保障安全 利用漏洞评估管理无线网风险(1)


保障无线局域网有很多种方法,但是,到底哪种方法更适合于用户所在的局域网,局域网是否能够完全有效地应对802.11和802.1x攻击,这些都需要根据无线局域网自身的情况,采取不同的方法。无线局域网应用逐渐变得流行起来,但无线局域网的安全问题,却一直是制约行业发展的因素之一,也是业内人士争论的焦点。本文将会为你介绍无线局域网漏洞以及如何消除这些潜在的威胁因素,还会为你阐述如何评估无线局域网漏洞并管理其风险。   

802.11i的的完成和Wi-Fi产品的成熟,使得维护无线局域网所需要的工具已经变得更加丰富起来,也有可供用户检测和应对入侵行为的工具。但是,这些新增的部分安全功能,对于提供防护和满足当今企业无线局域网配置要求的全面安全解决方案来说,还远远不够。如果出现802.11或者802.1x攻击,你如何确定局域网能够有效地应对?    实践证明,有效防御需要系统地查明和消除被黑客利用的漏洞,这些漏洞将会被用来入侵网络从而损害用户利益。   

一、明确WLAN漏洞   

所有的网络都有漏洞,但在有线网络中,物理性障碍可以限制访问介质来减少风险。以太网交换机未被使用的接口可以禁用,也可以设定具体的使用范围和地理环境。但在无线网络中,传输媒介在空中。墙壁、门户、楼层都会降低信号强度,而攻击者却又可以从楼梯、大厅、停车场或者附件的建筑物内发起攻击。这些新的载体可以被用来查找802.11和802.1x固有的漏洞。   

法控制访问   

不法之徒会利用共享Stumbler工具和高增益天线发现无线局域网。入侵者会通过未经认证的“流氓”接入点,进入公司无线网络。他们还会寻找能与任何其他设备相连的疏于管理的无线设备。一旦连接,入侵者就可以使用传统的网络攻击探测客户端、服务器并找到可利用的开放端口和服务进程。   

AP合理的设置可以减少射频信号的泄露,但这并不能防止外人利用你的WLAN载体发送或者接收信号。   

缺乏保密   

入侵者发现你的WLAN很容易利用无线通信进行监听。共享和收费监听工具可以记录数据包并提取无线传播中的TCP/IP协议报头、用户名、密码、电子邮件、文档、语音通信等信息。为了防止窃听,WLAN可以采用WEP协议、TKIP协议或者AES、CCMP协议对802.11数据帧进行加密。   

不过,这三种协议都容易被破解。入侵者通过分析捕捉到的数据包,可以猜测到WEP密钥或者简短的TKIP/AES预共享密钥PSKs,利用它们对802.11数据包进行解密。而使用较长的TKIP和AES,复杂的PSK和动态会话密钥,可以避免被破解。但是,802.11管理和控制帧仍然不能被加密,也不能像ESSID和MAC地址那样具有报头值。因此,重要的是了解攻击者可以找到什么并评估他们带来的种种损失。   

未经授权的网络使用   

WLAN访问通过WEP密钥控制——对用户开放的一个十六进制数值。而在使用TKIP、AES的网络中,访问则是通过PSK——对所有用户开放的数字密码。这些密钥可以让家庭或者小型办公中的用户拥有同样的权限访问WLAN。但外部人员一旦获得这些密钥,他们也将拥有同样的权限进入这些网络。   

大部分的情况是,人员更倾向于基于验证用户身份,单独对用户授予WLAN访问许可。为此,可以使用802.1X端口访问控制配合TIKP或者AES来实现。802.1x带有可扩展身份验证协议EAP),可以通过密码、令牌或者数字证书来验证信息。动态会话密钥发送给指定用户,而其他尝试访问的人则会被拒绝。不过,EAP也具有漏洞。比如,轻量级的EAP可以通过字典攻击获取用户密码。评估WLAN 802.1x/EAP漏洞,是让你的网络变得更加安全的一种明智之选。   

伪造数据   

所有的802.11数据包都含有一个循环冗余校验CRC),以帮助接收者发现传输中是否出现问题,但是它并不能识别伪造数据帧。为了缓解这一问题,TKIP和AES使用顺序和密码信息验证,以检测和丢弃重复或者注入的802.1x数据包。不过,检测伪造802.11管理/控制或者802.1x/EAP 开始/注销并没有一个统一的标准。原始数据包注入工具可以在任何时候,被用来发送伪造数据包,发动对WLAN的攻击——特别是DoS攻击。   

拒绝服务   

无绳电话、蓝牙、微波炉、邻近AP接入点等等,与你所在的网络,可能都会遭受拒绝服务攻击。事实上,产生大量的伪造802.11或者802.1x数据包,会影响到WLAN的正常合法使用。DoS拒绝服务攻击持续不段的数据传输会影响到其他数据的正常传输,利用成千上万的假冒AP挤占无线传输带宽,或者发送伪造认证、EAP注销帧等让用户不能连接网络。    DoS攻击也可以由无线设备瘫痪而导致。一个恶意的EAP身份反应会破坏具有漏洞的AP。无线设备往往是新技术产品,它们需要强化应对DoS攻击和其他问题的能力。   

脆弱的终端   

随着WLAN安全协议的改进,攻击者开始更多的关注802.11终端。默认情况下,很多客户端设备都处于友好状态,它可以与任何其他设备互联,包括未知AP和Ad Hoc。这种混杂的行为会让网络和终端暴露出多种风险,从文件共享给陌生人到公共和私人网络之间的客户端连接,都会出现多种安全威胁。


共3页: 上一页123下一页

相关内容