无线网络已经被越来越多的企业和个人所接受:它不但提供了极大的便利性,并且其成本也在不断下降。但由于国际WIFI组织在制定IEEE802.11标准时对安全性问题考虑过少,在目前的IEEE802.11a/b/g无线网络标准中,安全性存在着一些先天的缺陷,因此一直备受非议。以至于许多企业级用户不敢将要害业务部署到无线网络平台上来——大多数无线网络仅仅是为了方便员工登陆互联网。
时世造英雄是时代的特色,2002年成立的AirTight 公司(www.AirTightnetworks.net.cn ) 经过短短数年便成为无线周边安全解决方案领导者,其SpectraGuard® 系列无线周边安全软件和硬件产品,在提供企业级无线局域网网络治理,大幅提升性能表现以达到最大容量和正常运营时间的同时,还日夜不间断地执行无线网络监视和自动化的入侵防御任务。
AirTight公司的SpectraGuard® EnterPRise和 Sentry可以根据设定的策略自动阻止任何非法无线连接和不当的设置,并且可以在其控制范围内确定存在问题的无线网络设备的具体位置。这也使得SpectraGuard® 产品家族成为业界唯一能正确地分类无线设备及事件且能自动化识别,自动化停止和精确地找出无线安全风险及攻击的解决方案。
目前无线网络的安全方面主要存在以下八大问题,先简单介绍下。
无线网络安全问题一:私接AP
无线局域网接入点(WLAN APs)是那么便宜,轻易安装,小巧而轻易被人携带。非法的WLAN APs可以无意地或者在IT治理人员无法察觉的情况下恶意地接入到企业网络。只需要把一个小巧的WLAN APs带到企业内部,然后连接到以太网接口上就行了。
私接AP是雇员为了获得快速的无线接入而采用的典型方式,他们安装的AP几乎没有任何安全控制(例如:接入控制列表,Wire Equivalent 协议,802.1X, 802.11i等)。由于这些AP可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如Wi-Fi 交换机和防火墙)。私接AP的无线电覆盖无法被企业所在建筑物所完全屏蔽,非法用户这时就可以通过这些私接AP溢出的无线电覆盖连接到企业网络。不可见的电磁场使得避免这种意外活动变得很困难。即使察觉到他们的存在,找到他们同样很困难。
无线网络安全问题二:不当设置的AP
WLAN AP 支持多种安全特性和设置。许多时候,IT治理人员都会让合法的AP仍然保持出厂时的默认设置或者没有恰当的对它进行设置。这会使AP在没有加密或在弱加密(如WEP)的条件下工作。也有些时候,一个AP在没有设置任何口令的情况下与客户端连接,于是整个企业网络就都在没有任何口令建立了无线连接。
不当设置的AP会导致一系列安全威胁。例如:攻击者可以窃听企业无线网络中不当设置的合法AP与合法用户间的无线通讯。攻击者也可以读取弱加密的通讯。假如AP没有设定口令,非法用户就可以通过这个AP与企业网络建立连接。最近一个被称为“war-driving”的黑客发展基金,就在利用因特网上下载的免费工具来发现那些泄露信号到公共场所的AP。许多勘查工具如:Netstumbler, Wellenreiter和其他工具都可以在因特网上自由下载。
无线网络安全问题三:客户端不当连接
客户端不当连接就是企业内合法用户与外部AP建立连接,这又是怎么发生的呢?一些部署在你工作区四周的AP可能没有做任何安全控制,企业内的合法用户的Wi-Fi卡就可能与这些外部AP建立连接。一旦这个客户端连接到外部AP,企业内可信赖的网络就置身风险之中:外部不安全的连接通过这个客户端就接入到了你的网络。考虑到无线网络的安全状况,我们要防止在不知情的状况下发生:合法用户与外部AP建立连接或内部信息外露的情况。
无线网络安全问题四:非法连接
非法连接是指企业外的人员与企业内合法的AP建立连接。这通常发生在无线空间没有安全控制的情况下。假如一个非法用户与合法AP建立连接,就意味着我们的网络向外部开放了,这会导致重要数据和信息外泄。
无线网络安全问题五:直连网络
802.11 WLAN标准提供一种在无线客户端间建立点对点无线连接的方式。无线客户端之间可以借此建立一个直连网络(AD HOC)。但是,这种直连网络带来了安全漏洞。例如:一个藏在街边,停车场里,或隔壁的攻击者可以与企业内一个合法的笔记本建立无线连接。这个攻击者此时就可以通过这台笔记本发动攻击。比如:假如这台笔记本与其他合法用户间共享了某些资源(文件或目录等),攻击者也可以通过直接连接获得这些资源。
