无线局域网非法接入点的探测和处理.docx
《无线局域网非法接入点的探测和处理.docx》由会员分享,可在线阅读,更多相关《无线局域网非法接入点的探测和处理.docx(8页珍藏版)》请在冰豆网上搜索。
无线局域网非法接入点的探测和处理
无线局域网非法接入点的探测和处理
摘要:
近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。
但是随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁。
本文将深入探讨无线局域网非法接入点对企业及其网络带来的巨大安全威胁,以及如何缓解或消除这种威胁。
关键词:
无线局域网探测处理
无线局域网具有使用灵活方便,成本较低等优点,但由于无线电波可以轻易穿透墙壁,窗户等屏障,入侵者就可以在户外轻易的利用无线局域网的安全漏洞入侵用户所在的以太网。
无线局域网的发展前景极其广阔,是未来网络发展的一个重要的方向,但是无线局域网的安全问题,成为当今一个非常重要的研究课题,也正是因为这个安全因素,限制了无线局域网的蓬勃发展。
本文将就无线局域网的安全薄弱环节—非法接入点的安全问题进行深入探讨,同时介绍如何使用技术手段防止非法接入点的接入。
1非法接入点概述
无线接入点即无线AP(AccessPoint)它是用于无线网络的无线交换机,也是无线网络的核心[1]。
无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。
1.1非法接入点带来的问题
非法接入点指的是未经许可而被安装的接入点。
它可能会给安全敏感的企业网络造成一个后门,从而对企业的信息安全带来极大威胁。
攻击者可以通过后门对一个受保护的网络进行访问,从而绕开“前门”的所有安全措施。
无线信号是在空气中进行传播的,因此在大多数情况下没有传输屏障。
它们可以穿过墙壁和屏障,到达公司建筑外很远的地方。
这些无线信号既可能来自非法接入点又可能来自合法接入点。
它们代表的敏感数据或机密信息既可能来自企业内部,也可能来自员工在企业外部使用的移动设备,若入侵者能够连接企业内部的局域网,则将会对企业以太网的安全性造成威胁,若是用户连接了入侵者所设置的非法接入点,则可能造成对用户本身的机密信息丢失。
私自安装的非法接入点造成的问题在于给企业带来了极大的安全威胁,因为它们只采用了非常薄弱的安全措施,却把公司内部网络扩展到了外部攻击者的可访问范围内[2]。
所以,在任何一个公司的网络环境中,都需要对非法的无线接入点进行探测和核查,即使该公司并不提供无线网络访问服务。
1.2非法接入点是安全链中最薄弱的一环
网络的安全性取决于整个安全链中最薄弱的一环。
假设公司内部已经部署了一个非常稳定和安全的无线及有线网络,建立这个安全的无线网络所花费的全部时间和金钱,却可能被一个小小的非法接入点抵消掉[3]。
如图1展示了一个位于安全的无线网络拓扑中的无线外围网络拓扑中的无线外围网络层(DMZ)。
为了让合法用户A有权访问受保护的公司网络,相关实体必须经过一个合适的身份验证过程,通过防火墙和入侵检测系统(IDS)的检查并使用加密措施。
与用户A不同,用户B无需通过任何安全限制,就能访问公司网络,而他只是利用了一个有可能是员工私自假设的非法接入点。
1.3入侵者安装的非法接入点
与员工私自安装的非法接入点不同,入侵者安装的非法接入点并不是连接到公司的有线网络上。
它位于无线信号的传输范围之内,并且作为一种欺骗设备让合法用户掉进圈套。
当合法用户试图连接到入侵者安装的接入点时,这个非法接入点就能欺骗用户提供有价值的信息,如身份验证的类型和用户凭证等。
入侵者会记录下来这些信息,在随后用于获取某个合法接入点的访问权限[4]。
2非法接入点的预防和检测
许多技术都能用于非法接入点的预防或检测。
在每次网络核查中,都应该检测非法接入点,以避免把可能存在的网络后门暴露给攻击者。
2.1非法接入点的预防
大多数非法接入点都是没有恶意的员工安装的,他们只是想在工作场所中访问无线网络。
要防止员工安装这种非法接入点,一种解决方案是主动为他们提供无线访问服务。
同时,企业必须制定涵盖无线网络的安全策略,尤其是要禁止使用个人自私安装的非法接入点[5]。
这样做并不意味着要停止对公司网络的核查和非法接入点的检测,而是为了减少非法接入点的数量,从而改善整个网络的安全性。
2.2通过探测射频信号检测和定位非法接入点
检测非法接入点的其中一项技术是使用网络嗅探工具(Sniffer)手工对公司范围内的射频信号进行探测。
无线嗅探工具能够捕捉空气中正在传递的所有通信数据,而这些数据可用于随后的分析,例如MAC地址的比较。
每个无线设备都有一个独一无二的MAC地址。
如果代表某个未知接入点的陌生MAC地址被无线嗅探工具探测到,它就可能是一个非法接入点。
NetStumbler等软件就能作为非法接入点的嗅探工具。
