WLAN安全該如何保障
隨著Internet的迅猛發(fā)展,以及便攜電腦、智能手機(jī)等移動智能終端的使用日益頻繁,以無線信道作為傳輸媒介的無線局域網(wǎng)(WLAN)技術(shù)給用戶提供了有線網(wǎng)絡(luò)無可比擬的可移動、漫游的便利。無線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE定義的 802.11系列標(biāo)準(zhǔn),早期應(yīng)用定位于家庭、企業(yè)內(nèi)部以及運(yùn)營商鋪設(shè)的熱點地區(qū),比如機(jī)場、寫字樓、咖啡廳等。隨著技術(shù)的成熟以及移動互聯(lián)網(wǎng)應(yīng)用的發(fā)展,WLAN如今已成為主流互聯(lián)網(wǎng)高速接入技術(shù)之一。但在WLAN業(yè)務(wù)系統(tǒng)日漸壯大的同時,也不斷暴露出各種安全問題,
下面是由學(xué)習(xí)啦小編整理的從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進(jìn)行分析,并對部分業(yè)務(wù)安全問題提出了目前的解決方案,希望大家喜歡!
WLAN 安全接入標(biāo)準(zhǔn)
無線網(wǎng)絡(luò)WLAN安全接入標(biāo)準(zhǔn),大致有三種,分別是WEP、WPA和WAPI。
WEP(Wired Equivalent Privacy)
WEP(Wired Equivalent Privacy)是802.11b采用的安全標(biāo)準(zhǔn),用于提供一種加密機(jī)制,保護(hù)數(shù)據(jù)鏈路層的安全,使無線網(wǎng)絡(luò)WLAN的數(shù)據(jù)傳輸安全達(dá)到與有線LAN相同的級別。
WPA (Wi-Fi Protected Access)
WPA(Wi-Fi Protected Access)是保護(hù)Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個版本,是WEP的升級版本,針對WEP的幾個缺點進(jìn)行了彌補(bǔ)。是802.11i的組成部分,在802.11i沒有完備之前,是802.11i的臨時替代版本。
WAPI (WLAN Authentication and PrivacyInfrastructure)
WAPI(WLAN Authentication and Privacy Infrastructure)是我國自主研發(fā)并大力推行的無線WLAN安全規(guī)范,它通過了IEEE(注意,不是Wi-Fi)認(rèn)證和授權(quán),是一種認(rèn)證和私密性保護(hù)協(xié)議,其作用類似于802.11b中的WEP,但是能提供更加完善的安全保護(hù)。
WLAN 系統(tǒng)面臨安全風(fēng)險和問題
進(jìn)入階段
WPA/WPA2及WEP標(biāo)準(zhǔn)安全性:目前主流的WPA-PSK類型的無線網(wǎng)絡(luò)可利用PSK+ssid先生成PMK,然后結(jié)合握手包中的客戶端MAC、AP的BSSID、A-NONCE、S-NONCE計算PTK,再加上原始的報文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較的方式進(jìn)行暴力破解,這一方法被稱為字典跑包。另外一種較為主流的破解方式為PIN碼破解,也被稱為WPS破解,主要原理為利用WPS存在的安全問題,通過PIN碼可以直接提取密碼。而PIN碼是一個8位的整數(shù),破解過程時間比較短。WPS PIN碼的第8位數(shù)是一個校驗和,因此黑客只需計算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證。所以破解pin碼最多只需要1.1萬次嘗試,順利的情況下在3小時左右。而WEP由于自身設(shè)計缺陷,早已在2003年被Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)(又稱為 WPA2)所取代,但現(xiàn)網(wǎng)中仍有部分老舊設(shè)備仍使用簡單的WEP標(biāo)準(zhǔn)提供服務(wù)。
配置缺陷:由于許多企業(yè)并沒有啟用認(rèn)證系統(tǒng),或者是在WLAN認(rèn)證Portal頁面的密碼登錄部分未設(shè)置驗證碼等機(jī)制,這些配置上的缺陷也會導(dǎo)致密碼被暴力破解。
密碼共享:隨著Wi-Fi萬能鑰匙等產(chǎn)品的流行泛濫,許多未啟用認(rèn)證系統(tǒng)的企業(yè)面臨著WLAN密碼分秒被破解的窘境,企業(yè)內(nèi)網(wǎng)公然暴露在入侵者面前。
攻擊階段
設(shè)備漏洞:WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性,可被利用控制操縱WLAN設(shè)備,進(jìn)而影響WLAN業(yè)務(wù)的正常使用。如果未采用詳細(xì)的訪問策略進(jìn)行控制的話,用戶在接入WLAN網(wǎng)絡(luò)后,可訪問這些設(shè)備。一般AP設(shè)備安全防護(hù)較差,若存在弱口令或缺省口令,被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備,導(dǎo)致設(shè)備無法正常使用。AC等設(shè)備存在的一些漏洞(比如任意配置文件下載漏洞)也可導(dǎo)致賬號密碼、IP路由等信息泄露,進(jìn)而影響系統(tǒng)的安全運(yùn)行。
跳板攻擊:WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離,導(dǎo)致WLAN設(shè)備易被攻擊控制,AC可從任意地址登錄,攻擊者可利用掃描軟件對設(shè)備進(jìn)行暴力密碼掃描。
地址欺騙和會話攔截:由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作,攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂,通過非常簡單的方法,攻擊者可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址,這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進(jìn)行攻擊外,攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷,通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò),通過這樣的AP,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對每一個802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前,通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。
