有声读物,大主宰天蚕土豆小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

諜影重重之無線局域網(wǎng)的反間諜戰(zhàn)

【.com獨(dú)家特稿】無線局域網(wǎng)（WLAN）的興起給所有企業(yè)帶來的好處是顯而易見的，它不僅讓企業(yè)能夠在需要應(yīng)用IT網(wǎng)絡(luò)的位置更加容易地部署出一個(gè)無線局域網(wǎng)，而且其不需要線纜的特性，又為企業(yè)節(jié)約了大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施購(gòu)買和部署成本。但是，無線局域網(wǎng)同樣有著與有線局域網(wǎng)相似的各種安全威脅，并且，由于其無線的特性，使得它比有線局域網(wǎng)存在更多易于攻擊的弱點(diǎn)，例如非法無線訪問設(shè)備帶來的安全威脅就是無線局域特有的安全威脅之一。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供常寧網(wǎng)站建設(shè)、常寧做網(wǎng)站、常寧網(wǎng)站設(shè)計(jì)、常寧網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、常寧企業(yè)網(wǎng)站模板建站服務(wù)，10多年常寧做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

現(xiàn)在具有WIFI無線功能的設(shè)備種類越來越多，它們的大小和重量也越來越輕便。因此，非法的無線訪問設(shè)備有可能是一臺(tái)使用了無線嗅探軟件和密碼破解軟件的筆記本電腦，也可能是一臺(tái)具有WIFI功能的PDA或智能手機(jī)，甚至是一臺(tái)具有WIFI功能的PSP游戲機(jī)，更不要說由企業(yè)內(nèi)部員工或黑客安插在無線局域網(wǎng)內(nèi)部的非法無線AP了。因此，只要是非授權(quán)的無線訪問設(shè)備都可以稱之為非法無線訪問設(shè)備。

正是由于這些無線訪問設(shè)備的便攜性，從而使得它們能夠像間諜一樣悄無聲息地潛伏在企業(yè)部署的局域網(wǎng)周圍或內(nèi)部。通過監(jiān)聽無線局域網(wǎng)發(fā)送出來的無線電波中的各種信息，來獲得無線局域網(wǎng)中傳輸?shù)臋C(jī)密信息。或者通過無線局域網(wǎng)入侵到企業(yè)局域網(wǎng)內(nèi)部，以得到更多他們想要的機(jī)密信息。

那么，作為一個(gè)網(wǎng)絡(luò)管理員或安全工程師，我們?cè)撊绾巫霾拍軝z測(cè)和防御那些隨時(shí)都想接入企業(yè)無線局域網(wǎng)中的非法無線訪問設(shè)備，打贏這場(chǎng)無線局域網(wǎng)中的反間諜戰(zhàn)呢？

就目前來說，大多數(shù)成功部署非法無線訪問設(shè)備檢測(cè)和防御解決方案的企業(yè)，都是使用下列所示的這些技術(shù)和工具來解決的：

1、應(yīng)用無線網(wǎng)絡(luò)嗅探技術(shù)來進(jìn)行協(xié)議分析和追蹤；

2、應(yīng)用無線入侵檢測(cè)/防御系統(tǒng)（WIDS/IPS），然后在無線局域網(wǎng)的工作站或AP中安裝傳感器的方式來檢測(cè)非法無線訪問設(shè)備。但是，它并不能檢測(cè)到被動(dòng)式無線嗅探攻擊和接入請(qǐng)求，以及內(nèi)部人員主動(dòng)外部無線訪問點(diǎn)的方式；

3、使用手持式無線設(shè)備檢測(cè)工具。一些手持式現(xiàn)場(chǎng)無線檢測(cè)工具可以用來檢測(cè)接收的無線信號(hào)的強(qiáng)度和噪聲，并且可以很靈活地對(duì)整個(gè)需要覆蓋的無線信號(hào)區(qū)域都進(jìn)行檢測(cè)，還可以用來檢測(cè)無線信號(hào)實(shí)際的邊界位置；

4、通過進(jìn)行現(xiàn)場(chǎng)調(diào)查（site survey）、MAC地址列表檢查和噪音檢測(cè)（noise checking）等方式來檢測(cè)非法無線訪問設(shè)備。

在實(shí)際應(yīng)用當(dāng)中，為了能夠達(dá)到最好的檢測(cè)效果，通常將上述4種方式全部結(jié)合起來使用。因此，在本文的下面，雪源梅香將給大家展示一個(gè)三層立體式檢測(cè)和防御非法無線訪問設(shè)備的方案，以及部署它應(yīng)當(dāng)遵從的步驟。

