用戶站都以較高速度進行連接，這可以保護WLAN，那樣在停車場或者鄰近辦公室的入侵者可能因為距離太遠，連接速度達不到5.5Mbps和11Mbps。如果制訂政策，把WLAN流量限制在特定的工作時間段，就可以保護WLAN，避免入侵者在停車場連接到網絡后，發(fā)動深夜攻擊，或者避免肆無忌憚的員工趁周圍沒人之機把敏感文件從有線網絡發(fā)送到無線網絡。

雖然政策不可或缺，但如果不加以執(zhí)行，就成了一紙空文。就像前面講到的有效發(fā)現(xiàn)網絡漏洞那樣，政策執(zhí)行也需要全天候不間斷地監(jiān)控WLAN。

第五步：入侵檢測和防護

安全管理人員依靠入侵檢測和入侵防護來確保：WLAN的所有部分都是安全的；免受無線威脅和攻擊。雖然許多組織已經為有線網絡部署了入侵檢測系統(tǒng)（IDS），但只有專門針對WLAN的IDS才能保護你的網絡，在流量到達有線網絡之前，防御無線攻擊。

最先進的無線IDS包括實時監(jiān)控802.11a/b/g協(xié)議的功能。通過不斷監(jiān)控所有WLAN的攻擊特征、協(xié)議分析、統(tǒng)計異常和政策違反現(xiàn)象，組織就能夠查出針對WLAN的攻擊，包括MAC欺騙引起的身份失竊、中間人攻擊和拒絕服務攻擊；以及非工作時間的異?；顒踊蛘呦螺d大容量文件引起的異常流量。

來源：CCW