保護無線LAN安全——保護網(wǎng)絡
服務拒絕
任何阻止授權(quán)用戶使用正當功能的事件都可以被認為是拒絕服務攻擊(DoS)。DoS攻擊可能發(fā)生在任何信息技術(shù)(IT)基礎(chǔ)結(jié)構(gòu)內(nèi)部,甚至是外部。用戶數(shù)據(jù)報協(xié)議(UDP)淹沒攻擊(針對于企業(yè)因特網(wǎng)連接)和RF干擾(針對企業(yè)WLAN)都屬于DoS攻擊類型。在本節(jié)中,DoS攻擊指的是阻止WLAN運作的攻擊(而非針對上層應用的DoS攻擊)。
WLAN的DoS攻擊是很容易發(fā)生的。事實上,在微波爐中重新加熱肉就可以不經(jīng)意地阻礙WLAN的正常運作。802.11n所帶來的覆蓋范圍增大(相對于802.11g/a)同樣也可以無意地干擾到鄰近的WLAN。在5 GHz頻段部署802.11n有利于減少類似的無意DoS干涉,因為市場上幾乎很少有在這有一頻段上運行的產(chǎn)品。但是,入侵者可以在外圍設(shè)備中使用定向天線向WLAN發(fā)送RF能量來加載DoS攻擊。與能夠傳播到整個有線LAN的廣播風暴不同的是,無線DoS攻擊是局限于其直接攻擊的區(qū)域。
大量的WLAN DoS 攻擊弱點威脅著物理層(PHY)、連接進程和認證進程,如下所列:
802.11網(wǎng)絡很容易受到蓄意的RF信號的攻擊,它會擾亂數(shù)據(jù)包傳輸和網(wǎng)絡可用性。
802.11網(wǎng)絡很容易受到DoS攻擊,這種攻擊是使用多個偽MAC地址來發(fā)送大量的聯(lián)合請求幀到AP。
802.11網(wǎng)絡很容易受到EAPoL Start DoS攻擊,這種攻擊是向一個AP發(fā)送泛濫的EAPoL Start消息。
雖然發(fā)起DoS攻擊的路途有很多,但是很多企業(yè)都將DoS攻擊評估為很低的風險級別,或者直接忽略它的潛在風險。我們的建議是將無線DoS攻擊應對方案包含你的企業(yè)業(yè)務連續(xù)性計劃過程中。此外,有些企業(yè)可能希望通過分布在整個企業(yè)中的RF傳感器來部署針對DoS檢測的廣泛網(wǎng)絡監(jiān)視。
網(wǎng)絡保護
網(wǎng)絡管理系統(tǒng)和無線基礎(chǔ)架構(gòu)也都很容易受到攻擊。對網(wǎng)絡管理的攻擊包括AP、網(wǎng)絡控制器、交換機和網(wǎng)關(guān)的未授權(quán)網(wǎng)絡管理控制。
我們推薦以下的最佳方法:
修改默認SSID為一個特定名稱。
使用一個基于控制器的WLAN系統(tǒng)替代所有獨立的AP。WLAN系統(tǒng)能提供一個管理焦點并減少網(wǎng)絡上的攻擊點。
使用強密碼來提高對WLAN硬件訪問安全。定期修改密碼。
禁用無線AP和控制器的無線端管理訪問。
定期進行供應商的軟件升級,并快速提供補丁程序以便提高網(wǎng)絡安全性。
有些企業(yè)也許愿意執(zhí)行以下的實踐方法:
使用加密的網(wǎng)絡管理安全協(xié)議,比如簡單網(wǎng)絡管理協(xié)議(SNMP) v3、Secure Shell(SSH)和SSL。禁用AP和控制器上的SNMP v1和v2。
將有線端的AP/控制器訪問限制在特定的IP地址、子網(wǎng)絡或VLAN。
更多信息
這篇文章是參考了Wireless Vulnerabilities and Exploits(WVE)網(wǎng)站。WVE提供了一個已知無線漏洞的數(shù)據(jù)庫,它類似于其他系統(tǒng)的漏洞目錄,比如Common Vulnerabilities and Exposures(CVE)和Open Source Vulnerability Database(OSVDB)。任何人都可以使用WVE數(shù)據(jù)庫和向其貢獻數(shù)據(jù)。
關(guān)于作者
Paul DeBeasi是Burton Group的高級分析師,它在網(wǎng)絡產(chǎn)業(yè)有著25年的工作經(jīng)歷。在加入Burton Group之前,Paul 成立了一個無線咨詢公司ClearChoice Advisors,并且是無線交換器Legra系統(tǒng)產(chǎn)品市場副總裁。除了Legra的工作之外,他還是IPHighway和ONEX Communications公司的產(chǎn)品市場部副總裁,以及Cascade Communications的幀中繼產(chǎn)品線經(jīng)理。Paul的網(wǎng)絡系統(tǒng)開發(fā)的職業(yè)生涯是始于Bell Laboratories,Prime Computer 和Chipcom Corp高級工程師。他擁有波士頓大學的系統(tǒng)工程師理科學士學位,康奈爾大學電子工程師碩士學位。Paul是一名知名的演講家,并且曾在許多活動中發(fā)表演講,其中包括Interop、Next Generation Networks、Wi-Fi Planet和Internet Telephony。
【編輯推薦】
