保障安全 利用漏洞評估管理無線網風險
保障無線局域網有很多種方法,但是,到底哪種方法更適合于用戶所在的局域網,局域網是否能夠完全有效地應對802.11和802.1x攻擊,這些都需要根據無線局域網自身的情況,采取不同的方法。無線局域網應用逐漸變得流行起來,但無線局域網的安全問題,卻一直是制約行業發展的因素之一,也是業內人士爭論的焦點。本文將會為你介紹無線局域網漏洞以及如何消除這些潛在的威脅因素,還會為你闡述如何評估無線局域網漏洞并管理其風險。
802.11i的的完成和Wi-Fi產品的成熟,使得維護無線局域網所需要的工具已經變得更加豐富起來,也有可供用戶檢測和應對入侵行為的工具。但是,這些新增的部分安全功能,對于提供防護和滿足當今企業無線局域網配置要求的全面安全解決方案來說,還遠遠不夠。如果出現802.11或者802.1x攻擊,你如何確定局域網能夠有效地應對? 實踐證明,有效防御需要系統地查明和消除被黑客利用的漏洞,這些漏洞將會被用來入侵網絡從而損害用戶利益。
一、明確WLAN漏洞
所有的網絡都有漏洞,但在有線網絡中,物理性障礙可以限制訪問介質來減少風險。以太網交換機未被使用的接口可以禁用,也可以設定具體的使用范圍和地理環境。但在無線網絡中,傳輸媒介在空中。墻壁、門戶、樓層都會降低信號強度,而攻擊者卻又可以從樓梯、大廳、停車場或者附件的建筑物內發起攻擊。這些新的載體可以被用來查找802.11和802.1x固有的漏洞。
無法控制訪問
不法之徒會利用共享Stumbler工具和高增益天線發現無線局域網。入侵者會通過未經認證的“流氓”接入點,進入公司無線網絡。他們還會尋找能與任何其他設備相連的疏于管理的無線設備。一旦連接,入侵者就可以使用傳統的網絡攻擊探測客戶端、服務器并找到可利用的開放端口和服務進程。
AP合理的設置可以減少射頻信號的泄露,但這并不能防止外人利用你的WLAN載體發送或者接收信號。
缺乏保密
入侵者發現你的WLAN很容易利用無線通信進行監聽。共享和收費監聽工具可以記錄數據包并提取無線傳播中的TCP/IP協議報頭、用戶名、密碼、電子郵件、文檔、語音通信等信息。為了防止竊聽,WLAN可以采用WEP協議、TKIP協議或者AES、CCMP協議對802.11數據幀進行加密。
不過,這三種協議都容易被破解。入侵者通過分析捕捉到的數據包,可以猜測到WEP密鑰或者簡短的TKIP/AES預共享密鑰PSKs,利用它們對802.11數據包進行解密。而使用較長的TKIP和AES,復雜的PSK和動態會話密鑰,可以避免被破解。但是,802.11管理和控制幀仍然不能被加密,也不能像ESSID和MAC地址那樣具有報頭值。因此,重要的是了解攻擊者可以找到什么并評估他們帶來的種種損失。
未經授權的網絡使用
WLAN訪問通過WEP密鑰控制——對用戶開放的一個十六進制數值。而在使用TKIP、AES的網絡中,訪問則是通過PSK——對所有用戶開放的數字密碼。這些密鑰可以讓家庭或者小型辦公中的用戶擁有同樣的權限訪問WLAN。但外部人員一旦獲得這些密鑰,他們也將擁有同樣的權限進入這些網絡。
大部分的情況是,人員更傾向于基于驗證用戶身份,單獨對用戶授予WLAN訪問許可。為此,可以使用802.1X端口訪問控制配合TIKP或者AES來實現。802.1x帶有可擴展身份驗證協議(EAP),可以通過密碼、令牌或者數字證書來驗證信息。動態會話密鑰發送給指定用戶,而其他嘗試訪問的人則會被拒絕。不過,EAP也具有漏洞。比如,輕量級的EAP可以通過字典攻擊獲取用戶密碼。評估WLAN 802.1x/EAP漏洞,是讓你的網絡變得更加安全的一種明智之選。
偽造數據
所有的802.11數據包都含有一個循環冗余校驗(CRC),以幫助接收者發現傳輸中是否出現問題,但是它并不能識別偽造數據幀。為了緩解這一問題,TKIP和AES使用順序和密碼信息驗證,以檢測和丟棄重復或者注入的802.1x數據包。不過,檢測偽造802.11管理/控制或者802.1x/EAP 開始/注銷并沒有一個統一的標準。原始數據包注入工具可以在任何時候,被用來發送偽造數據包,發動對WLAN的攻擊——特別是DoS攻擊。
拒絕服務