第一步：全面了解我們的無線局域網(wǎng)

了解無線局域網(wǎng)的目的就是為了知道當(dāng)前無線局域網(wǎng)中有哪些無線設(shè)備，以及企業(yè)周圍存在哪些相鄰的無線局域網(wǎng)和無線訪問設(shè)備等信息。

我們最好能夠?qū)Ξ?dāng)前無線局域網(wǎng)中所有的無線訪問設(shè)備和AP都做一個(gè)詳細(xì)的調(diào)查，然后將與這些無線設(shè)備相關(guān)的屬性全部記錄到無線設(shè)備清單當(dāng)中。這些需要記錄的無線設(shè)備屬性包括：每臺(tái)設(shè)備及無線網(wǎng)卡使用的MAC地址及當(dāng)前的分配的IP地址、AP和無線網(wǎng)卡使用的SSID號(hào)，以及AP的供應(yīng)商、AP的類型和AP及無線網(wǎng)卡使用的信道等信息。

對(duì)無線局域網(wǎng)中已知無線訪問設(shè)備及AP的屬性進(jìn)行完整記錄目的，就是用它們來作為后面區(qū)分非法無線訪問設(shè)備的依據(jù)。

另外，以后在無線局域網(wǎng)的運(yùn)營(yíng)過程中，如果需要添加新的無線訪問設(shè)備，那么，我們還必需將新加入的設(shè)備屬性加入到這張表格當(dāng)中。下面表1就是一張無線訪問設(shè)備及AP屬性的表格樣式。

表1 無線訪問設(shè)備及AP清單表樣式

同時(shí)，我們還必需將這些找到的不可信任的無線設(shè)備建立一個(gè)檔案，記錄下這些無線設(shè)備的MAC地址、ESSID號(hào)、信道、信號(hào)噪聲比（SNR）和大約的位置等信息。這樣有利于在后面的非法無線設(shè)備檢測(cè)過程中用來識(shí)別檢測(cè)到的無線設(shè)備是否為非法無線設(shè)備。使用的表格樣式也可與上述表1相同。

完成企業(yè)當(dāng)前無線局域網(wǎng)及周邊其它無線訪問設(shè)備的登記工作后，最好能夠?qū)⑦@些無線訪問設(shè)備在企業(yè)無線局域網(wǎng)中所在的位置，用一張平面圖將它們標(biāo)示出來，以便以后在檢測(cè)非法無線訪問設(shè)備時(shí)，知道他們所在的具體位置。圖1就是一個(gè)無線設(shè)備分布圖樣。

圖1 無線局域網(wǎng)中無線設(shè)備分布圖樣

#p#

第二步：部署檢測(cè)和防御非法無線訪問設(shè)備的解決方案

在本文的前面，我就提到檢測(cè)和防御非法無線訪問設(shè)備的最好解決方法，就是充分結(jié)合上面提到的目前4種主要解決方法，來部署一個(gè)混合式的三層立體式解決方案。如圖2所示就是一個(gè)三層立體式檢測(cè)和防御非法無線訪問設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D。

圖2 三層立體式檢測(cè)和防御非法無線訪問設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D

在圖2所示的這個(gè)三層立體式檢測(cè)和防御非法無線訪問設(shè)備的解決方案中，我們將整個(gè)檢測(cè)和防御體系分為控制層、服務(wù)層和傳感器層。

在傳感器層，可以將無線信號(hào)探測(cè)器安裝到工作站中，也可以使用與AP集成的傳感器。但是，不管使用哪種方式，都必需能夠監(jiān)控到所有的可疑活動(dòng)，其中包括非法無線訪問設(shè)備的接入。所有檢測(cè)到的信號(hào)通過無線網(wǎng)絡(luò)傳送到服務(wù)層，由安裝在服務(wù)層的WIDS/IPS進(jìn)行處理。

服務(wù)層就是安裝有WIDS/IPS的服務(wù)器，它在接收到來自各傳感器發(fā)送過來的檢測(cè)信息后，能夠及時(shí)對(duì)這些信息進(jìn)行相應(yīng)的處理。一旦發(fā)現(xiàn)網(wǎng)絡(luò)中或周邊位置存在新非法無線訪問設(shè)備，WIDS/IPS就會(huì)發(fā)送相關(guān)安全警報(bào)給控制層的管理員，再由管理員做最后的響應(yīng)，或者由WIPS進(jìn)行自動(dòng)防御。

