|
当讨论到无线安全时,人们将大量的注意力投入到了对数据进行加密,对用户进行验证,限制接入,和检测接入点(APs)上。然而,随着这些网络和链路防御能力的提高,攻击者已经开始将目标锁定在其它方面了。具体来说,就是所有具有Wi-Fi功能的笔记本电脑,PDAs和手持设备,这些设备极少使用甚至根本不使用安全措施。在本文所介绍的技巧里,我们将研究驻留在主机内的无线IPS代理如何帮助你保护这些Wi-Fi客户端设备,以确保健壮的无线安全。 中断最不牢靠的链路 很多网络使用者在无意或者有意的从事着威胁无线安全的高危险活动。而Wi-Fi的随意性又加剧了这种情况,具有Wi-Fi连接的设备往往在没有用户的干预下就自动搜索附近的设备并“悄然”进行连接。结果,许多Wi-Fi使用者像例行公事那样将他们的系统和数据暴露给那些未知的、不可信任的和潜在的恶意破坏者。 根据Network Chemistry的无线威胁索引(wireless threat index)-一份实际生活中W-Fi使用情况的季度分析-显示,大量的(87%)Wi-Fi客户曾经连接到未知的APs。这可能是偶然发生的,如“过分友好的”Windows XP自动连接到“任何可用的网络”。也可能是有意所为,如用户连接到邻近的商业或者城市APs,以绕过阻止非商业应用,如P2P文件共享和GMail,的公司策略。 另外63%的客户进行着ad hoc网络连接―到Wi-Fi对等实体的直接连接。例如,一些用户与另外的用户进行连接以共享Internet接入,这将不经意间就暴露了他们的网络文件夹以及文件。更糟的是,大多数用户并没有意识到,可以利用ad hoc网络连接到先前用于连接AP的网络入口。当研究者使用公共的SSID如“linksys”引诱同机的乘客连接到他的ad hoc基站后,他可以通过普通的Windows服务端口来对大约20%的客户进行攻击――所有这些都是因为用户忘记了禁用他们不安全的无线适配器。 还有很多Wi-Fi客户由于违反公司政策并犯下错误而将自己置于危险境地。无线威胁索引报告显示,四分之一的用户在没有启用个人防火墙的情况下接入到WLANs,三分之一的用户在没有使用防病毒软件的情况下接入到WLANs,三分之二的用户在被要求在无线网络上使用VPN的情况下而没有使用VPN。还有不计其数的用户连接到虚假的APs上,这些虚假APs利用实际热点的名称(如“Wayport_Access”)来进行欺骗。一旦用户受到引诱而连接到虚假AP(也叫作“Evil Twin”)上,常规的一般性攻击工具就可以索取到用户的信用卡号码和登陆密码,在某些情况下,甚至可以截取到SSL和SSH数据。 重新获得对无线安全的IT控制 这些“愚蠢的人类的鬼把戏”证明,大多数管理员已经知道的是:依靠用户来保护他们自己是对付失败的良方。最起码,小的商业应用应该为安全的Wi-Fi连接的手工建立定义按部就班的说明。大的商业应用可以使用安装包,域登陆脚本或者活动目录组策略(Active Directory Group Policy)对象来推进IT产生的Wi-Fi配置。或者,当与可信的SSID进行连接时,Wi-Fi连接应该被设置成需要采取适当的安全措施,并阻止到其它APs和ad hoc对等实体连接的方式。例如,你可能要求到公司SSID的连接使用具有服务器身份验证的WPA2-Enterprise,同时允许到工作人员家庭的WLAN使用开放的连接方式,并能够与活动的防火墙和VPN客户端进行协作。 这是一个良好的开始,但是还远远不够。大多数用户往往对危险估计不足,当他们发现不方便时,就会禁用防御措施。甚至一心努力确保安全的用户有时也会犯下错误。没有中央核查和控制能力,对内部政策和外部规则的遵守将得不到保证。在你的办公室内部,可以通过部署一个无线入侵预防系统(Wireless Intrusion Prevention System,WIPS)来实现中央核查和控制功能。WIPS使用APs或者遍布于你的WLAN的传感器来对电波进行监测。观察结果将报告给中央WIPS服务器,该服务器对Wi-Fi通信流量进行分析,寻找可能存在的攻击、问题和违规行为。