多层RF监控和无线入侵防御系统让不速之客无法进入无线局域网
无线网络可以提供为全球各地的客户提供大幅度提高的移动性、灵活性和生产率。不幸的是,从安全的角度来说,它们也意味着您可能会成为一个网络广播源,在网络中引入新的安全威胁因素。事实上,一种全新的、专门针对无线网络的入侵检测和拒绝服务(DoS)攻击正在迫使无线局域网(WLAN)供应商在他们的WLAN入侵检测系统(IDS)产品中加入新的检测和防御服务。
无线安全
在空气中广播数据的挑战之所以变得非常严峻,是因为大部分支持无线功能、运行Windows 2000或XP的笔记本电脑在缺省情况下都会主动寻找所有到接入点的Wi-Fi连接——无论接入点是否经过授权。因此,人们面临的挑战不再只是确保安全的“无线空间”,而是还要保护您的计算机与外界的连接。
为了防范这些基于恶意设备和入侵尝试的安全漏洞,思科提供了多项无线最佳实践,以建议网络管理员如何安装入侵检测和防御措施,消除这种局面对安全的不利影响。
“我们不能简单地创建一个会弹出大量警报的系统,就将其称为对IDS的‘有益补充’——正如我们过去10年中在有线网络上所看到的那样。我们的无线客户真正需要的是无线入侵检测、无线入侵防御和保护功能”,思科的无线网络事业部产品营销经理Bruce McMurdo表示。
现在,检测和纠正措施都在一个分布式、层次化的保护模式之中进行。在这个模式中,每个网络层次——从客户端到数据中心——都在防御网络威胁方面扮演着一个重要的角色(如图所示)。为了防止入侵,思科的无线架构可以提供下列功能:
- 接入点身份验证
- 禁用未经授权的接入点
- 客户端控制
- 客户端策略执行
- 基于位置的入侵检测
在思科架构中,思科客户端和思科兼容扩展客户端,以及Cisco Aironet系列接入点和思科轻型接入点,都可以充当网络入侵防御系统(IPS)的传感器。尽管所有WLAN IDS供应商只依靠接入点来检测恶意设备,但是思科具有将恶意检测拓展到客户端的能力——让思科解决方案能够在这些客户端在整个WLAN环境中四处移动时,提供更加全面的检测功能。
识别和禁用恶意设备
在充当IPS传感器时,思科接入点可以向思科无线控制和管理设备报告它发现了恶意设备。随后,根据网络管理员所制定的政策,这些控制和管理设备将会自动地制止接入网络的未授权设备或者恶意设备。
思科的解决方案支持集成化的和叠加的入侵防御系统。一个叠加式入侵防御系统可以利用单独的分布式射频传感器监控无线空间。在这种情况下,IT人员通常必须在成本和效率之间做出选择:通过以1:1的比例将射频传感器映射到有源WLAN接入点,可以确保最佳的网络覆盖,但是可能会产生高昂的成本;使用较少的传感器可以减少成本,但是可能会产生监控范围漏洞。
|
“我们建议在大多数情况下采用集成化入侵防御系统——特别是在接入点需要充当传感器,同时支持客户端传输时。” ——Bruce McMurdo,思科无线网络事业部产品营销经理 |
“为您的监控和无线数据网络使用一个统一的基础设施可以提高企业网络的可见度”, McMurdo表示。“因此,我们建议在大多数情况下采用集成化入侵防御系统——特别是在接入点需要充当传感器,同时支持客户端传输时。”
传感器将会发现很多恶意设备。“关键在于正确地识别那些友好的相邻网络,将注意力主要集中于那些实际接入企业网络的不当设备,或者位于环境中的不当位置的接入点”, McMurdo表示。
在制止恶意接入点的同时,传感器还可以检测到无线设备信息,将其汇总并发送到网络中的可以关联信息和采取相应措施的组件。当在网络中检测到某个无线接入点时,WLAN入侵制止系统会发送RF管理帧。它会取消任何客户端与它的关联,并设法跟踪和关闭恶意设备所连接的交换机端口。
在思科的帮助下,客户可以利用一个分布式解决方案或者轻型解决方案部署入侵防御系统。这个分布式解决方案会采用装有思科无线局域网解决方案引擎(WLSE)2.9版和更高版本的Aironet 1230、1200、1130或者1100系列接入点,以及配有无线局域网服务模块(WLSM)的Cisco Catalyst 6500系列以太网交换机。通过这个解决方案,所有合法的思科和思科兼容无线客户端设备,以及Cisco Aironet接入点,将会搜集它们附近的所有无线设备的信息。
基于思科最近收购的Airespace产品系列的轻型解决方案会采用Cisco 1000系列轻型接入点和一个思科无线局域网控制器,以及思科无线控制系统(WCS)。
这两个解决方案都可以部署为IPS,其中接入点承担着转发第二层分组和充当网络监控传感器的双重任务。
存在哪些安全威胁?
