WLAN安全五步曲

申请免费试用、咨询电话：400-8352-114

802.11无线局域网（WLAN）在移动性和生产力方面具有优点，但不一定意味着就要以牺牲信息系统的安全为代价。尽管WLAN存在的陷阱让一些企业放弃了对WLAN的使用，但还有更多的同样关注安全的企业还是放心地部署了安全的WLAN，他们的办法就是实施下列切合实际的步骤，以保护信息资产、识别漏洞、保护网络免受专门针对无线的攻击。

第一步：发现及缓解非法WLAN和漏洞

归根到底，确保WLAN安全首先要了解WLAN所运行的环境。未授权的"非法"WLAN--包括接入点、软接入点（充当接入点的便携式电脑）、用户站、无线条形码扫描器和打印机――是企业网络安全面临的最大威胁之一，因为它们给入侵者敞开了一个避开了所有现有安全措施的入口点。

因为只要把价格低廉的接入点连接到有线网络、把WLAN卡插入到便携式电脑上，就很容易安装简单的WLAN，所以员工们会趁IT部门迟迟不愿采用或者甚至反对新技术之际，擅自部署未授权的WLAN。这些非法的接入点通常缺乏标准安全，因而会避开企业投资搭建的网络安全机制。

便携式电脑等不安全的无线用户站对企业网络安全构成的危险甚至比非法接入点还大。默认配置的这些设备提供不了多少安全，很容易出现配置不当。入侵者可以利用任何不安全的无线用户站作为一块跳板、闯入网络。

同样的不安全因素来自配置不当的WLAN所引起的网络漏洞。与WLAN建在同一个地方的邻近WLAN也会带来这些风险：邻近工作站访问网络、干扰无线信道。免费软件如NetStumbler和 Kismet及其他商用扫描器可以扫描无线电波，寻找非法接入点和某些网络漏洞。这个颇费时间的过程需要网络管理员亲自到WLAN覆盖区域走一趟，寻找无线数据，但效果不大，因为它只是对无线电波采样扫描，寻找现有威胁。

新的非法接入点及其他漏洞可能会在扫描过后出现，等到下一次网络管理员扫描网络时，才会被发现。Gartner公司的无线安全权威：John Girard曾在欧洲召开的一次安全大会上声称，要查找安全隐患，最简单的办法就是购买手持式"嗅探器"，然后巡视本组织网络的边界。

据无线安全专家声称，要发现非法接入点、用户站和漏洞，最好是全天候不间断地监控WLAN。不断监控可以实时发现：非法接入点何时在何处首次出现、连接到哪个用户、交换了多少数据、流量传输方向。Girard进一步说，最安全的办法就是另外安装一套无线入侵检测传感器。

第二步：牢牢控制所有接入点和设备

WLAN安全的下一步涉及对WLAN实行边界控制。应当部署个人代理软件，以便向企业和用户报告所有安全漏洞、执行企业安全政策，从而保护每台配备无线功能的便携式电脑的安全。组织应当部署提供高级安全和管理功能的企业级接入点。

企业应当更改默认的服务集标识符（SSID）。SSID实际上就是每个接入点的名字。思科接入点的默认SSID是tsunami；Linksys接入点的默认SSID是linksys；而英特尔和Symbol接入点的默认SSID是101。这些默认的SSID无异于把易受攻击的WLAN汇报给了黑客。应当把SSID改成对外人来说毫无意义的名字。名字平常的SSID只会叫黑客注意他们想要闯入的宝贵信息。

企业还应当配置接入点，禁用广播模式。在广播模式下，接入点会不断广播其SSID，作为搜寻哪些用户站与之相连的信标。如果关闭了这项默认特性，用户站必须知道SSID，才能连接到接入点。

大多数企业级接入点可以让你根据对授权用户站的媒体访问控制（MAC）地址进行过滤，以此限制哪些用户站可以连接到接入点。尽管MAC地址过滤并非万无一失，但这种方法对哪些用户站可以连接到网络提供了基本的控制功能。有些规模较大的企业所组建的比较复杂的WLAN允许上百个用户站在接入点之间进行漫游，这时它们可能需要远程验证拨入用户服务（RADIUS）服务器提供更复杂的过滤功能。