每当检测到潜在的威胁――例如,有工作人员连接到邻近AP―WIPS将采取措施来自动中断这些连接。 在办公室之外对这种控制进行扩展需要另外的解决方案―运行于Wi-Fi客户端本身上的WIPS程序。任何一种主机WIPS程序,如Network Chemistry RFprotect Endpoint,AirTight SpectraGuard SAFE,AirMagnet StreetWISE或者AirDefense Personal都能对家庭,公共热点区域,机场,甚至飞机上的Wi-Fi客户进行看护。 对客户进行看护 各种主机WIPS产品有所不同,但是所有产品都被设计用于监测主机的无线活动,并与规定的策略进行比较。例如,AirMagnet StreetWISE策略定义了哪种无线连接是允许的:只有Wi-Fi,Wi-Fi和以太网,ad hoc Wi-Fi,蓝牙,还是和/或者红外?对于Wi-Fi连接来说,程序将设置最低的安全等级(WEP-64,WEP-128,WPA),可信任的SSID将显示在Wi-Fi连接工具上。
如果有连接试图违反这些策略,程序将显示错误信息以警告用户。这些基本的步骤将提高用户的意识并阻止用户配置和接受会造成危险的新的连接。 除了将连接与首选的、已知的热点和SSIDs黑名单进行比较之外,AirDefense Personal还能够对针对客户的攻击进行监视。例如,它可以发现从一个AP到另一个AP的重定向,信号的主要变化,AP欺骗和软AP―所有可能的一般性攻击的迹象。当超过规定的严重等级的事件发生时,程序将显示报警信息,记录该报警信息,并/或者禁用这些危险的连接。
几种主机WIPS程序都可以将详细记录客户活动和安全报警信息的事件日志传送到中央服务器。例如,Network Chemistry RFprotect Endpoint为管理员提供了仪表板,该仪表板对WIPS的代理状态,已经使用的无线连接的种类,试图违反策略的操作(例如,试图在没有VPN的保护下进行连接)等情况进行了总结。
对这些情况的了解可以用于进行攻击评估和趋势分析,并有助于管理员查看不在场工作人员实际使用Wi-Fi的情况,建立决定是否应该对Wi-Fi设置或者WIPS策略进行改变的依据。 实际上,大多数用户面临的最大难题之一是决定何时以及如何更改Wi-Fi设置。当工作人员将新的笔记本电脑带回家时,他将理所当然的把它连接到家庭网络中。当旅行者从旅馆漫游到星巴克咖啡厅再到机场时,她可能需要连接一些新的网络。理想的情况是,这些策略将被定义并被锁定,而无需考虑该过程中的使用者,但是,在许多情况下,提前确定所有允许的SSID是不切实际的。 例如,AirTight SpectraGuard SAFE提供了另一种选择:它能够帮助用户做出更加明智的决定。SAFE使用三个配置文件来识别最小的安全配置,可信的SSIDs和适于工作场所、家庭和其它地方使用的AP MAC地址。用户可以永不改变他的管理员定义的“work”配置文件,但是仍然可以按照显示在到他的无线路由器上的第一个连接的说明来创建他自己的“home”配置文件。
这种方法使得公司能够决定是否阻止到未知APs的连接,或者是否允许用户基于Wi-Fi当前环境,人力需求和危险忍受力来选择最佳的做法。 结论 目前,只是在某些方面,主机WIPS可以用于增强Wi-Fi客户的防御能力。这些程序仍在不断发展;检测,实施和管理能力的变化的确超出了这里给出的简单说明。你需要考虑的是所要实施的策略,支持客户端的操作系统,和实地WIPS(如果有的话)的一致性。个人和小型商业应用可以使用手工安装和配置的单机版的主机WIPS程序。较大的企业最好选择使用综合的主机WIPS代理,该代理能够与中央服务器连接以进行策略配置,软件安装,事件记录和/或危险报告。 作者简介: Lisa A.Phifer是Core Competence Inc.的副总裁。她从事数据通信、网络互连、安全和网络管理产品的设计、实现和评估已20余年,并长期为各个公司提供有关安全需求、产品评估和新技术应用方面的建议和经验。 翻译:晓强 |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司
