【TechTarget中国原创】许多企业对网络安全最关注的是保护本地无线网络(WLAN)。下面会分三部分阐述保护企业WLAN安全的最佳的的实践。第一部分侧重于系统地WLAN网络入侵监控方法和主动减少网络暴露方法。第二和三部分分别侧重于如何保护用户和网络。
阻止入侵
最佳实践的定义
对于无线安全,“最佳实践”是一个相对而言的词汇。U.S. Federal Treasury的最佳实践与快餐品零售商的最佳实践可能有所不同。这是因为每个企业对无线风险评估是各不相同的。而这里所定义的最佳实践是一种通用的、符合成本效益的并且几乎适用于所有企业的实质性方法论。“实践”这个词指的是技术和流程。比如,“使用Wi-Fi Protected Access 2 (WPA2) 安全”就是一个最佳的技术实践,而“培训员工避免特定WLAN连接”则是一个最佳的流程实践。
网络发现
网络入侵者会使用各种方法来发现存在的WLAN以及其相应的服务设置标识符(SSID)。入侵者可以使用共享软件,如NetStumbler,以及高增益天线来扫描存在的WLAN。不幸的是,隐藏WLAN或SSID是不太可能的,因为管理帧和控制帧是没有加密的。(注意:IEEE正在制订一个方案[802.11w]来增强管理帧的安全性。)
一些安全专家建议在信标帧中禁用SSID广播和广播SSID的探测响应帧。但是,我们并不推荐这种方法。第一个操作会增加WLAN流量,因为它会迫使网络上的所有工作站周期性地通过发送探测请求来扫描有效的AP。第二个操作会迫使网络管理员为每个工作站手动配置SSID。这两种操作都无法实质性的减少入侵者发现WLAN的可能性。
因此,我们推荐以下的最佳实践:
隐藏AP的安装位置。这种作法可以防止WLAN被不经意地探测到,也能使AP更难以被定位到。
降低无线电功率以最小化无线电频率(RF)泄露。降低无线电功率能够将覆盖率减少到那些应该接受到无线信号的地方。
有些高风险要求的企业可能希望使用定向天线而非全向天线,以便能够更好地控制信号传播。使用针对内部建筑的定向天线可以减小RF信号泄露到建筑外部。
网络入侵
网络入侵会带来未授权的网络流量,这些流量可能专门针对利用系统的漏洞或者带有恶意的代码(例如,蠕虫病毒和特洛伊木马程序),或者它可能会带来违反该单位可接受使用策略的流量。最常见的无线网络入侵是流氓AP。另一种入侵攻击是让一个工作站能通过一个特定连接来建立与另一个不与AP连接的工作站的连接。这种类型的无线连接可能导致中间人攻击(Man-in-the-Middle Attack)。
无线入侵检测系统(WIDS )可以监测流氓AP和未经授权的设备,维护政策规范,以及发现异常或可疑行为。其中附加WIDS解决方案依靠于一个类似于AP的专门的分布式硬件传感器。该传感器不断地监视多波段频道并向中央管理控制台报告异常情况。另外,企业也可以使用一个整合WIDS解决方案(来自于WLAN系统供应商),它将传感器功能整合到一个AP上。然而很多这种整合解决方案不提供持续的监控,因此可能无法阻止一些入侵行为。
我们推荐下列的最佳实践:
使用WIDS解决方案同时监控2.4 GHz和5GHz波段的流氓AP。
周期性地使用手持监控设备在一些无线覆盖小或没有无线覆盖的区域同时监控2.4 GHz 和 5GHz波段的流氓AP。
使用有线网络的审计技术来发现无线网络的入侵者。比如,只接受来自于授权的网络上的动态主机控制协议(DHCP)请求。这种技术将阻止流氓AP获得IP地址并且向网络管理员发出潜在入侵者的警告。
对员工进行培训,让员工不要连接到任何特别的WLAN。