为了消除这种威胁：入侵者从连接速度大大降低的停车场或者楼上连接到你的WLAN，应当对接入点进行配置，禁止比较低的连接速度。

第三步：加密和验证――VPN

加密和验证为WLAN提供了基本安全。不过，目前无懈可击的加密和验证标准还没有出台。2001年，研究人员和黑客向世人展示他们能够破译802.11 WLAN的标准加密方法：有线对等保密（WEP）。没过多久，黑客就发布了WEPCrack这些免费软件工具，这样谁都可以用这些工具破译这种加密方法，只要观察网络上足够数量的流量，就能弄明白加密密钥。

报告表明WEP及标准验证存在漏洞之后，许多企业心灰意冷，不敢把WEP添加到部署的WLAN当中。这样一来，它们的网络就完全暴露无遗。因为这些加密和验证标准容易受到攻击，所以应当部署更牢固的加密和验证方法，利用无线虚拟专用网（VPN）和RADIUS服务器更加全面地保护WLAN的安全。VPN可以在接入点和网络之间采用强验证和强加密机制；而RADIUS系统可以用来管理验证、记账及对网络资源的访问。

虽然VPN被誉为是WLAN的安全解决方案，但单向验证的VPN仍很容易被人钻空子。部署在大组织的WLAN会带来重大难题：需要把客户软件分发到所有客户机，并加以维护。单向验证的VPN也容易受到中间人攻击（man-in-the-middle attack）及其他诸多的已知攻击。双向验证的无线VPN可以提供强验证，克服WEP的缺陷。
尽管存在上述漏洞，但加密和验证仍是确保WLAN安全的必备要素。

第四步：制定及执行WLAN政策

每个企业网络都要有使用和安全方面的政策，WLAN同样如此。虽然由于每个WLAN的安全和管理需求各不相同，政策也会随之不同，但全面的政策（以及政策执行）可以保护企业避免不必要的安全漏洞和性能衰退。

制订WLAN政策应当从基本面入手：禁止未授权的接入点和特定网络，因为它们会避开网络安全。由于许多安全特性是在接入点和用户站上实现控制的，譬如启用WEP或者VPN、SSID的广播功能，所以相关政策要落实到位，禁止对接入点和WLAN卡重新配置，以免这些特性被更改。

如果制订政策限制WLAN流量在指定信道上传输、连接速度为5.5Mbps和11Mbps、只可以在规定时间段访问，就可以大大提高WLAN的安全。如果为每个接入点建立一个指定信道，其他信道上的所有流量就会被认为是可疑活动。

制订政策规定所有用户站都以较高速度进行连接，这可以保护WLAN，那样在停车场或者邻近办公室的入侵者可能因为距离太远，连接速度达不到5.5Mbps和11Mbps。如果制订政策，把WLAN流量限制在特定的工作时间段，就可以保护WLAN，避免入侵者在停车场连接到网络后，发动深夜攻击，或者避免肆无忌惮的员工趁周围没人之机把敏感文件从有线网络发送到无线网络。

虽然政策不可或缺，但如果不加以执行，就成了一纸空文。就像前面讲到的有效发现网络漏洞那样，政策执行也需要全天候不间断地监控WLAN。

第五步：入侵检测和防护

安全管理人员依靠入侵检测和入侵防护来确保：WLAN的所有部分都是安全的；免受无线威胁和攻击。虽然许多组织已经为有线网络部署了入侵检测系统（IDS），但只有专门针对WLAN的IDS才能保护你的网络，在流量到达有线网络之前，防御无线攻击。

最先进的无线IDS包括实时监控802.11a/b/g协议的功能。通过不断监控所有WLAN的攻击特征、协议分析、统计异常和政策违反现象，组织就能够查出针对WLAN的攻击，包括MAC欺骗引起的身份失窃、中间人攻击和拒绝服务攻击；以及非工作时间的异常活动或者下载大容量文件引起的异常流量。

来源：CCW