(沈建苗 编译)无线网络很可能会成为企业网络中的主流,但仍然有些棘手的问题需要提出来讨论。 安全顾问Winn Schwartau 12岁的儿子使用基于Windows的Palm Treo手机,通过无线网络截取笔记本电脑或PDA中的信息,收集到了《财富》100强中40家公司的网络登录密码。 ——无线网络安全威胁在何方? 日本大阪的一家燃气公司投资1000万美元部署了支持6000部具有WiFi网络接口手机的VoIP项目。 ——企业有必要大规模部署基于无线网络的VoIP吗? 通过安装在笔记本电脑上的一种系统,别有用心者可利用有选择的干扰来阻止其他客户端连接接入点,以便自己独享无线网络宽带。 ——如何阻止无线网络被非法手段干扰? “接入我们楼宇的线路基本上是100 Mbps速率。如果部署802.11n,我们在布线时就需要采用10 Gbps上行链路的千兆交换机。这笔费用对802.11n来说几乎必不可少。” ——802.11n 在提供更快的速率背后将涉及到哪些改造? 1 无线网络 安全威胁在何方? 无线网络因为其便利深得用户青睐,但甚至是IT专业人员对无线网络的威胁依然知之甚少。 达特茅斯学院的计算机学教授、Project MAP的主要研究人员之一David Kotz说: “使用开放WiFi接入点,但没有使用加密或VPN的人成了最大的威胁。他们把个人或公司的数据轻易地托付给了某个随便的热点运营商或某个地方的开放接入点,带来很大安全隐患。” 安全顾问Winn Schwartau经常举的例子就是: 他12岁大的儿子使用基于Windows的Palm Treo手机,利用无线网络入侵公司主管在机场或其他公共无线网络使用的笔记本电脑或PDA,从而收集到登录企业网络的用户名和密码组合。他说: “我儿子弄到了登录《财富》100强中40家公司的网络密码。” 就算用户经过加密的VPN(虚拟专网)隧道接入企业网络,也是使用未经加密的无线连接来访问互联网邮箱或其他网站,从而使Schwartau的儿子有机会能收集到访问用户互联网邮件账户的信息。然后,他可以利用这些信息,从自己的账户发送电子邮件给该用户。Schwartau说: “然后他可以利用恶意代码感染该用户的机器,并且进入其VPN账户。” 暴露在互联网中的个人移动设备连接到企业网络时加重了企业防护的负担。哈茨菲尔德-杰克逊亚特兰大国际机场的信息安全官Lora Mellies说: “要是允许用户连接自己的设备,通常的安全标准和程序就会常常被忽视。譬如说,可能没有定期备份信息的方案、没有安装防火墙或反病毒保护、没有使用加密技术来确保机密性,或没有使用令牌或证书来实现强验证。” Schwartau说: “再也没有人能够定义企业网络的边界在哪里。但比较保险的规则是: 你只能连接到企业网络,一旦你进入了企业网络,我们就会监控你。” 随着缺少培训的移动用户越来越多,以及保存在移动设备上的敏感或专有的企业数据急剧增加,这种威胁只会越来越大。 除了人为因素外,技术方面也存在一些隐患。2006年,研究人员确认了可能被攻击者利用的无线接口设备驱动器存在的问题: 驱动程序在操作系统的内核层面工作,恶意代码一旦进入内核,就有可能访问系统的所有部分。 据Network Chemistry公司的安全分析师Andrew Lockhart称,这类驱动程序的漏洞通常涉及篡改无线管理帧里面某些部分信息的长度,从而导致缓冲区溢出,恶意代码进而得以执行。 他说: “不管适配器有没有与接入点建立联系,驱动程序都会处理这种数据元素。所以,接通电源的无线网卡加上存在漏洞的驱动程序,会导致用户容易遭到攻击。” 有效的解决办法就是换掉存在漏洞的驱动程序,但这只不过是临时的办法。他说: “在Windows平台上,大多数无线驱动程序属于第三方软件包的一部分,因此它们不会随着Windows的更新而得到更新,这样一来,想根除问题就很麻烦。” 攻击者在攻击什么目标、如何攻击等方面变得更加狡滑,日益使用规避战术绕开或扰乱无线入侵检测/预防(IDS/IPS)应用软件。长远的解决办法是,使用能够更全面地监测及分析无线流量和行为的智能化IDS/IPS系统,但是研究人员在这方面的工作还属于早期阶段。 2 企业有必要大规模 部署基于无线网络的VoIP吗? 从市场情况来看,企业决策者给出的答案通常是: 到目前为止“一般没必要”,至少就大规模部署而言是这样。 不过也有个别例外: 最常被提到的一个例子是日本的大阪燃气公司。这家公用事业公司使用Meru Networks的WLAN基础设施支持6000部配置了蜂窝和WiFi网络接口的手机。整个项目的标价是1000万美元。 企业不愿接受大规模的无线VoIP不足为奇。面向整个企业部署的有线VoIP系统最近才得到接受,人们对其中的许多系统还存有疑虑。客观地说,这种忧虑常常是由企业在某个地方存在的特定问题引起的。 使用无线连接取代有线连接会带来许多更复杂的情况,相应的解决方案只是在慢慢成熟。无线接入点必须到处分布,才能支持语音流量,而无线电干扰很容易影响语音质量或呼叫会话。无线窃听不安全的VoIP会话是企业管理人员担心的另一个方面。弗雷斯特研究公司的Chris Silva说: “无线VoIP的定位可能是取代一部分使用蜂窝网络的通话方式,但企业的IT人员不是很清楚在这方面实际能节省多少。” Silva用了3个月时间,从音频质量、服务质量(QoS)、漫游功能及系统特性方面,对Aruba Wireless Networks、Chantry Networks(现隶属西门子)、思科和Colubris Networks的WLAN交换机及接入点进行了测试。 部分测试结果如下: ● 在QoS执行功能开启、并且网络上只有语音流量时,无线网络的呼叫质量几乎能与收费质量的音质相媲美。 ● 当有数据流量时,即使数据流量非常少,掉话现象也很常见,音频质量较差。 ● 从一个接入点漫游到另一个接入点要么失败,要么时间过长—从0.5秒到10秒,这种时延导致掉线。 这些测试结果反映了达特茅斯学院遇到的一些情况。该学院4年前在基于Aruba的遍布整个校园的WLAN上进行了有限的VoIP部署。起初,一部分教职员工使用了VoIP手机,据达特茅斯学院的技术服务主管David Bucciero称,漫游碰到了一些问题。尽管如此,Bucciero还是认为无线VoIP值得一试。 不过这两年情况发生了变化: 802.11e QoS标准的问世,加上不断使用专有的QoS调整方案以及接入点之间更快的切换速度,使情况有所好转。 但是真正的变化在于,人们对可以自动在蜂窝网络与WiFi网络之间切换呼叫会话越来越有兴趣,这类产品相继出现。在企业方面,这种融合需要一个IP PBX,通常还要一台会话初始化协议(SIP)服务器、WLAN基础设施、新型专用服务器,以及运行在所谓的双模手机(具有蜂窝和WiFi无线电装置)上的配套客户软件。 WiFi技术与蜂窝移动通信技术的融合,使得手机用户在户外可以使用由公众移动通信网络提供的各项业务,在家里或者办公室内,则可以利用WiFi网络实现高速无线上网以及拨打IP电话,这样大大降低了通话费用。 Farpoint集团的Mathias说: “蜂窝和WiFi融合是推动基于WLAN的VoIP发展的真正动力。一旦出现这种融合,我们就可以把电话号码簿、语音邮件及其他服务融为一体,一部电话就能在各个地方使用。”###NextPage### 3 如何阻止无线网络 被非法手段干扰? 如今出现了两种干扰手段: 一种是利用无线电波干扰WLAN接入点或网络接入卡; 另一种比较复杂,对802.11n协议做手脚,阻止无线电装置发送或接收信号。 自制或商用干扰器很少具有那些商用微波系统那么大的功率,不过就短距离而言,它们不需要太大的功率。市面上的产品包括一种400美元的袖珍型干扰器,可以在最远90英尺的距离干扰三个频率(包括2.4 GHz)。 另外还有一种WiFi Hog系统,WiFi Hog是一种劫持公共接入无线热点的系统,这种使用笔记本电脑的系统让任何人都能干扰无线网络,只允许他一人控制开放的无线网络,以便只有这个“劫持者”才能使用该网络接入互联网,而阻止其他用户使用。WiFi Hog的理念就是把公共无线网络从共享使用的概念“解放出来”。Hog被安装在笔记本电脑上,利用有选择的干扰来阻止其他客户端连接接入点,以便自己独占带宽。 Farpoint集团的Craig Mathias说: “干扰绝对是个问题。我们能够设计一些危险的干扰场景,证明它们带来的不利影响,并观察它们会造成多大的破坏。” 目前,还没有真正有效的措施对付得了精心策划的、有针对性的干扰攻击,除了使用工具(譬如思科作为无线局域网管理工具包一部分来提供的Cognio Spectrum Analyser)迅速检测。一旦查出攻击,用户就可以使用矫正措施来对付。 第二种DoS攻击是通过修改驱动程序或固件,滥用802.11媒体访问控制(MAC)层协议,引起网卡在MAC协议方面出现功能异常,因为网卡没有“公平”遵守规则,会导致其他人无法使用网络。” 一个例子就是把取消验证的帧发送给某个接入点的某个客户机,或广播发送给所有客户机。如果听从指令,客户机就会断开与接入点的连接。如今,大多数客户机会马上重新验证。但如果攻击重复不断,WiFi电话或视频流就会受到这些干扰。目前,应对办法与干扰攻击的对策相同: 尽快查出问题,尽快找到攻击者,请网络管理员来对付。但是从根本上讲,长远的解决办法还是修补协议本身。 4 802.11n 在提供更快的速率背后将涉及到哪些改造? 802.11n计划将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可达320Mbps,成为802.11b、802.11a、802.11g之后的另一场重头戏。和以往的802.11标准不同,802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样11n保障了与以往的802.11a、b、g标准兼容。 在覆盖范围方面,802.11n采用智能天线技术,通过多组独立天线组成的天线阵列,可以动态调整波束,保证让WLAN用户接收到稳定的信号,并可以减少其他信号的干扰。因此其覆盖范围可以扩大到好几平方公里,使WLAN移动性极大提高。 无论网络管理人员选择通过WiFi联盟互操作性认证的草拟11n产品,还是等到2008年年底或2009年年初IEEE最终批准的11n产品,他们都会面临这四个问题: 新系统给一部分有线基础设施带来过重负担; 给现有较旧的WLAN交换机带来挑战; 原有系统将被迫升级到功率更大的以太网供电系统; 以及需重新部署及连接一些现有的无线接入点。 大多数新的接入点将配备一个甚至两个千兆以太网端口。马萨诸塞州大学阿默斯特分校的网络分析师Michael Dickson说: “接入我们楼宇的线路基本上是100 Mbps速率。至于11n,我们将来在布线室需要采用10 Gbps上行链路的千兆交换机。这笔费用对11n来说几乎必不可少。” 考虑到11n的容量之大,升级电缆线路的一个相关问题是,要不要升级以太网墙壁插座: 这一决定关系到无线设备会不会成为网络接入的首要方式。 如果现有的WLAN控制器也缺少网络容量,并且缺少流量增加后所需要的处理功能和内存,它们就必须被换掉; 如果厂商采用纯粹集中式的架构: 即每个数据包从每个接入点传送到控制器,更是如此。在过去的一年,厂商们一直在升级控制器,并考虑到了11n,有时还卸载数据包交换功能,交给接入点去处理。 对11n网络而言,测试无线性能以验证工作负载和流量条件等方面可能会变得极其重要。为此,企业或系统集成商将使用复杂的性能测试工具,譬如VeriWave和Azimuth Systems公司的产品,这些产品以前主要供无线芯片生产商和设备制造商使用。 以太网供电(PoE)问题可能会让一些用户感到意外。弗雷斯特研究公司的分析师Chris Silva说: “PoE设备可能会受到802.11n网络的考验。” PoE技术能减少设备电源线的铺设需求。2003年6月获得批准的IEEE 802.3af标准最初是为向IP电话供电而开发的, 802.3af标准允许以可扩展和可管理方式向VoIP和无线接入点设备提供15W功率。但是11n接入点消耗的电力可能超过基于IEEE 802.3af标准提供的15.4瓦最大功率。目前即将完成的新标准至少会把功率增加一倍。至少有一家厂商Trapeze开发出了新代码,让它刚宣布推出的11n接入点可以利用现有的PoE供电器,但性能方面有所牺牲。 Novarum公司总经理Phil Belanger说: “11n有望带来的不仅仅是更快的速度。11n更远的传输距离将使得部署使用5GHz频带的大型系统变得更为切实可行。5GHz频带里面的信道比2.4GHz频带多得多; 而且到目前为止,还没有被太多使用。反过来,这能够大大提高WLAN的容量。对许多企业而言,可在每个地方提供数百Mbps速率的无线网络的性能会非常好,技术方面足以有能力成为企业惟一的网络。” 链接 WiFi Hog原理 WiFi Hog系统专门针对公共无线节点,它的架构是一台笔记本电脑连接到便携式视频干扰器(PVJ),而与干扰器进行联系的软件由数据包嗅探器和无线搜寻器组成,负责监控从开放节点进入的数据包。只有来自WiFi-Hogger的IP地址的流量才可以访问连接,否则PVJ就开着,阻止其他人访问该开放节点。 由于大多数无线网络运行在2.4 GHz和5 GHz波段上,WiFi-Hog使用标准的便携式视频干扰器(它还能阻挡无线X-10 Camera信号),这种设备稍经改动,即可与PIC微控制器进行联系,接收来自USB连线的电力。WiFi Hog软件运行在用户的机器(Mac OSX/Win 2K / XP等操作系统)上,充当数据包嗅探器/无线搜寻器,查找任何开放的无线节点,并且检测进进出出的数据包。数据包嗅探器会查找报头含有WiFi Hog用户机器的本地IP地址的进出数据包,如果找到了这些报头,干扰器就被关闭,数据包可以自由传输;如果没有IP报头与用户的机器匹配,干扰器就开着,阻止其他任何人访问节点。 |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司