保護無線LAN安全——保護網絡
服務拒絕
任何阻止授權用戶使用正當功能的事件都可以被認為是拒絕服務攻擊(DoS)。DoS攻擊可能發生在任何信息技術(IT)基礎結構內部,甚至是外部。用戶數據報協議(UDP)淹沒攻擊(針對于企業因特網連接)和RF干擾(針對企業WLAN)都屬于DoS攻擊類型。在本節中,DoS攻擊指的是阻止WLAN運作的攻擊(而非針對上層應用的DoS攻擊)。
WLAN的DoS攻擊是很容易發生的。事實上,在微波爐中重新加熱肉就可以不經意地阻礙WLAN的正常運作。802.11n所帶來的覆蓋范圍增大(相對于802.11g/a)同樣也可以無意地干擾到鄰近的WLAN。在5 GHz頻段部署802.11n有利于減少類似的無意DoS干涉,因為市場上幾乎很少有在這有一頻段上運行的產品。但是,入侵者可以在外圍設備中使用定向天線向WLAN發送RF能量來加載DoS攻擊。與能夠傳播到整個有線LAN的廣播風暴不同的是,無線DoS攻擊是局限于其直接攻擊的區域。
大量的WLAN DoS 攻擊弱點威脅著物理層(PHY)、連接進程和認證進程,如下所列:
802.11網絡很容易受到蓄意的RF信號的攻擊,它會擾亂數據包傳輸和網絡可用性。
802.11網絡很容易受到DoS攻擊,這種攻擊是使用多個偽MAC地址來發送大量的聯合請求幀到AP。
802.11網絡很容易受到EAPoL Start DoS攻擊,這種攻擊是向一個AP發送泛濫的EAPoL Start消息。
雖然發起DoS攻擊的路途有很多,但是很多企業都將DoS攻擊評估為很低的風險級別,或者直接忽略它的潛在風險。我們的建議是將無線DoS攻擊應對方案包含你的企業業務連續性計劃過程中。此外,有些企業可能希望通過分布在整個企業中的RF傳感器來部署針對DoS檢測的廣泛網絡監視。
網絡保護
網絡管理系統和無線基礎架構也都很容易受到攻擊。對網絡管理的攻擊包括AP、網絡控制器、交換機和網關的未授權網絡管理控制。
我們推薦以下的最佳方法:
修改默認SSID為一個特定名稱。
使用一個基于控制器的WLAN系統替代所有獨立的AP。WLAN系統能提供一個管理焦點并減少網絡上的攻擊點。
使用強密碼來提高對WLAN硬件訪問安全。定期修改密碼。
禁用無線AP和控制器的無線端管理訪問。
定期進行供應商的軟件升級,并快速提供補丁程序以便提高網絡安全性。
有些企業也許愿意執行以下的實踐方法:
使用加密的網絡管理安全協議,比如簡單網絡管理協議(SNMP) v3、Secure Shell(SSH)和SSL。禁用AP和控制器上的SNMP v1和v2。
將有線端的AP/控制器訪問限制在特定的IP地址、子網絡或VLAN。
更多信息
這篇文章是參考了Wireless Vulnerabilities and Exploits(WVE)網站。WVE提供了一個已知無線漏洞的數據庫,它類似于其他系統的漏洞目錄,比如Common Vulnerabilities and Exposures(CVE)和Open Source Vulnerability Database(OSVDB)。任何人都可以使用WVE數據庫和向其貢獻數據。
關于作者
Paul DeBeasi是Burton Group的高級分析師,它在網絡產業有著25年的工作經歷。在加入Burton Group之前,Paul 成立了一個無線咨詢公司ClearChoice Advisors,并且是無線交換器Legra系統產品市場副總裁。除了Legra的工作之外,他還是IPHighway和ONEX Communications公司的產品市場部副總裁,以及Cascade Communications的幀中繼產品線經理。Paul的網絡系統開發的職業生涯是始于Bell Laboratories,Prime Computer 和Chipcom Corp高級工程師。他擁有波士頓大學的系統工程師理科學士學位,康奈爾大學電子工程師碩士學位。Paul是一名知名的演講家,并且曾在許多活動中發表演講,其中包括Interop、Next Generation Networks、Wi-Fi Planet和Internet Telephony。
【編輯推薦】
