清除无线入侵者

多层RF监控和无线入侵防御系统让不速之客无法进入无线局域网

无线网络可以提供为全球各地的客户提供大幅度提高的移动性、灵活性和生产率。不幸的是，从安全的角度来说，它们也意味着您可能会成为一个网络广播源，在网络中引入新的安全威胁因素。事实上，一种全新的、专门针对无线网络的入侵检测和拒绝服务（DoS）攻击正在迫使无线局域网（WLAN）供应商在他们的WLAN入侵检测系统（IDS）产品中加入新的检测和防御服务。

无线安全
在空气中广播数据的挑战之所以变得非常严峻，是因为大部分支持无线功能、运行Windows 2000或XP的笔记本电脑在缺省情况下都会主动寻找所有到接入点的Wi-Fi连接——无论接入点是否经过授权。因此，人们面临的挑战不再只是确保安全的“无线空间”，而是还要保护您的计算机与外界的连接。

为了防范这些基于恶意设备和入侵尝试的安全漏洞，思科提供了多项无线最佳实践，以建议网络管理员如何安装入侵检测和防御措施，消除这种局面对安全的不利影响。

“我们不能简单地创建一个会弹出大量警报的系统，就将其称为对IDS的‘有益补充’——正如我们过去10年中在有线网络上所看到的那样。我们的无线客户真正需要的是无线入侵检测、无线入侵防御和保护功能”，思科的无线网络事业部产品营销经理Bruce McMurdo表示。

现在，检测和纠正措施都在一个分布式、层次化的保护模式之中进行。在这个模式中，每个网络层次——从客户端到数据中心——都在防御网络威胁方面扮演着一个重要的角色（如图所示）。为了防止入侵，思科的无线架构可以提供下列功能：

• 接入点身份验证
• 禁用未经授权的接入点
• 客户端控制
• 客户端策略执行
• 基于位置的入侵检测

在思科架构中，思科客户端和思科兼容扩展客户端，以及Cisco Aironet系列接入点和思科轻型接入点，都可以充当网络入侵防御系统（IPS）的传感器。尽管所有WLAN IDS供应商只依靠接入点来检测恶意设备，但是思科具有将恶意检测拓展到客户端的能力——让思科解决方案能够在这些客户端在整个WLAN环境中四处移动时，提供更加全面的检测功能。

识别和禁用恶意设备
在充当IPS传感器时，思科接入点可以向思科无线控制和管理设备报告它发现了恶意设备。随后，根据网络管理员所制定的政策，这些控制和管理设备将会自动地制止接入网络的未授权设备或者恶意设备。

思科的解决方案支持集成化的和叠加的入侵防御系统。一个叠加式入侵防御系统可以利用单独的分布式射频传感器监控无线空间。在这种情况下，IT人员通常必须在成本和效率之间做出选择：通过以1:1的比例将射频传感器映射到有源WLAN接入点，可以确保最佳的网络覆盖，但是可能会产生高昂的成本；使用较少的传感器可以减少成本，但是可能会产生监控范围漏洞。

“为您的监控和无线数据网络使用一个统一的基础设施可以提高企业网络的可见度”， McMurdo表示。“因此，我们建议在大多数情况下采用集成化入侵防御系统——特别是在接入点需要充当传感器，同时支持客户端传输时。”

传感器将会发现很多恶意设备。“关键在于正确地识别那些友好的相邻网络，将注意力主要集中于那些实际接入企业网络的不当设备，或者位于环境中的不当位置的接入点”， McMurdo表示。

在制止恶意接入点的同时，传感器还可以检测到无线设备信息，将其汇总并发送到网络中的可以关联信息和采取相应措施的组件。当在网络中检测到某个无线接入点时，WLAN入侵制止系统会发送RF管理帧。它会取消任何客户端与它的关联，并设法跟踪和关闭恶意设备所连接的交换机端口。

在思科的帮助下，客户可以利用一个分布式解决方案或者轻型解决方案部署入侵防御系统。这个分布式解决方案会采用装有思科无线局域网解决方案引擎（WLSE）2.9版和更高版本的Aironet 1230、1200、1130或者1100系列接入点，以及配有无线局域网服务模块（WLSM）的Cisco Catalyst 6500系列以太网交换机。通过这个解决方案，所有合法的思科和思科兼容无线客户端设备，以及Cisco Aironet接入点，将会搜集它们附近的所有无线设备的信息。

基于思科最近收购的Airespace产品系列的轻型解决方案会采用Cisco 1000系列轻型接入点和一个思科无线局域网控制器，以及思科无线控制系统（WCS）。

这两个解决方案都可以部署为IPS，其中接入点承担着转发第二层分组和充当网络监控传感器的双重任务。

存在哪些安全威胁？
无线局域网的入侵威胁的主要产生原因是，人们很难将无线数据传输的范围控制在某个指定机构的物理边界之内，而且无线客户端设备的特性决定了它们会自动连接到它们所找到的最强信号。

“针对信息失窃和网络闯入，部署802.11i——IEEE 802.11系列无线局域网安全标准的最新成员——中的加密和身份验证措施可以提供最佳的保护”，思科的技术营销工程师Jake Woodhams表示，“而对于因为广泛存在恶意设备而导致的数据劫持和服务中断来说，通过扫描无线广播信息发现和禁用未经授权的设备是一项重要的措施”，他表示。

特别需要指出的是，入侵检测和防御可以解决下列问题：

• 恶意基础设施接入点的影响。这些直接插入以太网交换机端口或者无线局域网控制器端口的射频装置可能是由希望闯入企业网络的入侵者恶意安装的。但是更加常见的情况是，它们是由员工为了简化无线接入而安装的。因为客户端设备的自动安装特性，位于附近的某个办公室、停车场或者咖啡厅的客户端可能会有意或者无意地连接到这些恶意设备。因为大部分企业目前都在以太网交换机上设置了开放的第二层端口，所以通过将恶意设备插入到有线LAN基础设施中，将让与它们相关联的所有客户端都能至少访问部分企业资源。

  标签：

  版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
  特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有