无线已经成为我们官方和个人生活的一部分。防止无线威胁一直是而且将继续是整个企业安全难题中的一个重要部分。然而,就像遵循达尔文的进化论一样,无线安全神话也诞生了,进化了,然后被新的神话所取代。
对无线安全问题的认识的提高似乎给网络安全专业人士提供了足够的信息,以消除某些无线安全神话(例如,将您的SSID隐藏在信标将提高安全性;带有MAC过滤器的开放ap可以提供良好的安全性;使用静态网络IP地址可以阻止攻击者;而WEP可以提供足够好的安全性)。
越来越多的用户转向WPA2部署的事实证实了这一点。最近的PCI DSS无线指南(可能是受到臭名昭著和高调的TJX安全漏洞的刺激)肯定推动了这些发展。然而,另一方面,无线安全社区在如何处理由非托管设备造成的威胁方面仍然缺乏明确的共识。
这导致了一系列可能更难揭穿的无线安全神话。让我们简要地看看它们,并讨论企业如何避免这些常见的缺陷。
误解1:如果没有Wi-Fi部署,我的企业是安全的。许多人仍然认为,如果他们有“无Wi-Fi”政策,他们是安全的。要是无线安全也这么简单就好了。在不可能信任所有人的现实世界中,假设政策永远不会被违反,那就是naïve。心怀不满的员工可以植入非法接入点,甚至善意的员工也可以部署ap,无意中将您的网络暴露给非法活动。同样,嵌入在大多数笔记本电脑中的Wi-Fi客户端卡可能是一个潜在的威胁来源——它们可能被攻击者利用。此外,嵌入笔记本电脑的其他无线技术,如蓝牙,也会造成安全漏洞。
现实:假设“无Wi-Fi”政策将确保你的网络安全,这类似于“鸵鸟解决方案”。
误解2:我在我的网络中使用WPA2,我是安全的。如果您已经使用WPA2部署了企业Wi-Fi,那么它无疑是一个良好的开端。WPA2为您的WLAN ap和客户端提供了强大的加密安全性。然而,在大型部署中,重要的是确保没有任何设备意外配置错误,从而可能暴露出巨大的安全漏洞。Wi-Fi越来越多地用于携带关键任务应用程序,因此黑客和犯罪分子将继续专注于破坏Wi-Fi安全。研究人员最近证明,WPA-TKIP可以通过破坏来实现包注入攻击。类似地,有报道称,一个基于Cisco WLAN控制器的漏洞可以被利用来“劫持”Cisco LAPs。
现实:基于wpa2的WLAN部署不能保护您免受所有类型的无线安全威胁。
误解3:我已经启用了802.1X端口控制,我是安全的。IEEE 802.1 x基于端口的访问控制为希望通过端口(如局域网端口)通信的设备提供了一种认证机制。只有身份验证成功,它才允许进一步通信。如果失败,它将禁止通过该端口进行进一步的通信。802.1X的设计者的目标不是保护网络免受无线安全威胁。正如我们所料,802.1X对基于Wi-Fi客户端的威胁完全无效。尽管基于802.1X的端口控制可以威慑非法AP,但它可以通过“隐藏的非法AP”轻松绕过——例如,被了解802.1X证书的员工绕过。首先,他需要将二层桥接AP配置为静态IP,使其以“静默”模式连接(这样它就不必在网络上显示身份)。然后,他可以将Wi-Fi客户端的身份(即MAC地址)伪装成他的以太网卡的身份,以欺骗802.1X控制。
现实:这里的基本问题是,802.1X是一次性的(即入门级)控制,但是,您实际需要的是持续的监视和控制。
误解4:我的网络访问控制(NAC)解决方案可以保护我免受基于Wi-Fi的威胁。NAC旨在通过策略控制对网络的访问。它包括准入前端点安全策略检查(确定谁可以访问网络)和准入后控制(确定他们可以访问什么)。由于NAC解决方案包括一些基于主机的检查(例如,操作系统,在主机上运行的服务),它可以防止作为路由器或网络地址转换器的非法ap类。NAC在对付“沉默的流氓AP”威胁时也失败了。
现实:与802.1X类似,NAC也是一个入门级控件,针对802.1X的参数也适用于NAC。
误解5:802.11w消除了Wi-Fi拒绝服务(DoS)攻击。就其本质而言,Wi-Fi很容易受到DoS攻击。未经许可的无线电频谱加上“保持简单”的MAC协议导致了对Wi-Fi的几种DoS攻击(例如,射频干扰、去认证/解关联洪水、虚拟干扰)的发展。IEEE最近批准了802.11w标准,该标准为802.11管理帧(例如,去认证帧、解关联帧)的某个子集增加了加密保护。这无疑减少了基于这些受保护框架的攻击。
现实:基于802.11w保护范围之外的帧的攻击(例如,虚拟干扰)和基于射频频谱的攻击仍然是可能的。
误解六:兼职保安WLAN基础设施可能支持一种模式,在这种模式下,AP有时可以被编程作为无线入侵检测传感器。然而,如果您需要更高级别的保护,例如遵守行业或政府法规,那么您确实需要无线入侵防御(而不仅仅是检测),因为将AP从访问切换到保护至多只能提供兼职保护。作为AP的设备不能在安全上花费太大的周期。如果这样做,它将影响其作为数据/语音传输设备的性能。因此,采用该模式后,这些设备在扫描和威胁缓解方面的时间会减少。这将导致威胁检测延迟,并严重影响阻塞/预防。
现实:兼职传感器在可靠的阻塞威胁中惨败(因为这样的传感器不能执行持续和频繁的包含包传输)。
显然,需要集中注意来自未受管理的无线安全设备的威胁。解决这个问题的第一步是为您的企业定义无线安全策略——定义什么是授权通信,什么不是。
下一步是评估特定于您的企业的安全风险,并投资于专门的工具,如无线入侵检测/预防系统。最后,但并非最不重要的是,无线安全也是一个人的问题,用户教育在降低安全风险方面大有帮助。
AirTight Networks专门从事无线安全和性能管理。它为客户提供先进的无线入侵检测和预防(WIPS)解决方案,自动检测、分类、阻止和定位当前和正在出现的无线威胁。
了解更多关于这个主题的信息
无线技术帮助加州大学伯克利分校提高了20%的数据中心效率2020欧洲杯预赛
小心Windows 7中的流氓Wi-Fi接入点