WLAN安全預(yù)防措施解決方案有哪些
現(xiàn)在網(wǎng)絡(luò)安全成為互聯(lián)網(wǎng)的一個(gè)熱點(diǎn)問題,包括有線網(wǎng)絡(luò)和無線局域網(wǎng)WLAN,對(duì)于WLAN有什么趨勢(shì)呢,有沒有什么安全預(yù)防措施? 下面是由學(xué)習(xí)啦小編整理的從設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)等層次針對(duì)WLAN業(yè)務(wù)系統(tǒng)所面臨的安全威脅進(jìn)行分析,并對(duì)部分業(yè)務(wù)安全問題提出了目前的解決方案,希望大家喜歡!
WLAN系統(tǒng)相關(guān)設(shè)備設(shè)置復(fù)雜的口令;
對(duì)于開啟SNMP協(xié)議的設(shè)備應(yīng)設(shè)置復(fù)雜的通信字,除非必要不開啟具有寫權(quán)限的通信字,并對(duì)可訪問地址進(jìn)行嚴(yán)格限制;
采用端口訪問技術(shù)(802.1x)進(jìn)行控制,防止非授權(quán)的非法接入和訪問;
對(duì)AP和網(wǎng)卡設(shè)置復(fù)雜的SSID,并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定;
禁止AP向外廣播其SSID;
布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查,防止AP的覆蓋范圍超出辦公區(qū)域(難度較大),同時(shí)要讓保安人員在公司附近進(jìn)行巡查,防止外部人員在公司附近接入網(wǎng)絡(luò);
開啟日志,并定期查看系統(tǒng)日志。在攻擊者掃描時(shí)一般會(huì)在系統(tǒng)中留下較明顯的日志,如圖1所示即為一 AC設(shè)備上的登錄日志,從日志即可看出來該IP地址對(duì)AC設(shè)備賬號(hào)密碼進(jìn)行了掃描解除;
RADIUS系統(tǒng)存儲(chǔ)的WLAN用戶賬號(hào)密碼,應(yīng)采用加密方式保存,同時(shí)增強(qiáng)WLAN用戶密碼生成機(jī)制的安全性,避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令。
攻擊防護(hù)
做好用戶隔離,開啟AC用戶隔離功能和交換機(jī)端口隔離功能。正常情況下,未認(rèn)證用戶不能訪問網(wǎng)絡(luò)內(nèi)其他用戶,認(rèn)證后用戶在同一AP、同一熱點(diǎn)不同AP 下不能互通。
根據(jù)需要為AC劃分管理VLAN和用戶VLAN, VLAN間不互通。在WLAN系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間,以及內(nèi)部不同安全域之間通過防火墻實(shí)現(xiàn)隔離及訪問控制,細(xì)化訪問控制策略嚴(yán)格限制可登錄維護(hù)地址范圍與端口。
高級(jí)入侵防護(hù)
區(qū)域部署專業(yè)安全設(shè)備。在核心網(wǎng)元部署入侵檢測(cè)系統(tǒng)、防火墻,在Portal服務(wù)器所在網(wǎng)絡(luò)部署防拒絕和網(wǎng)頁(yè)防篡改軟件。
加強(qiáng)審計(jì),對(duì)WLAN網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)都做好統(tǒng)計(jì)
綠盟安全無線防御系統(tǒng)
產(chǎn)品綜述
安全無線防御系統(tǒng)主要由以下幾部分組成:
安全無線防御系統(tǒng):部署需要安全防護(hù)的無線網(wǎng)絡(luò)中,融合多種安全能力,針對(duì)無線掃描、無線欺騙、無線DoS、無線解除等無線網(wǎng)絡(luò)威脅,實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的安全無線防御設(shè)備。
無線安全集中數(shù)據(jù)分析中心:無線安全數(shù)據(jù)分析是無線安全產(chǎn)品海量信息的后臺(tái)處理中心。主要完成安全無線防御系統(tǒng)的日志和安全事件的存儲(chǔ)、分析、審計(jì)和處理功能。
產(chǎn)品特性
綠盟安全無線防御系統(tǒng)的主要特性包括:
無線防火墻,結(jié)合射頻信號(hào)及802.11特點(diǎn),提供創(chuàng)新的無線防火墻安全策略,可根據(jù)AP或Station的安全屬性定制無線網(wǎng)絡(luò)準(zhǔn)入規(guī)則,通過射頻信號(hào)阻止非法用戶接入,建立射頻安全區(qū),提供具有物理安全、可信的無線網(wǎng)絡(luò)。
安全無線防御,提供包括無線掃描、欺騙、DoS、解除等多個(gè)大類數(shù)十種無線攻擊的檢測(cè)、告警、阻斷功能,同時(shí)提供多種類型流氓AP的檢測(cè)與阻斷,徹底杜絕內(nèi)網(wǎng)機(jī)密通過無線網(wǎng)絡(luò)向外泄露。
豐富的報(bào)表統(tǒng)計(jì),提供無線網(wǎng)絡(luò)實(shí)時(shí)拓?fù)?、雷達(dá)圖、柱狀圖、餅狀圖、攻擊排名等多種豐富統(tǒng)計(jì),無線安全狀態(tài)一目了然。
綠盟科技可提供專業(yè)化的無線安全防護(hù)方案。各企業(yè)用戶可根據(jù)企業(yè)規(guī)模、人才儲(chǔ)備、業(yè)務(wù)特點(diǎn)等情況,在不同攻擊層面對(duì)自身WLAN業(yè)務(wù)進(jìn)行防護(hù)加固,降低安全風(fēng)險(xiǎn),避免安全損失,保障企業(yè)效益。
WLAN 安全接入標(biāo)準(zhǔn)
無線網(wǎng)絡(luò)WLAN安全接入標(biāo)準(zhǔn),大致有三種,分別是WEP、WPA和WAPI。
WEP(Wired Equivalent Privacy)
WEP(Wired Equivalent Privacy)是802.11b采用的安全標(biāo)準(zhǔn),用于提供一種加密機(jī)制,保護(hù)數(shù)據(jù)鏈路層的安全,使無線網(wǎng)絡(luò)WLAN的數(shù)據(jù)傳輸安全達(dá)到與有線LAN相同的級(jí)別。
WPA (Wi-Fi Protected Access)
WPA(Wi-Fi Protected Access)是保護(hù)Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個(gè)版本,是WEP的升級(jí)版本,針對(duì)WEP的幾個(gè)缺點(diǎn)進(jìn)行了彌補(bǔ)。是802.11i的組成部分,在802.11i沒有完備之前,是802.11i的臨時(shí)替代版本。
WAPI (WLAN Authentication and PrivacyInfrastructure)
WAPI(WLAN Authentication and Privacy Infrastructure)是我國(guó)自主研發(fā)并大力推行的無線WLAN安全規(guī)范,它通過了IEEE(注意,不是Wi-Fi)認(rèn)證和授權(quán),是一種認(rèn)證和私密性保護(hù)協(xié)議,其作用類似于802.11b中的WEP,但是能提供更加完善的安全保護(hù)。
WLAN 系統(tǒng)面臨安全風(fēng)險(xiǎn)和問題
進(jìn)入階段
WPA/WPA2及WEP標(biāo)準(zhǔn)安全性:目前主流的WPA-PSK類型的無線網(wǎng)絡(luò)可利用PSK+ssid先生成PMK,然后結(jié)合握手包中的客戶端MAC、AP的BSSID、A-NONCE、S-NONCE計(jì)算PTK,再加上原始的報(bào)文數(shù)據(jù)算出MIC并與AP發(fā)送的MIC比較的方式進(jìn)行暴力解除,這一方法被稱為字典跑包。另外一種較為主流的解除方式為PIN碼解除,也被稱為WPS解除,主要原理為利用WPS存在的安全問題,通過PIN碼可以直接提取密碼。而PIN碼是一個(gè)8位的整數(shù),解除過程時(shí)間比較短。WPS PIN碼的第8位數(shù)是一個(gè)校驗(yàn)和,因此黑客只需計(jì)算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證。所以解除pin碼最多只需要1.1萬次嘗試,順利的情況下在3小時(shí)左右。而WEP由于自身設(shè)計(jì)缺陷,早已在2003年被Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)(又稱為 WPA2)所取代,但現(xiàn)網(wǎng)中仍有部分老舊設(shè)備仍使用簡(jiǎn)單的WEP標(biāo)準(zhǔn)提供服務(wù)。