無繩電話、藍牙、微波爐、鄰近AP接入點等等,與你所在的網絡,可能都會遭受拒絕服務攻擊。事實上,產生大量的偽造802.11或者802.1x數據包,會影響到WLAN的正常合法使用。DoS拒絕服務攻擊持續不段的數據傳輸會影響到其他數據的正常傳輸,利用成千上萬的假冒AP擠占無線傳輸帶寬,或者發送偽造認證、EAP注銷幀等讓用戶不能連接網絡。 DoS攻擊也可以由無線設備癱瘓而導致。一個惡意的EAP身份反應會破壞具有漏洞的AP。無線設備往往是新技術產品,它們需要強化應對DoS攻擊和其他問題的能力。
脆弱的終端
隨著WLAN安全協議的改進,攻擊者開始更多的關注802.11終端。默認情況下,很多客戶端設備都處于友好狀態,它可以與任何其他設備互聯,包括未知AP和Ad Hoc。這種混雜的行為會讓網絡和終端暴露出多種風險,從文件共享給陌生人到公共和私人網絡之間的客戶端連接,都會出現多種安全威脅。
#p#
二、攻擊透視:風險分析
你可以使用風險分析促使安全政策的形成和執行,從而保護WLAN免遭攻擊。正在使用的監測和定期測試可以用來驗證,WLAN部署是否合符規范要求。一旦發現漏洞,可以重新分析并對安全政策進行修正和提煉一滿足實際需要。這樣一個循環反復的過程,可以用下圖進行表示,以創建一個連續的、可衡量的有利于幫助WLAN風險管理的基礎模塊。
一個更實際的目標就是降低風險到一個可接受的水平。通過驗證WLAN漏洞來考慮風險事宜,可以減少攻擊者對網絡的不利影響。
風險分析,首先要根據業務需求來確定。說到底,安全并不僅僅是通過防堵入侵者來實現——它還需要讓合法用戶獲得授權服務。其次,量化無線傳輸所帶來的風險。列出無線網絡和上游有線網絡對資產可能造成的損失。那么,這些服務和數據庫需要包含哪些信息呢?我們需要考慮駐留在無線終端和流動在無線鏈接中的數據——這也是一種需要保護的資產。對于每一項資產,都要對遭受損害所帶來的成本支出進行評估。而評估是可以通過具體的量化指標來衡量的。 以上過程完成以后,你就建立起了一個資產風險優先秩序名單。通過這份名單你可以制定出一份安全政策,然后選擇、安裝、配置執行和落實安全政策。最后,測試WLAN驗證政策的執行結果,并確定其他潛在漏洞。#p#
三、進行漏洞評估
漏洞評估是一個系統的評價體系,它需要使用滲透性測試以觀察可能會被利用的安全漏洞。評定結果要受到審查,以確定漏洞的嚴重級別和消除漏洞的方法和步驟。
為了更有效,評估需要反復進行并最終確定。通常,在網絡升級或者安全政策發生變更的情況下,需要再次進行評估,以防止隨著時間推移漏洞蔓延到整個無線網絡。
需要指出的是,所有的評估應該獲得業主的同意,考慮到對網絡資源和業務活動的潛在影響。下面,將談論對評估WLAN漏洞有所幫助的技術和工具,它們包括無線設備發現、滲透測試,以及安全事件監測和頻譜分析等等。
使用便攜工具發現WLAN
任何漏洞的評估,第一步就是要確定無線設備。經過授權的設備接受評估,而其他設備則要仔細檢查,以確定所有權和它對WLAN業務的影響和潛在威脅。當規劃一個新的WLAN的時候,發現作為站點調查的一個組成部分,但風險分析所需要的信息則不限于此。
Wi-Fi Stumbler是一款免費易用的軟件,適用于大多數操作系統,也包括手持設備。不過,它的功能也有限,它只能發現AP,但不能發現監測站和非802.11干擾源。一個完整的漏洞評估,需要一個便攜式無線網絡分析儀,使得所有射頻通道都可以得到掃描,所有無線設備的詳細信息都能收集。
使用滲透測試尋找漏洞
入侵者使用無線、TCP/IP和服務器攻擊工具來攻擊WLAN。你可以“以牙還牙”使用這些相同的工具,對所屬網絡的設備和WLAN基礎設施進行滲透測試。利用模擬攻擊對WLAN進行滲透測試,可以較為全面地發現各種漏洞,并幫助你了解漏洞所帶來的后果。
使用WIPS實時監測
WLAN發現和測試發現漏洞,并不意味著這些漏洞會被利用。便攜式WLAN分析儀可以“抽查”某個位置上的實時動態——事實上,測試過后運行分析儀可以幫助模擬攻擊。但對于全天候監測整個無線設備和實際用戶流量來說,應該使用無線入侵防御系統( WIPS )。
使用無線分析器進行調查
由WIPS提交的報告可以幫助進行深入的調查。WLAN和頻譜分析儀在漏洞評估過程中發揮著重要的作用。而在測試結束后,遠程(WIPS傳感器或者基于AP傳感器)分析儀可以幫助深入調查潛在漏洞。
【編輯推薦】