它能显示在当前信号的强度区域内,可以检测到哪些接入点,然后把检测到的接入点列表与一个友好接入点的数据库进行比较。
NetStumbler还能用来瞄准一个物理的非法接入点,通过测算信号的强度,获得该接入点的位置信息。
2.3Cisoc的非法接入点检查工具
使用嗅探工具检测非法接入点是一件非常耗时的任务,在大规模的无线及有线网络环境中几乎是不可能完成的。
管理员必须走遍整个区域,并把检测到的潜在的非法接入点与已知的友好接入点进行手工进行比较。
这个任务还必须每天重复进行[6]。
现在已经有了更为完善的解决方案,用以替代对非法接入点的手工嗅探。
Cisco公司的解决方案能把所有的无线客户端和接入点都变成嗅探设备,这些设备可以连续不断的对自己周围的射频信号进行监视和分析。
每个友好的接入点和无线客户端都可以对其周围所能覆盖的区域进行7×24h不断的检测。
无线客户端和合法接入点如果检测到非法接入点,就会把相关信息发送到一个中央管理工作站,然后该工作站就会向网络管理员发出提示。
2.4通过WLSE集中管理非法接入点检测
“无线局域网解决方案引擎”(WirelessLANSolutionEngine,WLSE)是CiscoWorks工具集提供的一个解决方案,用来集中管理具有“Cisco-识别”功能的所有无线设备。
WLSE通过“简单网络管理协议”(SimploNetworkManagementProtocol,SNMP)可以从无线客户端和接入点获得检测到的非法接入点的信息(如图2)。
当无线客户端检测到一个潜在的非法接入点之后,会把相关信息发送给一个友好接入点。
该接入点再通过“SNMP陷阱”(SNMP-trap)协议把信息传递给WLSE引擎,从而面向管理服务器报告自己的发现。
WLSE引擎把获得的信息与友好接入点的数据库进行比较。
如果WLSE引擎无法在友好接入点列表中找到被报告的这个接入点,就会给它标记一个红色警示信号,提醒管理员有一个潜在的非法接入点被检测到。
WLSE还可以使用三角测量法,根据多个无线客户端和接入点探测到信号强度计算非法接入点的物理位置,并且在窗口里有“接受信号强度指示”,可以用来估算这个非法接入点的大概物理位置。
2.5简单网络管理协议(SNMP)
SNMP是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
SNMP使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。
通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题[7]。
SNMP管理的网络有三个主要组成部分:
管理的设备、代理和网络管理系统。
管理设备是一个网络节点,包含ANMP代理并处在管理网络之中。
被管理的设备
用于收集并储存管理信息。
通过SNMP,NMS能得到这些信息。
被管理设备,有时称为网络单元,可能指路由器、访问服务器,交换机和网桥、HUBS、主机或打印机。
SNMP代理是被管理设备上的一个网络管理软件模块。
SNMP代理拥有本地的相关管理信息,并将它们转换成与SNMP兼容的格式。
NMS运行应用程序以实现监控被管理设备。
此外,NMS还为网络管理提供了大量的处理程序及必须的储存资源。
任何受管理的网络至少需要一个或多个NMS。
SNMP封装在UDP中。
各种版本的SNMP信息通用格式如表1所示。
Version:
SNMP版本号:
管理器和代理器必须使用相同版本的SNMP。
需要删除具有不同版本号的信息,并不对它们作进一步的处理。
Community:
团体名称,用于在访问代理器之前认证管理器。
PDU(协议数据单元):
SNMPv1,v2和v3中的PDU类型和格式将在对应文件中作具体介绍。
2.6使用802.1x基于端口的安全措施防止非法接入点
在一个无线网络环境中,802.1x提供了相互进行身份验证的机制,用来消除合法用户与非法接入点进行连接造成的威胁。
图3展示了一个典型的802.1x“轻量级可扩展身份验证协议”(LightExtendableAuthenticationProtocal,LEAP)的相互验证过程:
在建立一个成功的连接之前,无线客户端要对RADIUS访问控制服务器(AccessControlServer,ACS)进行身份验证;与此同时,该服务器也要对这个客户端进行身份验证。
图4中的接入点(AP)如果是一个非法接入点,它将无法访问RADIUS访问控制服务器(ACS),因为它无法通过服务器发出的用户身份验证质询(challenge)。
这样,用户就会拒绝与该接入点建立连接。
每个经过认证的接入点都必须由管理员在RADIUSACS服务器上手工添加,然后该接入点才能访问ACS服务器并进行身份验证。
因此,XX的设备—例如图4中的非法接入点—就不会被允许对RADIUSACS的服务进行请求或使用,因为它根本不会被管理员添加到允许访问列表中。
