無線網絡已經被越來越多的企業和個人所接受:它不但提供了極大的便利性,并且其成本也在不斷下降�����。但由于國際WIFI組織在制定IEEE802.11標準時對安全性問題考慮過少�,在目前的IEEE802.11a/b/g無線網絡標準中,安全性存在著一些先天的缺陷�,因此一直備受非議����。以至于許多企業級用戶不敢將要害業務部署到無線網絡平臺上來——大多數無線網絡僅僅是為了方便員工登陸互聯網���。
時世造英雄是時代的特色�,2002年成立的AirTight 公司(www.AirTightnetworks.net.cn ) 經過短短數年便成為無線周邊安全解決方案領導者�,其SpectraGuard® 系列無線周邊安全軟件和硬件產品,在提供企業級無線局域網網絡治理��,大幅提升性能表現以達到最大容量和正常運營時間的同時��,還日夜不間斷地執行無線網絡監視和自動化的入侵防御任務����。
AirTight公司的SpectraGuard® EnterPRise和 Sentry可以根據設定的策略自動阻止任何非法無線連接和不當的設置,并且可以在其控制范圍內確定存在問題的無線網絡設備的具體位置�����。這也使得SpectraGuard® 產品家族成為業界唯一能正確地分類無線設備及事件且能自動化識別���,自動化停止和精確地找出無線安全風險及攻擊的解決方案���。
目前無線網絡的安全方面主要存在以下八大問題���,先簡單介紹下。
無線網絡安全問題一:私接AP
無線局域網接入點(WLAN APs)是那么便宜�,輕易安裝�����,小巧而輕易被人攜帶���。非法的WLAN APs可以無意地或者在IT治理人員無法察覺的情況下惡意地接入到企業網絡�����。只需要把一個小巧的WLAN APs帶到企業內部��,然后連接到以太網接口上就行了�。
私接AP是雇員為了獲得快速的無線接入而采用的典型方式�,他們安裝的AP幾乎沒有任何安全控制(例如:接入控制列表,Wire Equivalent 協議�,802.1X, 802.11i等)。由于這些AP可以連接到網絡中的任何以太網接口���,也就可以無視已有的WLAN安全控制點(如Wi-Fi 交換機和防火墻)���。私接AP的無線電覆蓋無法被企業所在建筑物所完全屏蔽��,非法用戶這時就可以通過這些私接AP溢出的無線電覆蓋連接到企業網絡����。不可見的電磁場使得避免這種意外活動變得很困難��。即使察覺到他們的存在���,找到他們同樣很困難��。
無線網絡安全問題二:不當設置的AP
WLAN AP 支持多種安全特性和設置�����。許多時候�����,IT治理人員都會讓合法的AP仍然保持出廠時的默認設置或者沒有恰當的對它進行設置���。這會使AP在沒有加密或在弱加密(如WEP)的條件下工作。也有些時候,一個AP在沒有設置任何口令的情況下與客戶端連接�����,于是整個企業網絡就都在沒有任何口令建立了無線連接���。
不當設置的AP會導致一系列安全威脅��。例如:攻擊者可以竊聽企業無線網絡中不當設置的合法AP與合法用戶間的無線通訊。攻擊者也可以讀取弱加密的通訊�。假如AP沒有設定口令,非法用戶就可以通過這個AP與企業網絡建立連接��。最近一個被稱為“war-driving”的黑客發展基金�����,就在利用因特網上下載的免費工具來發現那些泄露信號到公共場所的AP��。許多勘查工具如:Netstumbler, Wellenreiter和其他工具都可以在因特網上自由下載�。
無線網絡安全問題三:客戶端不當連接
客戶端不當連接就是企業內合法用戶與外部AP建立連接,這又是怎么發生的呢�����?一些部署在你工作區四周的AP可能沒有做任何安全控制,企業內的合法用戶的Wi-Fi卡就可能與這些外部AP建立連接�。一旦這個客戶端連接到外部AP,企業內可信賴的網絡就置身風險之中:外部不安全的連接通過這個客戶端就接入到了你的網絡��?��?紤]到無線網絡的安全狀況��,我們要防止在不知情的狀況下發生:合法用戶與外部AP建立連接或內部信息外露的情況��。
無線網絡安全問題四:非法連接
非法連接是指企業外的人員與企業內合法的AP建立連接�����。這通常發生在無線空間沒有安全控制的情況下�。假如一個非法用戶與合法AP建立連接�����,就意味著我們的網絡向外部開放了�����,這會導致重要數據和信息外泄��。
無線網絡安全問題五:直連網絡
802.11 WLAN標準提供一種在無線客戶端間建立點對點無線連接的方式。無線客戶端之間可以借此建立一個直連網絡(AD HOC)����。但是,這種直連網絡帶來了安全漏洞�����。例如:一個藏在街邊���,停車場里���,或隔壁的攻擊者可以與企業內一個合法的筆記本建立無線連接�。這個攻擊者此時就可以通過這臺筆記本發動攻擊。比如:假如這臺筆記本與其他合法用戶間共享了某些資源(文件或目錄等)�����,攻擊者也可以通過直接連接獲得這些資源��。