无线局域网的入侵威胁的主要产生原因是,人们很难将无线数据传输的范围控制在某个指定机构的物理边界之内,而且无线客户端设备的特性决定了它们会自动连接到它们所找到的最强信号。
“针对信息失窃和网络闯入,部署802.11i——IEEE 802.11系列无线局域网安全标准的最新成员——中的加密和身份验证措施可以提供最佳的保护”,思科的技术营销工程师Jake Woodhams表示,“而对于因为广泛存在恶意设备而导致的数据劫持和服务中断来说,通过扫描无线广播信息发现和禁用未经授权的设备是一项重要的措施”,他表示。
特别需要指出的是,入侵检测和防御可以解决下列问题:
- 恶意基础设施接入点的影响。这些直接插入以太网交换机端口或者无线局域网控制器端口的射频装置可能是由希望闯入企业网络的入侵者恶意安装的。但是更加常见的情况是,它们是由员工为了简化无线接入而安装的。因为客户端设备的自动安装特性,位于附近的某个办公室、停车场或者咖啡厅的客户端可能会有意或者无意地连接到这些恶意设备。因为大部分企业目前都在以太网交换机上设置了开放的第二层端口,所以通过将恶意设备插入到有线LAN基础设施中,将让与它们相关联的所有客户端都能至少访问部分企业资源。
- WLAN流量“攻击”签名。大量不符合规定的流量可能会占据无线传输路径,阻塞合法无线设备、管理帧、身份验证请求和其他类型的分组(具体取决于攻击类型)。
- 临时网络:当客户端直接互联时,它们就构成了临时网络。这些点对点连接可能会带来风险——某个未经授权的客户端可以自动地与存储敏感数据的合法客户端建立关联,因为它可以获得对该设备的硬盘的访问权限。另外,这种关联可能会导致一个客户端借助另外一个客户端的连接,访问内部有线网络资源。
- 意外关联。这种情况发生在某个邻近的接入点的覆盖区域与合法机构的无线空间混叠之时。这会使得机构的合法无线客户端设备连接到相邻的接入点。一旦建立起这样的连接,相邻网络上的客户端设备就可以相当容易地获得对合法客户端和机构资源的访问权限,除非合法客户端设备受到特殊软件(例如个人防火墙或者思科安全代理)的保护。思科安全代理最近进行的改进使其可以判断客户端是否连接到一个无效的子网范围,如一个未经授权的网络。
Woodhams指出,为了控制某个连接到恶意接入点的未经授权的设备的行为,处于传感器模式的思科传感器可以向客户端发出一个取消验证分组,以取消关联和发现应连接的合法接入点。
- 存在不利影响的生成树桥接环。除了开放权限威胁以外,Windows XP笔记本电脑还存在一个零配置的缺省设置。“这可能导致它与较旧的以太网交换机建立一个生成树桥接环,从而使得整个网络陷于瘫痪”,Woodhams表示。
他表示,如果生成树协议信息泄漏到机构围墙之外(例如自由软件可能会监听这些信息和发送生成树攻击),网络骨干网可能会遭受拒绝服务攻击。
“通过监控泄漏到企业围墙以外的无线空间的所有网络协议,无线监控系统可以向网络管理人员发出警报,并提供采取纠正措施的建议。”
| 无线入侵防御可以采用集中和分散的方式 | |
| 全面RF管理,位置跟踪 | 思科无线控制系统 |
| 思科无线局域网解决方案引擎(WLSE) | 数据中心Catalyst交换机 |
| 恶意设备检测和制止 | |
| Cisco Catalyst交换机 | 无线控制器 |
| IDS数据被汇总和转发 | |
| 本地签名分析 | |
| IDS数据被搜集、汇总和转发 | 无线接入点 |
| IDS数据被搜集和转发 |
保护层次:网络中的每个层次都有助于防止企业资源遭受数据劫持和拒绝服务攻击。
最佳实践和工具
最安全的监控解决方案需要部署能够检测到所有无线局域网设备及其活动的网络传感器。关键的实践和工具包括:
- 广泛、详细的网络可见度。基础设施接入点本身可能无法“看到”建筑物的角落和楼梯间。所有运行Cisco IOS软件的思科基础设施接入点都可以兼任接入点和入侵检测传感器。另外,通过思科兼容扩展计划,笔记本电脑和其他客户端设备可以充当报告恶意设备存在的服务器,可将入侵检测拓展到分布式解决方案。
- 多频扫描。在监控无线空间时,企业通常会分析无线电波的详细分布情况。传感器应当扫描802.11a、b和g网络——无论某个指定机构实际上是否在这些无线频带上传输流量。否则,企业可能会面临着工作在其他频带的临时和恶意接入点所带来的威胁。
- 位置跟踪。思科可以在恶意设备检测中加入位置跟踪功能,从而有助于根除很多类型的攻击的来源。
除了采取适当的防御措施来消除攻击产生的不利影响以外,高级跟踪功能可以确定恶意活动的实际来源,从而加快问题的解决速度。
24/7要求
随着无线局域网的广泛使用,通过偶尔对无线电波进行一次检查来发现异常行为或者性能问题的做法已经无法满足需要。
相反,所有网络层次都必须实时工作,不间断地保护企业服务器和最终用户设备中的数据,防止无线介质所独有的传播能力所带来的威胁。
无线网络特别容易遭受攻击,因为无线电波是一种开放的介质,由所有在同一个无需许可的RF频段中收发数据的设备共享。而且,无线客户和接入点会自动建立关联。随着基于802.11的数据量的不断增长,临时互联还将会进一步增加,从而加大发生信息失窃的可能性。幸运的是,企业现在可以通过强大的防御手段,避免因为有意或者无意行为导致的无线服务中断和数据劫持。
#p#问:入侵者如何获取口令?