以上5个网络安全问题对企业形成了威胁,其严重性决不可小视。非法设备通过上述AP与企业网络连接会导致数据失窃,数据重路由,数据崩溃,身份模拟,DOS,病毒感染以及其他类型在企业有线网络中存在的攻击。
假如以上的安全问题只是威胁的话,下面要介绍的则是针对危害更加严重的无线网络的攻击活动:
无线网络安全问题六:C伪造
无线局域网中的AP通过传送beacon(或者probe responses)宣示他们的存在。这些beacon中包含了AP的MAC地址(这是它的身份标识)和SSID(它所支持网络中的身份标志)。无线客户端收听四周不同AP发出的beacon。客户端通常与那个具有预期的SSID并且beacon信号很强的AP建立连接。市场上有相当数量的WLAN AP的MAC 地址和SSID是答应被用户修改的。这样的AP和软件工具很好获得,他们都答应将AP的MAC 地址和SSID修改成任何值。
通过伪造MAC,攻击者可以让一个AP发送与遭复制的AP相同的身份信息。经过伪造MAC的AP也可以发动诸如:packet dropping和packet corruption and modification等破坏性攻击。一个经伪造MAC的AP甚至可以连接到企业的有线网络,作为私接AP和逃避普通搜索工具的侦测。甚至一个伪造MAC的AP可以诱惑企业无线局域网中的合法无线客户端与其建立连接从而骗取其机密信息。 它可以在合法的通讯中扮演中间人的角色,从而使合法用户难以察觉。
无线网络安全问题七:蜜罐P
多个无线网络可以并存在同一个空间里,用户可以连接到任何可用的网络,而不必在乎他加入的是自己所属的网络还是四周其他无线电覆盖过大的网络。攻击者建立一个信号比企业无线网更强的非法无线网络,就可以利用这一特性进行入侵。它需要在企业的无线网络四周(街上或停车场)开启一个AP。这些AP可以通过发送更强的beacon信号和伪造的MAC地址来吸引合法的企业用户与其建立连接。 这些AP被称为蜜罐AP(Honeypot AP)或恶魔双胞胎(Evil Twins)。一个合法用户无意中与蜜罐AP建立了连接导致的安全漏洞会泄露敏感信息——如身份认证信息给蜜罐AP。攻击者也可以为使用蜜罐AP的合法用户充当通讯中间人。
企业无线局域网中的合法无线客户端也会偶然连接到四周并无恶意的AP (被称为“客户端不当连接”)。然而因此造成的安全漏洞会使无线网络客户端无意地向这些AP发送机密信息。这往往是由客户端或邻近AP不当的设置造成的。这与蜜罐AP的区别在于是否是被连接的AP是否是有意设置的。
无线网络安全问题八:拒绝服务
无线局域网逐渐被赋予传送重要应用的任务,这些应用包括:数据库接入,VOip、email、web和会议。这些应用会被DOS攻击所破坏,造成网络瘫痪,阻挠用户接入并大幅降低系统性能。
无线局域网传输作为开放的传输介质很轻易被用来发动DOS 攻击。此外,802.11 MAC 协议中的soft spots也是被用来作为发动DOS攻击的漏洞。例如以下的DOS攻击:authentication, association, de-authentication 或 disassociation flood, NAV attack, CTS flood, and EAP and EAPOL message floods就可以轻易发动而造成整个企业无线局域网络瘫痪。不幸的是,从因特网上可以轻易获得各种DOS工具,如:AirJack, FataJack, Void11, Fake AP等等。
目前AirTight所提供的是最完整的无线网络安全和入侵防御解决方案。
AirTight 将无线领空里所有可能发生的信息安全事件,通过 AirTight 的无线网络入侵防御系统划分为四个阶段期:Plan(计划) 、Monitor(监控) 、Secure(防御) 及Manage(治理) ,再配合 AirTight 所提供强大的警示、实时锁定、追踪、自动化分类机制及完整的信息安全报表,以提供最完整的无线网络入侵防御解决方案。
Plan:初期计划完整部署无线网络所需