以上5個網絡安全問題對企業形成了威脅��,其嚴重性決不可小視��。非法設備通過上述AP與企業網絡連接會導致數據失竊,數據重路由�,數據崩潰,身份模擬�,DOS,病毒感染以及其他類型在企業有線網絡中存在的攻擊���。
假如以上的安全問題只是威脅的話�����,下面要介紹的則是針對危害更加嚴重的無線網絡的攻擊活動:
無線網絡安全問題六:C偽造
無線局域網中的AP通過傳送beacon(或者probe responses)宣示他們的存在�。這些beacon中包含了AP的MAC地址(這是它的身份標識)和SSID(它所支持網絡中的身份標志)�����。無線客戶端收聽四周不同AP發出的beacon�。客戶端通常與那個具有預期的SSID并且beacon信號很強的AP建立連接�����。市場上有相當數量的WLAN AP的MAC 地址和SSID是答應被用戶修改的����。這樣的AP和軟件工具很好獲得�����,他們都答應將AP的MAC 地址和SSID修改成任何值�����。
通過偽造MAC�,攻擊者可以讓一個AP發送與遭復制的AP相同的身份信息�����。經過偽造MAC的AP也可以發動諸如:packet dropping和packet corruption and modification等破壞性攻擊�����。一個經偽造MAC的AP甚至可以連接到企業的有線網絡���,作為私接AP和逃避普通搜索工具的偵測。甚至一個偽造MAC的AP可以誘惑企業無線局域網中的合法無線客戶端與其建立連接從而騙取其機密信息�����。 它可以在合法的通訊中扮演中間人的角色��,從而使合法用戶難以察覺。
無線網絡安全問題七:蜜罐P
多個無線網絡可以并存在同一個空間里���,用戶可以連接到任何可用的網絡�,而不必在乎他加入的是自己所屬的網絡還是四周其他無線電覆蓋過大的網絡�。攻擊者建立一個信號比企業無線網更強的非法無線網絡,就可以利用這一特性進行入侵�。它需要在企業的無線網絡四周(街上或停車場)開啟一個AP。這些AP可以通過發送更強的beacon信號和偽造的MAC地址來吸引合法的企業用戶與其建立連接����。 這些AP被稱為蜜罐AP(Honeypot AP)或惡魔雙胞胎(Evil Twins)。一個合法用戶無意中與蜜罐AP建立了連接導致的安全漏洞會泄露敏感信息——如身份認證信息給蜜罐AP�����。攻擊者也可以為使用蜜罐AP的合法用戶充當通訊中間人�����。
企業無線局域網中的合法無線客戶端也會偶然連接到四周并無惡意的AP (被稱為“客戶端不當連接”)�。然而因此造成的安全漏洞會使無線網絡客戶端無意地向這些AP發送機密信息。這往往是由客戶端或鄰近AP不當的設置造成的����。這與蜜罐AP的區別在于是否是被連接的AP是否是有意設置的����。
無線網絡安全問題八:拒絕服務
無線局域網逐漸被賦予傳送重要應用的任務���,這些應用包括:數據庫接入���,VOip、email��、web和會議�。這些應用會被DOS攻擊所破壞,造成網絡癱瘓�,阻撓用戶接入并大幅降低系統性能。
無線局域網傳輸作為開放的傳輸介質很輕易被用來發動DOS 攻擊����。此外,802.11 MAC 協議中的soft spots也是被用來作為發動DOS攻擊的漏洞�����。例如以下的DOS攻擊:authentication, association, de-authentication 或 disassociation flood, NAV attack, CTS flood, and EAP and EAPOL message floods就可以輕易發動而造成整個企業無線局域網絡癱瘓����。不幸的是,從因特網上可以輕易獲得各種DOS工具�����,如:AirJack, FataJack, Void11, Fake AP等等��。
目前AirTight所提供的是最完整的無線網絡安全和入侵防御解決方案�。
AirTight 將無線領空里所有可能發生的信息安全事件,通過 AirTight 的無線網絡入侵防御系統劃分為四個階段期:Plan(計劃) �、Monitor(監控) 、Secure(防御) 及Manage(治理) ����,再配合 AirTight 所提供強大的警示、實時鎖定��、追蹤�、自動化分類機制及完整的信息安全報表,以提供最完整的無線網絡入侵防御解決方案��。
Plan:初期計劃完整部署無線網絡所需