配置缺陷:由于許多企業(yè)并沒有啟用認(rèn)證系統(tǒng),或者是在WLAN認(rèn)證Portal頁(yè)面的密碼登錄部分未設(shè)置驗(yàn)證碼等機(jī)制,這些配置上的缺陷也會(huì)導(dǎo)致密碼被暴力解除。
密碼共享:隨著Wi-Fi萬能鑰匙等產(chǎn)品的流行泛濫,許多未啟用認(rèn)證系統(tǒng)的企業(yè)面臨著WLAN密碼分秒被解除的窘境,企業(yè)內(nèi)網(wǎng)公然暴露在入侵者面前。
攻擊階段
設(shè)備漏洞:WLAN系統(tǒng)設(shè)備自身存在的安全漏洞、脆弱性,可被利用控制操縱WLAN設(shè)備,進(jìn)而影響WLAN業(yè)務(wù)的正常使用。如果未采用詳細(xì)的訪問策略進(jìn)行控制的話,用戶在接入WLAN網(wǎng)絡(luò)后,可訪問這些設(shè)備。一般AP設(shè)備安全防護(hù)較差,若存在弱口令或缺省口令,被惡意攻擊者控制后可修改配置或關(guān)閉設(shè)備,導(dǎo)致設(shè)備無法正常使用。AC等設(shè)備存在的一些漏洞(比如任意配置文件下載漏洞)也可導(dǎo)致賬號(hào)密碼、IP路由等信息泄露,進(jìn)而影響系統(tǒng)的安全運(yùn)行。
跳板攻擊:WLAN設(shè)備管理IP地址段與普通WLAN用戶IP地址段未做有效隔離,導(dǎo)致WLAN設(shè)備易被攻擊控制,AC可從任意地址登錄,攻擊者可利用掃描軟件對(duì)設(shè)備進(jìn)行暴力密碼掃描。
地址欺騙和會(huì)話攔截:由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作,攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂,通過非常簡(jiǎn)單的方法,攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址,這些地址可以被用來惡意攻擊時(shí)使用。除攻擊者通過欺騙幀進(jìn)行攻擊外,攻擊者還可以通過截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷,通過監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個(gè)AP,攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò),通過這樣的AP,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前,通過會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。
高級(jí)入侵階段
高級(jí)入侵:一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊,但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò),同樣也會(huì)使網(wǎng)絡(luò)暴露出來從而遭到進(jìn)一步入侵。
WLAN系統(tǒng)安全防護(hù)
針對(duì)上述安全風(fēng)險(xiǎn),為確保WLAN系統(tǒng)正常運(yùn)行,應(yīng)全面梳理WLAN業(yè)務(wù)的數(shù)據(jù)流與控制流,在各個(gè)環(huán)節(jié)、各個(gè)層面做好基本安全防護(hù)。
接入防護(hù)
接入防護(hù)是確保WLAN系統(tǒng)的所有設(shè)備安全運(yùn)行最基本的保障。AP被控制可能會(huì)導(dǎo)致用戶根本無法接入;AC被控制將影響AC所管理的所有AP設(shè)備,導(dǎo)致大量用戶無法正常接入,并有可能將用戶引入攻擊者設(shè)計(jì)的Portal頁(yè)面;RADIUS被控制影響用戶的管理;網(wǎng)絡(luò)設(shè)備被控制將影響網(wǎng)絡(luò)訪問;RADIUS、Portal出現(xiàn)問題影響用戶的認(rèn)證與計(jì)費(fèi);網(wǎng)管設(shè)備出現(xiàn)問題導(dǎo)致被管對(duì)象運(yùn)行異常,甚至?xí)?dǎo)致攻擊者從外網(wǎng)進(jìn)入內(nèi)網(wǎng),進(jìn)而發(fā)起更深層次的攻擊。所以列出如下幾點(diǎn)建議對(duì)WLAN接入防護(hù)進(jìn)行加固: