摘要:由于802.11n技術所實現(xiàn)的速度和可靠性,,許多公司正開始使用帶寬更大的無線LAN來支持新的移動服務,。但是這個變化需要進行更復雜和更可靠的WLAN測試,,以驗證網(wǎng)絡的安全性、連接性和性能,。
由于802.11n技術所實現(xiàn)的速度和可靠性,,許多公司正開始使用帶寬更大的無線LAN來支持新的移動服務,。但是這個變化需要進行更復雜和更可靠的WLAN測試,以驗證網(wǎng)絡的安全性,、連接性和性能,。
公司可以不再需要使用耗費人力的工具來檢查信號強度、服務器可訪問性和Wi-Fi漏洞,。測試在地理位置上分散的整個企業(yè)網(wǎng)絡的成百上千的接入端(AP)和無數(shù)的客戶端需要使用更高效的自動化工具和方法,。
在許多早期的Wi-Fi部署中,安全性意味著檢查整個建筑物或園區(qū),,監(jiān)聽陌生信號,,以便發(fā)現(xiàn)未授權的惡意AP。這不僅極為低效,,而且經(jīng)常會“阻礙”許多識別錯誤的AP,,也會忽視其他的一些威脅,如配置錯誤和操作不當?shù)目蛻舳恕?/p>
使用具有無線入侵防御系統(tǒng)的AP進行全天監(jiān)控
隨著Wi-Fi越來越流行,,許多AP經(jīng)過更新后能夠監(jiān)聽頻道內(nèi)或頻道外的流氓信號,。另外專門的Wireless Intrusion Prevention Systems (WIPS),也可用于全天監(jiān)控無線攻擊或違規(guī)行為,,以及響應臨時阻擋和發(fā)現(xiàn)嫌疑的流氓信號,。
然而,這兩個方法已經(jīng)開始融合到一起,。許多企業(yè)AP現(xiàn)在能夠在需要時變成專職WIPS探測器,,而且有幾個AP供應商也提供了專用的WIPS設備。現(xiàn)在爭論的重點越來越不在于掃描的頻率,,24/7是依賴無線的企業(yè)必須要求實現(xiàn)的,。相反,合理的安全任務和符合規(guī)范要求則占據(jù)了核心地位,。
集中的WLAN評估工具保證了規(guī)范性
為了符合像PCI DSS或Federal Information Security Management Act (FISMA)這樣的規(guī)范,,組織必須證明安全控制的有效性,并記錄嫌疑違反規(guī)范的情況?,F(xiàn)在,,許多商業(yè)WIPS和一些WLAN管理器能夠根據(jù)流行的行業(yè)規(guī)范產(chǎn)生封閉的規(guī)范報告,但是仍然需要持續(xù)地評估這些安全性控制和政策,。
許多公司都雇傭第三方審計人員到現(xiàn)場執(zhí)行評估;例如,,要在一個商店中驗證PCI DSS規(guī)范。然而,,在進行這個審計之前,,我們最好先測試一些有問題的地方,,然后在它們暴露之前修復 這些問題,。理想情況下,,這些自我評估應該定期進行,而且不會消耗太多的員工時間,,不需要太多的現(xiàn)場調(diào)查費用,。
這正是集中評估工具發(fā)揮作用的地方。例如,,AirTight Networks使用基于云的WIPS與上述探測器通信來實現(xiàn)每季度的PCI掃描和修復服務,。這些探測器會監(jiān)聽鄰近的流量,并探測Cardholder Data Environments (CDEs)的無線漏洞,,從而產(chǎn)生PCI DSS 1.2規(guī)范所要求的月掃描報告(至少),。
對于那些已經(jīng)部署了WIPS的公司而言,像Motorola AirDefense提供的無線漏洞評估模塊等插件能夠將部署的探測器變成遠程測試引擎,,它們能夠周期性地連接AP,,探測暴露的端口和URL,并生成記錄結果的報告,。
自動的遠程安全性掃描,,不管是由本身的WIPS執(zhí)行,或者是云服務實現(xiàn),,都能夠實現(xiàn)廉價的常規(guī)自我評估,。然而,它們并不能替代不定期的人工現(xiàn)場滲透測試,。
非自動化WLAN測試——滲透測試
查找可能淹沒客戶端,、AP和WLAN管理器的盲點、錯誤和新攻擊是WLAN測試的重要組成部分,。然而,,這種無線測試還沒有實現(xiàn)完全的自動化。
例如,,MDK3是一個命令行工具,,它可用于猜測隱藏的SSID和MAC ACL,尋找客戶端的認證漏洞,,并發(fā)送802.11 Beacon,、Deauth和TKIP MIC DoS攻擊。審計人員可以使用MDK3方便地在不同的位置發(fā)起這些滲透測試,,如辦公室內(nèi)部和外部,。然而,諸如MDK3等工具絕不應該在工作時間內(nèi)對生產(chǎn)環(huán)境WLAN執(zhí)行測試,,因為生產(chǎn)使用需要人工指引和結果解釋,。
集中的滲透測試工具經(jīng)常可用于發(fā)現(xiàn)影響WLAN安全性的較上層的系統(tǒng)漏洞,。例如,,Metasploit腳本能夠嘗試許多不同的有線和無線LAN應用程序,。如果要對一個大型網(wǎng)絡執(zhí)行更高效的Metasploit測試,我們可以考慮Rapid7的Metasploit Pro,,它可以從一個中央控制臺執(zhí)行多層次的遠程滲透測試,。