為了能夠產(chǎn)生非法無線訪問設(shè)備的警報(bào)，WIDS/IPS通常是使用ACL（訪問控制列表）來進(jìn)行控制。ACL主要是通過無線訪問設(shè)備的MAC地址、配置名和最近使用的IP地址來識(shí)別和發(fā)現(xiàn)它們的。

有時(shí)，我們不想對(duì)鄰近企業(yè)的無線訪問設(shè)備都產(chǎn)生警報(bào)，這樣會(huì)增加我們的工作量，也容易產(chǎn)生誤報(bào)和漏報(bào)。我們只是需要了解這些無線訪問設(shè)備是否曾經(jīng)訪問過我們的網(wǎng)絡(luò)。那么，我們可以這樣設(shè)置WIDS/IPS，讓它對(duì)已知的鄰近AP不產(chǎn)生報(bào)警，但是當(dāng)發(fā)現(xiàn)它們?cè)噲D連入企業(yè)無線局域網(wǎng)時(shí)應(yīng)當(dāng)及時(shí)發(fā)出警報(bào)。

對(duì)于無線信號(hào)傳感器不能檢測(cè)到的位置，我們就可以通過手持式無線信號(hào)分析設(shè)備來達(dá)到目的，例如，我們可以使用手持式無線信號(hào)分析設(shè)備對(duì)企業(yè)無線局域網(wǎng)周邊和各個(gè)死角進(jìn)行移動(dòng)式檢測(cè)，以發(fā)現(xiàn)可漏掉的非法無線訪問設(shè)備。

所有的這些都可以由一臺(tái)網(wǎng)絡(luò)管理系統(tǒng)來控制，它完成對(duì)WID/IPS服務(wù)器的管理、配置等操作，而且，WIDS/IPS服務(wù)器產(chǎn)生的警報(bào)也會(huì)直接發(fā)送到后臺(tái)管理員控制臺(tái)中，并由管理員進(jìn)行及時(shí)的事件響應(yīng)。#p#

第三步，定位和清除非法無線訪問設(shè)備

由于非法無線訪問設(shè)備的位置往往是不固定的，它有可能隨時(shí)都變換位置，如果我們不能立即定位非法設(shè)備的具體位置，那么，就算我們知道企業(yè)無線局域網(wǎng)正面臨這些“間諜”的侵?jǐn)_，但是卻不知道這些非法無線訪問設(shè)備從什么位置接入企業(yè)無線局域網(wǎng)的。

我們當(dāng)然不能只停留在知道企業(yè)無線局域網(wǎng)中是否存在非法無線訪問設(shè)備這個(gè)階段，部署檢測(cè)和防御非法無線訪問設(shè)備解決方案的最終目的就是要能夠定位和清除它們。

要完成非法無線訪問設(shè)備的定位任務(wù)，當(dāng)然也需要使用相應(yīng)的工具和技巧來進(jìn)行。通常，一些網(wǎng)絡(luò)管理員和安全工程師都使用以下3種主要的方式：

其一就是利用信號(hào)強(qiáng)度來估計(jì)非法無線訪問設(shè)備與最近無線AP的距離。如果安裝有無線信號(hào)傳感器的AP檢測(cè)到與它進(jìn)行連接的非法無線訪問設(shè)備的信號(hào)很強(qiáng)，那么兩者距離應(yīng)該很近，可能就在同一樓層、樓上樓下或離房間很近的外部等位置。但是，這種通過無線信號(hào)強(qiáng)度進(jìn)行估計(jì)的方式還需要大量的人工參與，而且，由于由于非法無線訪問設(shè)備可能先入侵與企業(yè)相鄰的一個(gè)無線局域網(wǎng)，然后再通過這個(gè)無線局域網(wǎng)對(duì)企業(yè)進(jìn)行入侵，此時(shí)，再使用這種方式就不會(huì)太準(zhǔn)確。

其二就是利用多個(gè)傳感器來進(jìn)行多角度定位。當(dāng)多個(gè)傳感器彼此相鄰時(shí)，它們的無線信號(hào)半徑肯定有一個(gè)交集。那么，如果這些彼此相鄰的傳感器都檢測(cè)到了同一個(gè)非法無線訪問設(shè)備，這就是說這臺(tái)非法無線訪問設(shè)備位于這些傳感器的信號(hào)交集位置。這樣一來，我們很容易就知道這臺(tái)非法無線訪問設(shè)備的具體位置了。