1、监听明文口令信息
大量的通讯协议比如Telnet、Ftp、基本HTTP都使用明文口令,这意味着它们在网络上是赤裸裸地以未加密格式传输于服务器端和客户端,而入侵者只需使用协议分析器就能查看到这些信息,从而进一步分析出口令,成为真用户的克隆。
2、监听加密口令信息
当然,更多的通讯协议是使用加密信息传输口令的。这时,入侵者就需要借助字典或者采用暴力攻击法来解密了。注意,我们并不能察觉到入侵者的监听行为,因为他在暗处,是完全被动的,没有发送任何信息到网络上,入侵者的机器仅被用于分析这些口令信息。
3、重放攻击(Replay attack)
这又是一种间接的攻击方式,就是说:入侵者不必对口令进行解密,需要的是重新编写客户端软件以使用加密口令实现系统登录。
4、窃取口令文件
口令文件通常都保存在一个单独的文件中,例如UNIX系统的口令文件是/etc/passwd(也可能是那个文件的镜像),WinNT系统的口令文件是/winnt/system32/config/sam。入侵者一旦获取了口令文件,就可以使用破解程序发现其中的弱口令信息。
5、观察
用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看,或者在输入口令的时候不管身后有没有站着一位“看客”。入侵者的搜索力与记忆力都非常好,这些操作习惯对他们来说简直就是轻松练兵。所以,别忽视入侵者的眼睛!
6、社会工程
前面提到过这个问题,社会工程就是指采用非隐蔽方法盗用非授权帐户进行的非法活动,比如使用其他人的机器、冒充是处长或局长骗取管理员信任得到口令等等。记住:如果有人想要你的口令,无论他说是为了什么,请记住他,一旦发生了关于口令的案件,那个人就是头号嫌疑犯!
问:典型的入侵场景有哪些?
所谓入侵场景,就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型的入侵画面是这样一幕幕展开的:
1、外部调研
知己知彼,百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研以获取充足的资料。采取的方法包括:使用whois工具获取网络注册信息;使用nslookup或dig工具搜索DNS表以确定机器名称;搜索关于公司的公开新闻。这一步对于被攻击者是完全不知的。
2、内部分析
确定了攻击目标的基本属性(站点地址、主机名称),入侵者将对它们进行深入剖析。方法有:遍历每个Web页面搜索是否存在CGI漏洞;使用ping工具一一探寻“活”着的机器;对目标机器执行UDP/TCP扫描以发现是否有可用服务。这些行为都属于正常的网络操作,还不能算作入侵行为,但是NIDS系统将能够告诉管理者“有人正在撼动门把手……”
3、漏洞利用
现在到了开始动手的时候了!破坏花样实在繁多,在此择优列举如下:通过在输入项目中写入壳命令字符串(shell command)来考验CGI脚本的安全性;通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞;尝试使用简单口令破解登录障碍。当然,混合使用多种方式是攻占成功的不二法门。
4、站稳脚跟
对于入侵者而言,一旦成功地入侵了网络中的一台机器,就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门,这就需要对日志文件或其他系统文件进行改造,或者安装上木马程序、或者替换系统文件为后门程序。这时,SIV(系统完整性检测)系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少,进一步地,入侵者将以这第一台机器作为跳板,攻击网络中的其他机器,寻找下一个安身之家。
5、享受成果
到此,入侵者可以说是完成了攻击任务,剩下的就是享受成果了:或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容,甚至将你的机器作为跳板攻击其他机器。
以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为“birthday attack”,我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧,不过用在这里还要在礼物前加上“攻击”两字了。Birthday attack的一般步骤是:随机搜索一个Internet地址;搜索其上是否有指定的漏洞;如果有,根据已知的漏洞利用方法进行攻击。
