保障安全 利用漏洞評(píng)估管理無線網(wǎng)風(fēng)險(xiǎn)
保障無線局域網(wǎng)有很多種方法,但是,到底哪種方法更適合于用戶所在的局域網(wǎng),局域網(wǎng)是否能夠完全有效地應(yīng)對(duì)802.11和802.1x攻擊,這些都需要根據(jù)無線局域網(wǎng)自身的情況,采取不同的方法。無線局域網(wǎng)應(yīng)用逐漸變得流行起來,但無線局域網(wǎng)的安全問題,卻一直是制約行業(yè)發(fā)展的因素之一,也是業(yè)內(nèi)人士爭(zhēng)論的焦點(diǎn)。本文將會(huì)為你介紹無線局域網(wǎng)漏洞以及如何消除這些潛在的威脅因素,還會(huì)為你闡述如何評(píng)估無線局域網(wǎng)漏洞并管理其風(fēng)險(xiǎn)。
802.11i的的完成和Wi-Fi產(chǎn)品的成熟,使得維護(hù)無線局域網(wǎng)所需要的工具已經(jīng)變得更加豐富起來,也有可供用戶檢測(cè)和應(yīng)對(duì)入侵行為的工具。但是,這些新增的部分安全功能,對(duì)于提供防護(hù)和滿足當(dāng)今企業(yè)無線局域網(wǎng)配置要求的全面安全解決方案來說,還遠(yuǎn)遠(yuǎn)不夠。如果出現(xiàn)802.11或者802.1x攻擊,你如何確定局域網(wǎng)能夠有效地應(yīng)對(duì)? 實(shí)踐證明,有效防御需要系統(tǒng)地查明和消除被黑客利用的漏洞,這些漏洞將會(huì)被用來入侵網(wǎng)絡(luò)從而損害用戶利益。
一、明確WLAN漏洞
所有的網(wǎng)絡(luò)都有漏洞,但在有線網(wǎng)絡(luò)中,物理性障礙可以限制訪問介質(zhì)來減少風(fēng)險(xiǎn)。以太網(wǎng)交換機(jī)未被使用的接口可以禁用,也可以設(shè)定具體的使用范圍和地理環(huán)境。但在無線網(wǎng)絡(luò)中,傳輸媒介在空中。墻壁、門戶、樓層都會(huì)降低信號(hào)強(qiáng)度,而攻擊者卻又可以從樓梯、大廳、停車場(chǎng)或者附件的建筑物內(nèi)發(fā)起攻擊。這些新的載體可以被用來查找802.11和802.1x固有的漏洞。
無法控制訪問
不法之徒會(huì)利用共享Stumbler工具和高增益天線發(fā)現(xiàn)無線局域網(wǎng)。入侵者會(huì)通過未經(jīng)認(rèn)證的“流氓”接入點(diǎn),進(jìn)入公司無線網(wǎng)絡(luò)。他們還會(huì)尋找能與任何其他設(shè)備相連的疏于管理的無線設(shè)備。一旦連接,入侵者就可以使用傳統(tǒng)的網(wǎng)絡(luò)攻擊探測(cè)客戶端、服務(wù)器并找到可利用的開放端口和服務(wù)進(jìn)程。
AP合理的設(shè)置可以減少射頻信號(hào)的泄露,但這并不能防止外人利用你的WLAN載體發(fā)送或者接收信號(hào)。
缺乏保密
入侵者發(fā)現(xiàn)你的WLAN很容易利用無線通信進(jìn)行監(jiān)聽。共享和收費(fèi)監(jiān)聽工具可以記錄數(shù)據(jù)包并提取無線傳播中的TCP/IP協(xié)議報(bào)頭、用戶名、密碼、電子郵件、文檔、語音通信等信息。為了防止竊聽,WLAN可以采用WEP協(xié)議、TKIP協(xié)議或者AES、CCMP協(xié)議對(duì)802.11數(shù)據(jù)幀進(jìn)行加密。
不過,這三種協(xié)議都容易被破解。入侵者通過分析捕捉到的數(shù)據(jù)包,可以猜測(cè)到WEP密鑰或者簡(jiǎn)短的TKIP/AES預(yù)共享密鑰PSKs,利用它們對(duì)802.11數(shù)據(jù)包進(jìn)行解密。而使用較長(zhǎng)的TKIP和AES,復(fù)雜的PSK和動(dòng)態(tài)會(huì)話密鑰,可以避免被破解。但是,802.11管理和控制幀仍然不能被加密,也不能像ESSID和MAC地址那樣具有報(bào)頭值。因此,重要的是了解攻擊者可以找到什么并評(píng)估他們帶來的種種損失。
未經(jīng)授權(quán)的網(wǎng)絡(luò)使用
WLAN訪問通過WEP密鑰控制——對(duì)用戶開放的一個(gè)十六進(jìn)制數(shù)值。而在使用TKIP、AES的網(wǎng)絡(luò)中,訪問則是通過PSK——對(duì)所有用戶開放的數(shù)字密碼。這些密鑰可以讓家庭或者小型辦公中的用戶擁有同樣的權(quán)限訪問WLAN。但外部人員一旦獲得這些密鑰,他們也將擁有同樣的權(quán)限進(jìn)入這些網(wǎng)絡(luò)。
大部分的情況是,人員更傾向于基于驗(yàn)證用戶身份,單獨(dú)對(duì)用戶授予WLAN訪問許可。為此,可以使用802.1X端口訪問控制配合TIKP或者AES來實(shí)現(xiàn)。802.1x帶有可擴(kuò)展身份驗(yàn)證協(xié)議(EAP),可以通過密碼、令牌或者數(shù)字證書來驗(yàn)證信息。動(dòng)態(tài)會(huì)話密鑰發(fā)送給指定用戶,而其他嘗試訪問的人則會(huì)被拒絕。不過,EAP也具有漏洞。比如,輕量級(jí)的EAP可以通過字典攻擊獲取用戶密碼。評(píng)估WLAN 802.1x/EAP漏洞,是讓你的網(wǎng)絡(luò)變得更加安全的一種明智之選。
偽造數(shù)據(jù)
所有的802.11數(shù)據(jù)包都含有一個(gè)循環(huán)冗余校驗(yàn)(CRC),以幫助接收者發(fā)現(xiàn)傳輸中是否出現(xiàn)問題,但是它并不能識(shí)別偽造數(shù)據(jù)幀。為了緩解這一問題,TKIP和AES使用順序和密碼信息驗(yàn)證,以檢測(cè)和丟棄重復(fù)或者注入的802.1x數(shù)據(jù)包。不過,檢測(cè)偽造802.11管理/控制或者802.1x/EAP 開始/注銷并沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。原始數(shù)據(jù)包注入工具可以在任何時(shí)候,被用來發(fā)送偽造數(shù)據(jù)包,發(fā)動(dòng)對(duì)WLAN的攻擊——特別是DoS攻擊。
拒絕服務(wù)
無繩電話、藍(lán)牙、微波爐、鄰近AP接入點(diǎn)等等,與你所在的網(wǎng)絡(luò),可能都會(huì)遭受拒絕服務(wù)攻擊。事實(shí)上,產(chǎn)生大量的偽造802.11或者802.1x數(shù)據(jù)包,會(huì)影響到WLAN的正常合法使用。DoS拒絕服務(wù)攻擊持續(xù)不段的數(shù)據(jù)傳輸會(huì)影響到其他數(shù)據(jù)的正常傳輸,利用成千上萬的假冒AP擠占無線傳輸帶寬,或者發(fā)送偽造認(rèn)證、EAP注銷幀等讓用戶不能連接網(wǎng)絡(luò)。 DoS攻擊也可以由無線設(shè)備癱瘓而導(dǎo)致。一個(gè)惡意的EAP身份反應(yīng)會(huì)破壞具有漏洞的AP。無線設(shè)備往往是新技術(shù)產(chǎn)品,它們需要強(qiáng)化應(yīng)對(duì)DoS攻擊和其他問題的能力。
脆弱的終端
隨著WLAN安全協(xié)議的改進(jìn),攻擊者開始更多的關(guān)注802.11終端。默認(rèn)情況下,很多客戶端設(shè)備都處于友好狀態(tài),它可以與任何其他設(shè)備互聯(lián),包括未知AP和Ad Hoc。這種混雜的行為會(huì)讓網(wǎng)絡(luò)和終端暴露出多種風(fēng)險(xiǎn),從文件共享給陌生人到公共和私人網(wǎng)絡(luò)之間的客戶端連接,都會(huì)出現(xiàn)多種安全威脅。
#p#
二、攻擊透視:風(fēng)險(xiǎn)分析
你可以使用風(fēng)險(xiǎn)分析促使安全政策的形成和執(zhí)行,從而保護(hù)WLAN免遭攻擊。正在使用的監(jiān)測(cè)和定期測(cè)試可以用來驗(yàn)證,WLAN部署是否合符規(guī)范要求。一旦發(fā)現(xiàn)漏洞,可以重新分析并對(duì)安全政策進(jìn)行修正和提煉一滿足實(shí)際需要。這樣一個(gè)循環(huán)反復(fù)的過程,可以用下圖進(jìn)行表示,以創(chuàng)建一個(gè)連續(xù)的、可衡量的有利于幫助WLAN風(fēng)險(xiǎn)管理的基礎(chǔ)模塊。
一個(gè)更實(shí)際的目標(biāo)就是降低風(fēng)險(xiǎn)到一個(gè)可接受的水平。通過驗(yàn)證WLAN漏洞來考慮風(fēng)險(xiǎn)事宜,可以減少攻擊者對(duì)網(wǎng)絡(luò)的不利影響。
風(fēng)險(xiǎn)分析,首先要根據(jù)業(yè)務(wù)需求來確定。說到底,安全并不僅僅是通過防堵入侵者來實(shí)現(xiàn)——它還需要讓合法用戶獲得授權(quán)服務(wù)。其次,量化無線傳輸所帶來的風(fēng)險(xiǎn)。列出無線網(wǎng)絡(luò)和上游有線網(wǎng)絡(luò)對(duì)資產(chǎn)可能造成的損失。那么,這些服務(wù)和數(shù)據(jù)庫需要包含哪些信息呢?我們需要考慮駐留在無線終端和流動(dòng)在無線鏈接中的數(shù)據(jù)——這也是一種需要保護(hù)的資產(chǎn)。對(duì)于每一項(xiàng)資產(chǎn),都要對(duì)遭受損害所帶來的成本支出進(jìn)行評(píng)估。而評(píng)估是可以通過具體的量化指標(biāo)來衡量的。 以上過程完成以后,你就建立起了一個(gè)資產(chǎn)風(fēng)險(xiǎn)優(yōu)先秩序名單。通過這份名單你可以制定出一份安全政策,然后選擇、安裝、配置執(zhí)行和落實(shí)安全政策。最后,測(cè)試WLAN驗(yàn)證政策的執(zhí)行結(jié)果,并確定其他潛在漏洞。#p#
三、進(jìn)行漏洞評(píng)估
漏洞評(píng)估是一個(gè)系統(tǒng)的評(píng)價(jià)體系,它需要使用滲透性測(cè)試以觀察可能會(huì)被利用的安全漏洞。評(píng)定結(jié)果要受到審查,以確定漏洞的嚴(yán)重級(jí)別和消除漏洞的方法和步驟。
為了更有效,評(píng)估需要反復(fù)進(jìn)行并最終確定。通常,在網(wǎng)絡(luò)升級(jí)或者安全政策發(fā)生變更的情況下,需要再次進(jìn)行評(píng)估,以防止隨著時(shí)間推移漏洞蔓延到整個(gè)無線網(wǎng)絡(luò)。
需要指出的是,所有的評(píng)估應(yīng)該獲得業(yè)主的同意,考慮到對(duì)網(wǎng)絡(luò)資源和業(yè)務(wù)活動(dòng)的潛在影響。下面,將談?wù)搶?duì)評(píng)估WLAN漏洞有所幫助的技術(shù)和工具,它們包括無線設(shè)備發(fā)現(xiàn)、滲透測(cè)試,以及安全事件監(jiān)測(cè)和頻譜分析等等。
使用便攜工具發(fā)現(xiàn)WLAN
任何漏洞的評(píng)估,第一步就是要確定無線設(shè)備。經(jīng)過授權(quán)的設(shè)備接受評(píng)估,而其他設(shè)備則要仔細(xì)檢查,以確定所有權(quán)和它對(duì)WLAN業(yè)務(wù)的影響和潛在威脅。當(dāng)規(guī)劃一個(gè)新的WLAN的時(shí)候,發(fā)現(xiàn)作為站點(diǎn)調(diào)查的一個(gè)組成部分,但風(fēng)險(xiǎn)分析所需要的信息則不限于此。
Wi-Fi Stumbler是一款免費(fèi)易用的軟件,適用于大多數(shù)操作系統(tǒng),也包括手持設(shè)備。不過,它的功能也有限,它只能發(fā)現(xiàn)AP,但不能發(fā)現(xiàn)監(jiān)測(cè)站和非802.11干擾源。一個(gè)完整的漏洞評(píng)估,需要一個(gè)便攜式無線網(wǎng)絡(luò)分析儀,使得所有射頻通道都可以得到掃描,所有無線設(shè)備的詳細(xì)信息都能收集。
使用滲透測(cè)試尋找漏洞
入侵者使用無線、TCP/IP和服務(wù)器攻擊工具來攻擊WLAN。你可以“以牙還牙”使用這些相同的工具,對(duì)所屬網(wǎng)絡(luò)的設(shè)備和WLAN基礎(chǔ)設(shè)施進(jìn)行滲透測(cè)試。利用模擬攻擊對(duì)WLAN進(jìn)行滲透測(cè)試,可以較為全面地發(fā)現(xiàn)各種漏洞,并幫助你了解漏洞所帶來的后果。
使用WIPS實(shí)時(shí)監(jiān)測(cè)
WLAN發(fā)現(xiàn)和測(cè)試發(fā)現(xiàn)漏洞,并不意味著這些漏洞會(huì)被利用。便攜式WLAN分析儀可以“抽查”某個(gè)位置上的實(shí)時(shí)動(dòng)態(tài)——事實(shí)上,測(cè)試過后運(yùn)行分析儀可以幫助模擬攻擊。但對(duì)于全天候監(jiān)測(cè)整個(gè)無線設(shè)備和實(shí)際用戶流量來說,應(yīng)該使用無線入侵防御系統(tǒng)( WIPS )。
使用無線分析器進(jìn)行調(diào)查
由WIPS提交的報(bào)告可以幫助進(jìn)行深入的調(diào)查。WLAN和頻譜分析儀在漏洞評(píng)估過程中發(fā)揮著重要的作用。而在測(cè)試結(jié)束后,遠(yuǎn)程(WIPS傳感器或者基于AP傳感器)分析儀可以幫助深入調(diào)查潛在漏洞。
【編輯推薦】