高級入侵階段
高級入侵:一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊,但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò),同樣也會使網(wǎng)絡(luò)暴露出來從而遭到進(jìn)一步入侵。
WLAN系統(tǒng)安全防護(hù)
針對上述安全風(fēng)險,為確保WLAN系統(tǒng)正常運(yùn)行,應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流,在各個環(huán)節(jié)、各個層面做好基本安全防護(hù)。
接入防護(hù)
接入防護(hù)是確保WLAN系統(tǒng)的所有設(shè)備安全運(yùn)行最基本的保障。AP被控制可能會導(dǎo)致用戶根本無法接入;AC被控制將影響AC所管理的所有AP設(shè)備,導(dǎo)致大量用戶無法正常接入,并有可能將用戶引入攻擊者設(shè)計的Portal頁面;RADIUS被控制影響用戶的管理;網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問;RADIUS、Portal出現(xiàn)問題影響用戶的認(rèn)證與計費(fèi);網(wǎng)管設(shè)備出現(xiàn)問題導(dǎo)致被管對象運(yùn)行異常,甚至?xí)?dǎo)致攻擊者從外網(wǎng)進(jìn)入內(nèi)網(wǎng),進(jìn)而發(fā)起更深層次的攻擊。所以列出如下幾點建議對WLAN接入防護(hù)進(jìn)行加固:
WLAN系統(tǒng)相關(guān)設(shè)備設(shè)置復(fù)雜的口令;
對于開啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字,除非必要不開啟具有寫權(quán)限的通信字,并對可訪問地址進(jìn)行嚴(yán)格限制;
采用端口訪問技術(shù)(802.1x)進(jìn)行控制,防止非授權(quán)的非法接入和訪問;
對AP和網(wǎng)卡設(shè)置復(fù)雜的SSID,并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定;
禁止AP向外廣播其SSID;
布置AP的時候要在公司辦公區(qū)域以外進(jìn)行檢查,防止AP的覆蓋范圍超出辦公區(qū)域(難度較大),同時要讓保安人員在公司附近進(jìn)行巡查,防止外部人員在公司附近接入網(wǎng)絡(luò);
開啟日志,并定期查看系統(tǒng)日志。在攻擊者掃描時一般會在系統(tǒng)中留下較明顯的日志,如圖1所示即為一 AC設(shè)備上的登錄日志,從日志即可看出來該IP地址對AC設(shè)備賬號密碼進(jìn)行了掃描破解;
RADIUS系統(tǒng)存儲的WLAN用戶賬號密碼,應(yīng)采用加密方式保存,同時增強(qiáng)WLAN用戶密碼生成機(jī)制的安全性,避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令。
攻擊防護(hù)
做好用戶隔離,開啟AC用戶隔離功能和交換機(jī)端口隔離功能。正常情況下,未認(rèn)證用戶不能訪問網(wǎng)絡(luò)內(nèi)其他用戶,認(rèn)證后用戶在同一AP、同一熱點不同AP 下不能互通。
根據(jù)需要為AC劃分管理VLAN和用戶VLAN, VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間,以及內(nèi)部不同安全域之間通過防火墻實現(xiàn)隔離及訪問控制,細(xì)化訪問控制策略嚴(yán)格限制可登錄維護(hù)地址范圍與端口。
高級入侵防護(hù)
區(qū)域部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測系統(tǒng)、防火墻,在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕和網(wǎng)頁防篡改軟件。
加強(qiáng)審計,對WLAN網(wǎng)絡(luò)內(nèi)的所有節(jié)點都做好統(tǒng)計
綠盟安全無線防御系統(tǒng)
產(chǎn)品綜述
安全無線防御系統(tǒng)主要由以下幾部分組成:
安全無線防御系統(tǒng):部署需要安全防護(hù)的無線網(wǎng)絡(luò)中,融合多種安全能力,針對無線掃描、無線欺騙、無線DoS、無線破解等無線網(wǎng)絡(luò)威脅,實現(xiàn)精確防控的高可靠、高性能、易管理的安全無線防御設(shè)備。
無線安全集中數(shù)據(jù)分析中心:無線安全數(shù)據(jù)分析是無線安全產(chǎn)品海量信息的后臺處理中心。主要完成安全無線防御系統(tǒng)的日志和安全事件的存儲、分析、審計和處理功能。
產(chǎn)品特性
綠盟安全無線防御系統(tǒng)的主要特性包括:
無線防火墻,結(jié)合射頻信號及802.11特點,提供創(chuàng)新的無線防火墻安全策略,可根據(jù)AP或Station的安全屬性定制無線網(wǎng)絡(luò)準(zhǔn)入規(guī)則,通過射頻信號阻止非法用戶接入,建立射頻安全區(qū),提供具有物理安全、可信的無線網(wǎng)絡(luò)。
安全無線防御,提供包括無線掃描、欺騙、DoS、破解等多個大類數(shù)十種無線攻擊的檢測、告警、阻斷功能,同時提供多種類型流氓AP的檢測與阻斷,徹底杜絕內(nèi)網(wǎng)機(jī)密通過無線網(wǎng)絡(luò)向外泄露。
豐富的報表統(tǒng)計,提供無線網(wǎng)絡(luò)實時拓?fù)?、雷達(dá)圖、柱狀圖、餅狀圖、攻擊排名等多種豐富統(tǒng)計,無線安全狀態(tài)一目了然。
綠盟科技可提供專業(yè)化的無線安全防護(hù)方案。各企業(yè)用戶可根據(jù)企業(yè)規(guī)模、人才儲備、業(yè)務(wù)特點等情況,在不同攻擊層面對自身WLAN業(yè)務(wù)進(jìn)行防護(hù)加固,降低安全風(fēng)險,避免安全損失,保障企業(yè)效益。