不是所有种类的802.1x具体实现或可扩展身份验证协议(EAP)都支持相互验证。
在EAP中,支持相互验证的具体方式包括轻量级EAP和EAP传输层安全(EAP-TLS)协议。
在LEAP方式中,身份验证和质询都是从用户名和密码派生的。
EAP-TLS的验证过程与LEAP几乎相同,但不是基于用户名和密码,而是使用数字证书。
2.7使用Catalyst交换机过滤器在端口过滤MAC地址
组织非法接入点的另一种方法是使用交换机的端口安全机制与有线网络建立连接。
端口安全机制利用Catalyst交换机的安全功能,根据一个事先设置好的允许设备列好,限制对交换机某一端口的连接。
这个允许设备列表是由硬件的MAC地址表示的。
每个端口都必须设有自己的允许的MAC地址,以防止XX的设备连接到该端口。
在Catalyst交换机的端口安全机制里,可以设置3中不同类型的MAC地址,分别是静态MAC地址,动态MAC地址和粘性MAC地址。
静态MAC地址是以手工方式为端口设置的被允许设备的MAC地址。
默认情况下只能设置一个静态MAC地址,但是可以使用命令增加允许设备的数量,如果试图设置多个静态MAC地址,但事先没有为端口增加允许连接的MAC地址数量,就会收到一个错误提示。
静态MAC地址被保存在一个配置文件中,这样当交换机重启时就不会丢失端口的安全设置。
动态MAC地址是从连接的设备那里动态获知的。
如果一个交换机端口被设置最多允许3台设备连接,就动态地获知最初3个设备的MAC地址,并把它们放在内存里的一个列表中。
动态MAC地址并不保存在配置文件中。
当交换机重启后,所有动态MAC地址都将被重置。
通常这种动态机制并不被使用。
粘性MAC地址是一种静态和动态相结合的方法来设置列表。
设备的MAC地址是被动态获知的,同时也能静态地保存在一个配置文件中。
例如如果有一个超过200个用户的局域网,就可以动态的获知所有200台工作站的MAC地址,再把它们转变成为一个静态的MAC地址列表。
2.8安全违规
当一个不在MAC地址使用一种静态和动态相结合的未知设备试图访问相应的交换机接口时,就会发生端口的安全违规。
对于这种情况,Catalyst交换机可以设置3中不同的处理方式。
每个交换机端口可以使用保护模式,限制模式或者关闭模式。
当安全违规发生在保护模式下时,试图连接到端口的设备将被阻止并禁止连接,所有来自这个XX设备的数据包也将被丢弃。
限制模式与安全模式类似,也会丢弃XX设备发出的所有数据包。
两者的区别在于,限制模式会把违规情况记录到日志中。
他会生成一个SNMP的trap发送给管理工作站,用来通知管理员有安全违规发生。
它还能发送一个系统日志消息,并增加交换机端口设置中违规计数器的值。
在关闭模式下,交换机端口一旦检测到某个XX的设备试图与自己连接时,就会自动关闭。
这时交换机会发送一个SNMPtrap给管理工作站或者发送一个系统日志消息,还会如限制模式那样增加端口的违规计数器的值。
3结语
本文主要阐述了用于检测和阻止非法接入点(roughAP)的各种不同技术。
使用手工检测非法接入点的技术和使用Cisco公司提供的一种完善的集中式的检测方案,即使用一个管理工作站作为WLSE,用来控制具备Cisco识别功能的所有设备,本文还着重介绍了使用IEEE802.1x的协议基于端口的安全措施防止非法接入点的相关技术。
802.1x协议支持相互身份验证,从而让接入点和用户能够相互认证,以确保用户连接到一个合法的而不是非法的接入点。
本文的最后介绍了使用Catalyst交换机过滤器在端口过滤MAC地址的技术,通过Catalyst交换机的端口安全机制,可以根据设备的MAC地址限制对其端口的物理连接。
非法接入点是无线局域网中最薄弱的安全环节,但只要采用规范的安全策略,辅以正确的技术手段,那无线局域网的安全性就会大大提升。
参考文献
[1]颜炳风.无线局域网的安全机制,漏洞破解以及解决方法[J].科技信息,2010(27).
[2]赵伟艇,史玉珍.基于802.11i的无线局域网安全加密技术研究[J].计算机工程设计,2010,31(4).
[3]黎明.基于无线局域网的安全机制研究[J].科技管理研究,2010(15).
[4]杨青译.无线网络安全[M].北京:
科学出版社,2010
[5]陈雪兆.无线局域网安全技术研究与实现[J].科技创新导报,2010
(1).
[6]赵远东,陈飞.无线局域网安全协议浅析[J]电脑知识与技术,2010,6(28).
[7]SithirasenanE,MuthukkumarasamyV,PowellD.IEEE802.11iWLANsecurityprotocol—asoftwareengineer´smodel[C].AusCERT´05:
Proceedingsofthe4thAsiaPacificInformationTechnologySecurityConference,2005:
39-50.
升级会员 