English
网站导航
 
 


 
  : 咨询热线
 考试咨询  培训咨询  MSN咨询

公司地址:深圳市罗湖区


服务列表

课程列表
培训课程介绍
红帽redhat
CISCO思科认证
Aruba认证课程
IPV6课程
CWNP无线认证
H3C认证
Oracle认证
企业实战培训
CIW网络认证

>>>>>进入技术文摘 列表
 

揭穿无线安全的6个神话


点击进入:技术文摘  专栏  添加时间: 2010-7-12 16:59:00  阅读数: 6605
 


      无线网络已成为我们工作和个人生活的一部分。而如何保护无线网络免受安全威胁也已经成为而且将继续成为企业整体安全体系的一个重要部分。但是正如达尔文的进化论所揭示的,无线安全的各种神话也随之诞生、演变,然后又会被一些新的神话所取代。

      不过随着对无线安全问题认识的深入,事实似乎已经给了网络安全专业人士足够的信息,足以打破某些无线安全的神话(比如说,把SSID隐藏起来能改善安全;带MAC过滤器的开放AP可提供较好的安全;利用静态网络IP地址可阻挡攻击者的攻击;WEP可提供足够好的安全等等)。

      而越来越多的用户转向WPA2的事实也证实了这一点。现行的PCI DSS无线指南(或许就是受到着名的、大规模TJX安全泄露事件而出台的)肯定也在推动这些安全部署。但是从另一方面看,无线安全社区依然缺乏处理由未加管理设备而引发的安全威胁的能力。

      这种能力的缺失也使得一组新近出现的无线安全神话更加难以被揭穿。现在就让我们来扼要地浏览一下这些新的神话,并探讨企业如何才能避免这些常见的陷阱或错误。

      神话1:如果没有部署Wi-Fi企业就是安全的

      很多人仍然认为,如果他们制定了“无Wi-Fi”策略,那么他们就是安全的。但愿无线安全真的会是如此简单。现实世界不太可能是一个人人彼此信任的世界,也没有人会天真地认为绝不会有人违背“无Wi-Fi”策略。一个心存芥蒂的员工有可能会悄悄安放一个非法AP,就连善意的员工也有可能会自行安装一个AP,从而无意间将企业网络暴露给无赖的攻击行为。同样的,如今绝大多数笔记本或上网本内置的Wi-Fi网卡也可能成为一种潜在的威胁源——有可能被攻击者所利用。再说得进一步,其他内嵌于笔记本或上网本的无线技术,如蓝牙等,也可能会产生严重的安全漏洞。

      实际情况:自以为“无Wi-Fi”策略便可保障企业网络的安全,这无疑于鸵鸟将头埋进沙子的愚蠢之举。

      神话2:在网络中使用了WPA2就安全了

      如果你的企业已经部署了带WPA2安全功能的Wi-Fi网络,那肯定是一个不错的开头。WPA2可为企业WLAN中的AP和客户端提供更强大的密码安全。但是在较大规模的网络部署中,只有在确保全部设备没有因疏忽而出现误配置,没有给攻击者留下可乘之机,那才是最重要的。随着Wi-Fi日益被用来承载关键任务应用,黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上面。研究人员最近披露,WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样,已经有报道说,思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。

      实际情况:基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。

      神话3:启用了802.1X端口控制就安全了

      IEEE 802.1X端口控制可提供一种认证机制,会对每一部希望通过端口进行通信的设备进行安全认证。只有通过认证之后,该设备才会被允许进行通信。如果认证失败,通过此端口的通信就会被禁止。然而,802.1X设计者的目的并不是为了保护网络免遭无线安全威胁。正如我们所预料的,802.1X在防范Wi-Fi客户端的威胁方面是完全无能为力的。即便802.1X端口控制可以防止非法AP的通信,但是它依然很容易被“隐藏的非法AP”所绕过。举个例子,假设某员工已获得了802.1X的认证证书,他便可利用一个静态IP以“沉静”模式配置他需要连接的2层桥接AP(这样一来,该AP就不会在网络上被识别出)。然后他便可以给Wi-Fi客户端一个伪装的身份(即MAC地址),从而骗过802.1X端口控制。

      实际情况:这里的基本问题是,802.1X提供的是一次性控制(也就是入口控制),而企业真正需要的是连续的监控。

      神话4:我的NAC解决方案会保护我免遭Wi-Fi威胁

      NAC的目的在于基于策略控制对网络的接入,它包括预准入端点安全策略检查(以确定谁可以接入网络)和后准入控制(确定接入者访问了什么内容)。因为NAC解决方案还包括某些主机检查(如在主机上运行的操作系统服务等),所以可防范非法AP作为路由器或NAT的功能。NAC在防范“沉默非法AP”威胁方面也是无能为力的。

      实际情况:和802.1X相同,NAC也只是一种入门控制,所以关于802.1X的论断同样适用于NAC。

      神话5:802.11w可消除Wi-Fi DoS攻击

      究其性质而言,Wi-Fi极易遭受DoS攻击(例如射频干扰、终止认证/终止连接洪水、虚拟干扰等)。利用未经授权的无线频谱加上“简单化”的MAC协议,就能在Wi-Fi网络上发起DoS攻击。IEEE最近通过了802.11w标准,该标准拟解决对某些802.11管理框架子集(如终止认证框架、终止关联框架)的密码保护问题。该标准确实可以缓和基于此类保护框架的攻击。

      实际情况:基于各种框架的攻击其实是在802.11w保护界限之外的,而攻击所利用的射频频谱始终是可能的。

      神话6:AP兼职安全功能足够了

      WLAN基础架构或许可以支持这样一种模式,一个AP可通过编程成为一个无线入侵检测感应器。然而,如果你需要更高级别的保护,例如想要遵从行业或政府的监管规则,那你需要的就是无线入侵防护(而不只是入侵检测),因为当把一个AP从接入功能切换为提供保护的功能时,它充其量也只能提供部分保护。具备AP功能的设备不可能在安全上花费大量的时间周期,如果它这么做了,就有可能会影响到其作为数据/语音承载设备的性能。因此在使用上述模式时,此类设备在扫描病毒和减轻威胁方面都只会花费较少的时间。如此一来,便会产生威胁检测的延时,甚至可能严重影响到禁止与防范能力。

      实际情况:“兼职”感应器在可靠地限制威胁方面是非常不可靠的(比如说此类感应器不能执行持续而频繁的遏制分组的传送)。
 
 
欢迎咨询CWNP中国授权培训中心 400-615-0755
 
合作伙伴
             
地址:广东省深圳市罗湖区宝安南路2014号振业大厦A座15A-B(地王大厦旁) Email:kevinzhu#cntimes.biz(将#改为@)
电话:0755-25022500 25025151 传真:0755-25022400  ICP备案:粤ICP备14017173号 网站优化方案