對(duì)于這種非法無線訪問設(shè)備的定位方式，使用的傳感器個(gè)數(shù)肯定是越多越好，但是，在實(shí)際的無線局域網(wǎng)環(huán)境，是不可能在很小的范圍內(nèi)存在多臺(tái)AP或安裝有無線傳感器的訪問點(diǎn)的。不過，如果一個(gè)范圍內(nèi)有3 臺(tái)及以上信號(hào)可以重疊的傳感器，那么，就可以對(duì)它們信號(hào)重疊范圍內(nèi)的所有非法無線訪問設(shè)備進(jìn)行精確定位了。下圖3所示就是一個(gè)利用4個(gè)相鄰傳感器進(jìn)行非法無線訪問設(shè)備定位的原理圖。

圖3 利用4個(gè)相鄰傳感器進(jìn)行定位的原理圖

其三就是利用無線網(wǎng)絡(luò)監(jiān)控軟件或流量分析軟件來找出非法無線訪問設(shè)備的具體位置。無線網(wǎng)絡(luò)監(jiān)控軟件可以實(shí)時(shí)監(jiān)控?zé)o線網(wǎng)絡(luò)中的活動(dòng)連接，通過發(fā)現(xiàn)多余的求知連接，就可以知道非法無線訪問設(shè)備連接到了企業(yè)無線局域網(wǎng)中的哪個(gè)AP當(dāng)中，或者與企業(yè)無線局域中的哪臺(tái)無線訪問設(shè)備進(jìn)行了點(diǎn)對(duì)點(diǎn)的連接。由于無線信號(hào)的范圍范圍是一定的，只要我們?cè)诎l(fā)現(xiàn)非法無線訪問設(shè)備的AP附近進(jìn)行排查，就能夠找到它們。另外，一些無線網(wǎng)絡(luò)嗅探器，例如Netstumbler，可以通過分析發(fā)送到非法無線訪問設(shè)備的數(shù)據(jù)包，來確定它在企業(yè)無線局域網(wǎng)的什么位置。

當(dāng)確定非法無線訪問設(shè)備的具體位置后，我們接下來要做的就是將它們從企業(yè)無線局域網(wǎng)中清除出去，以防止它們帶來更大的安全風(fēng)險(xiǎn)。

清除非法無線訪問設(shè)備的最好方式當(dāng)然是直接將它們從無線局域網(wǎng)中拔除，或者還可以追究攻擊者的法律責(zé)任。例如，如果發(fā)現(xiàn)的非法無線訪問設(shè)備是一個(gè)惡意的非法無線訪問設(shè)備，那么就必需立即清除它，并且在防火墻中添加新的規(guī)則來阻止它的連入。如果無線局域網(wǎng)中使用了WIPS（無線入侵防御系統(tǒng)），那么，它就會(huì)自動(dòng)產(chǎn)生對(duì)這些惡意無線訪問設(shè)備的阻止規(guī)則，并同時(shí)向后臺(tái)管理員發(fā)送攔截警報(bào)。

但是，如果發(fā)現(xiàn)的非法無線訪問設(shè)備只是一個(gè)非惡意的鄰居無線AP，那么我們可以在WIDS/IPS中的ACL表中添加新的規(guī)則，限制它的訪問，并由此以免它再次觸發(fā)警報(bào)。然后再將發(fā)現(xiàn)的這個(gè)非法無線AP的信息記錄到一個(gè)開始的無線設(shè)備表中，還可以將它的位置在前面制定的平面圖中標(biāo)出。

另外，如果發(fā)現(xiàn)的非法無線訪問設(shè)備是企業(yè)新添加的無線訪問設(shè)備，或者是合作伙伴或客戶來企業(yè)后帶來的無線訪問設(shè)備，那么，在檢測(cè)到后，如果這些無線訪問設(shè)備本身符合企業(yè)的安全策略，那么，我們只需要將某個(gè)訪問權(quán)限授與給它們后，允許它們接入企業(yè)的無線局域網(wǎng)，然后解除對(duì)這些無線訪問設(shè)備的警報(bào)即可。

通過本文，我們應(yīng)當(dāng)知道該按什么步驟來部署檢測(cè)和防御非法無線訪問設(shè)備的解決方案，也知道如何定位和清除發(fā)現(xiàn)的非法無線訪問設(shè)備。同時(shí)，我們也只有掌握了本文中所述的這些針對(duì)非法無線訪問設(shè)備的解決方法，我們才有可能在與非法無線訪問設(shè)備的反間諜戰(zhàn)中掌握主動(dòng)權(quán)，才有把握打贏這場(chǎng)無線局域網(wǎng)中的反間諜戰(zhàn)。

【.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

新聞標(biāo)題：諜影重重之無線局域網(wǎng)的反間諜戰(zhàn)
標(biāo)題URL：http://fisionsoft.com.cn/article/dpcesdi.html

新聞中心

其他資訊