AirTight 提供完整的初期計劃軟件 (AirTight SpectraGuard Planner) ���,讓您能夠充分的在先期能夠猜測���,部署無線網絡所需之設備數量及預期目標�,其強大的功能包括:讓您能夠猜測其無線 AP 部署位置及其覆蓋范圍�����、 Sensor 部署位置及各種波段涵蓋范圍����、各種訊號連結速度猜測等等,可以直觀的了解部署后的無線空間狀況�。
AirTight SpectraGuard Planner 規劃軟件界面示意圖
Monitor : 7X24 小時無間斷的的入侵防御監測
AirTight 無線入侵防御系統通過部署在您的辦公區域內各處的Sensor硬件設備,提供 7 X 24 小時無間斷的入侵防御監測���,讓您能夠充分的把握無線網絡目前安全狀態���,并且在第一時間及能通知治理者。
AirTight SpectraGuard Enterpise 設備
Secure :主動式的安全防御系統
部署在您的辦公區域內各處的Sensor硬件設備不但可以監視無線空間的變化��,而且可以自動根據預先設定的策略實時地進行防護���,阻斷一切未經答應的連接��。根據 AirTight 在 TOLLY Group 研究測試報告的測試數據����,顯示出 AirTight 均能夠絲毫無誤的防御突如其來的大量威脅����,是唯一可同時偵測與防御威脅超過 140 種警告訊息,提供有關使用者效能及聯機方面問題步驟式的除錯指令����,解決來自無線領空中各種不同的威脅。 AirTight 在安全防御能力無疑是業界首屈一指的產品�,榮獲多國際測試機構評選為首選無線網絡安全入侵防御產品。
Manage :人性化治理機制
AirTight 提供完整的分布式集中控管機制�,透過 AirTight SpectraGuard MNC 中心控管系統,讓您能夠同時把握分屬各地之 AirTight 無線入侵設備�,充分把握資安事件治理。 AirTight SpectraGuard SAFE 也整合端點式的防御機制���,為適用于移動式客戶端�,提供多種不同的 Profile 設定方式����,例如: Work 及 Home 不同的設定方式,并且當軟件安裝完畢��, AirTight Server 將網絡治理人員所設定之 Profile ,直接 PUSH 至客戶端�����,當使用者于公司使用無線網絡時���,就必須完全依照網絡治理人員之規范使用無線網絡���。
AirTight SpectraGuard SAFE 軟件界面示意圖
可定制的國際標準報表輸出選擇
AirTight 除了有精準的鎖定追蹤能力之外,在報表方面更是領先其它同業��, AirTight 不但可以提供可定制的報表輸出之外���,還可以提供許多國際標準的報表輸出格式��,例如:薩班斯法案 (Sarbanes-Oxley) ����,美國健康保險流通與責任法案 (HIPAA) �、美國金融服務法 (Gramm-Leach-Bliley) and DoD Directive 8100.2 等,報表中詳述違反安全摘要���,提供深入 (Drill-down) 功能查詢每一個事件的具體內容���。
AirTight 深獲國際媒體及研究中心青睞為全球無線入侵防御首選品牌
AirTight 榮 獲 Information Security Magazine 評選第一名之殊榮�,在這份 2006 年三月無線網入侵防御產品評估���,贏得 5 個 A 的最高評價 ���。 測試團隊表示 AirTight 提供完整的無線入侵防御建置系統��,無論在初期規劃分析上或是完全自動化的安全政策支持����,再加上完整的威脅追蹤及精準的鎖定能力,顯示出 AirTight 在無線網絡入侵防御的領域為最優秀的產品���。
SecurInfo 評選為 5 個 A 之最高評鑒
AirTight在TOLLY Group 研究測試報告中也評選為第一名��,在 Tolly Group 的測試報告中�,測試項目包括: 私接AP , 客戶端不當連接, 支鏈網絡 , Mac偽造 , 蜜罐攻擊 , AP不當設置 , DOS攻擊 , 定位追蹤和報告 �����,以上測試項目為最常見的無線網絡威脅來源���, AirTight 面對于以上這些威脅發生時在測試的數據顯示出��, AirTight 均能夠絲毫無誤的測試成績�����,顯示出 AirTight 能夠防御突如其來的大量威脅�����,唯一可同時偵測與防御威脅超過 140 種警告訊息���,提供有關使用者效能及聯機方面問題步驟式的除錯指令���,解決來自無線領空中各種不同的威脅。(image013)