AirTight 提供完整的初期计划软件 (AirTight SpectraGuard Planner) ,让您能够充分的在先期能够猜测,部署无线网络所需之设备数量及预期目标,其强大的功能包括:让您能够猜测其无线 AP 部署位置及其覆盖范围、 Sensor 部署位置及各种波段涵盖范围、各种讯号连结速度猜测等等,可以直观的了解部署后的无线空间状况。
AirTight SpectraGuard Planner 规划软件界面示意图
Monitor : 7X24 小时无间断的的入侵防御监测
AirTight 无线入侵防御系统通过部署在您的办公区域内各处的Sensor硬件设备,提供 7 X 24 小时无间断的入侵防御监测,让您能够充分的把握无线网络目前安全状态,并且在第一时间及能通知治理者。
AirTight SpectraGuard Enterpise 设备
Secure :主动式的安全防御系统
部署在您的办公区域内各处的Sensor硬件设备不但可以监视无线空间的变化,而且可以自动根据预先设定的策略实时地进行防护,阻断一切未经答应的连接。根据 AirTight 在 TOLLY Group 研究测试报告的测试数据,显示出 AirTight 均能够丝毫无误的防御突如其来的大量威胁,是唯一可同时侦测与防御威胁超过 140 种警告讯息,提供有关使用者效能及联机方面问题步骤式的除错指令,解决来自无线领空中各种不同的威胁。 AirTight 在安全防御能力无疑是业界首屈一指的产品,荣获多国际测试机构评选为首选无线网络安全入侵防御产品。
Manage :人性化治理机制
AirTight 提供完整的分布式集中控管机制,透过 AirTight SpectraGuard MNC 中心控管系统,让您能够同时把握分属各地之 AirTight 无线入侵设备,充分把握资安事件治理。 AirTight SpectraGuard SAFE 也整合端点式的防御机制,为适用于移动式客户端,提供多种不同的 Profile 设定方式,例如: Work 及 Home 不同的设定方式,并且当软件安装完毕, AirTight Server 将网络治理人员所设定之 Profile ,直接 PUSH 至客户端,当使用者于公司使用无线网络时,就必须完全依照网络治理人员之规范使用无线网络。
AirTight SpectraGuard SAFE 软件界面示意图
可定制的国际标准报表输出选择
AirTight 除了有精准的锁定追踪能力之外,在报表方面更是领先其它同业, AirTight 不但可以提供可定制的报表输出之外,还可以提供许多国际标准的报表输出格式,例如:萨班斯法案 (Sarbanes-Oxley) ,美国健康保险流通与责任法案 (HIPAA) 、美国金融服务法 (Gramm-Leach-Bliley) and DoD Directive 8100.2 等,报表中详述违反安全摘要,提供深入 (Drill-down) 功能查询每一个事件的具体内容。
AirTight 深获国际媒体及研究中心青睐为全球无线入侵防御首选品牌
AirTight 荣 获 Information Security Magazine 评选第一名之殊荣,在这份 2006 年三月无线网入侵防御产品评估,赢得 5 个 A 的最高评价 。 测试团队表示 AirTight 提供完整的无线入侵防御建置系统,无论在初期规划分析上或是完全自动化的安全政策支持,再加上完整的威胁追踪及精准的锁定能力,显示出 AirTight 在无线网络入侵防御的领域为最优秀的产品。
SecurInfo 评选为 5 个 A 之最高评鉴
AirTight在TOLLY Group 研究测试报告中也评选为第一名,在 Tolly Group 的测试报告中,测试项目包括: 私接AP , 客户端不当连接, 支链网络 , Mac伪造 , 蜜罐攻击 , AP不当设置 , DOS攻击 , 定位追踪和报告 ,以上测试项目为最常见的无线网络威胁来源, AirTight 面对于以上这些威胁发生时在测试的数据显示出, AirTight 均能够丝毫无误的测试成绩,显示出 AirTight 能够防御突如其来的大量威胁,唯一可同时侦测与防御威胁超过 140 种警告讯息,提供有关使用者效能及联机方面问题步骤式的除错指令,解决来自无线领空中各种不同的威胁。(image013)
新闻热点
疑难解答