多层RF监控和无线入侵防御系统让不速之客无法进入无线局域网

无线网络可以提供为全球各地的客户提供大幅度提高的移动性、灵活性和生产率。不幸的是，从安全的角度来说，它们也意味着您可能会成为一个网络广播源，在网络中引入新的安全威胁因素。事实上，一种全新的、专门针对无线网络的入侵检测和拒绝服务（DoS）攻击正在迫使无线局域网（WLAN）供应商在他们的WLAN入侵检测系统（IDS ）产品中加入新的检测和防御服务。

无线安全
在空气中广播数据的挑战之所以变得非常严峻，是因为大部分支持无线功能、运行Windows 2000或XP的笔记本电脑在缺省情况下都会主动寻找所有到接入点的Wi-Fi连接——无论接入点是否经过授权。因此，人们面临的挑战不再只是确保安全的“无线空间”，而是还要保护您的计算机与外界的连接。

为了防范这些基于恶意设备和入侵尝试的安全漏洞，思科提供了多项无线最佳实践，以建议网络管理员如何安装入侵检测和防御措施，消除这种局面对安全的不利影响。

“我们不能简单地创建一个会弹出大量警报的系统，就将其称为对IDS的‘有益补充’——正如我们过去10年中在有线网络上所看到的那样。我们的无线客户真正需要的是无线入侵检测、无线入侵防御和保护功能”，思科的无线网络事业部产品营销经理Bruce McMurdo表示。

现在，检测和纠正措施都在一个分布式、层次化的保护模式之中进行。在这个模式中，每个网络层次——从客户端到数据中心——都在防御网络威胁方面扮演着一个重要的角色（如图所示）。为了防止入侵，思科的无线架构可以提供下列功能：

• 接入点身份验证
• 禁用未经授权的接入点
• 客户端控制
• 客户端策略执行
• 基于位置的入侵检测

在思科架构中，思科客户端和思科兼容扩展客户端，以及Cisco Aironet系列接入点和思科轻型接入点，都可以充当网络入侵防御系统（IPS）的传感器。尽管所有WLAN IDS供应商只依靠接入点来检测恶意设备，但是思科具有将恶意检测拓展到客户端的能力——让思科解决方案能够在这些客户端在整个WLAN环境中四处移动时，提供更加全面的检测功能。

识别和禁用恶意设备
在充当IPS传感器时，思科接入点可以向思科无线控制和管理设备报告它发现了恶意设备。随后，根据网络管理员所制定的政策，这些控制和管理设备将会自动地制止接入网络的未授权设备或者恶意设备。

思科的解决方案支持集成化的和叠加的入侵防御系统。一个叠加式入侵防御系统可以利用单独的分布式射频传感器监控无线空间。在这种情况下，IT人员通常必须在成本和效率之间做出选择：通过以1:1的比例将射频传感器映射到有源WLAN接入点，可以确保最佳的网络覆盖，但是可能会产生高昂的成本；使用较少的传感器可以减少成本，但是可能会产生监控范围漏洞。

“为您的监控和无线数据网络使用一个统一的基础设施可以提高企业网络的可见度”， McMurdo表示。“因此，我们建议在大多数情况下采用集成化入侵防御系统——特别是在接入点需要充当传感器，同时支持客户端传输时。”

传感器将会发现很多恶意设备。“关键在于正确地识别那些友好的相邻网络，将注意力主要集中于那些实际接入企业网络的不当设备，或者位于环境中的不当位置的接入点”， McMurdo表示。

在制止恶意接入点的同时，传感器还可以检测到无线设备信息，将其汇总并发送到网络中的可以关联信息和采取相应措施的组件。当在网络中检测到某个无线接入点时，WLAN入侵制止系统会发送RF管理帧。它会取消任何客户端与它的关联，并设法跟踪和关闭恶意设备所连接的交换机端口。

在思科的帮助下，客户可以利用一个分布式解决方案或者轻型解决方案部署入侵防御系统。这个分布式解决方案会采用装有思科无线局域网解决方案引擎（WLSE）2.9版和更高版本的Aironet 1230、1200、1130或者1100系列接入点，以及配有无线局域网服务模块（WLSM）的Cisco Catalyst 6500系列以太网交换机。通过这个解决方案，所有合法的思科和思科兼容无线客户端设备，以及Cisco Aironet接入点，将会搜集它们附近的所有无线设备的信息。

基于思科最近收购的Airespace产品系列的轻型解决方案会采用Cisco 1000系列轻型接入点和一个思科无线局域网控制器，以及思科无线控制系统（WCS）。

这两个解决方案都可以部署为IPS，其中接入点承担着转发第二层分组和充当网络监控传感器的双重任务。

存在哪些安全威胁？
无线局域网的入侵威胁的主要产生原因是，人们很难将无线数据传输的范围控制在某个指定机构的物理边界之内，而且无线客户端设备的特性决定了它们会自动连接到它们所找到的最强信号。

“针对信息失窃和网络闯入，部署802.11i——IEEE 802.11系列无线局域网安全标准的最新成员——中的加密和身份验证措施可以提供最佳的保护”，思科的技术营销工程师Jake Woodhams表示，“而对于因为广泛存在恶意设备而导致的数据劫持和服务中断来说，通过扫描无线广播信息发现和禁用未经授权的设备是一项重要的措施”，他表示。

特别需要指出的是，入侵检测和防御可以解决下列问题：

• 恶意基础设施接入点的影响。这些直接插入以太网交换机端口或者无线局域网控制器端口的射频装置可能是由希望闯入企业网络的入侵者恶意安装的。但是更加常见的情况是，它们是由员工为了简化无线接入而安装的。因为客户端设备的自动安装特性，位于附近的某个办公室、停车场或者咖啡厅的客户端可能会有意或者无意地连接到这些恶意设备。因为大部分企业目前都在以太网交换机上设置了开放的第二层端口，所以通过将恶意设备插入到有线LAN基础设施中，将让与它们相关联的所有客户端都能至少访问部分企业资源。
• WLAN流量“攻击”签名。大量不符合规定的流量可能会占据无线传输路径，阻塞合法无线设备、管理帧、身份验证请求和其他类型的分组（具体取决于攻击类型）。
• 临时网络：当客户端直接互联时，它们就构成了临时网络。这些点对点连接可能会带来风险——某个未经授权的客户端可以自动地与存储敏感数据的合法客户端建立关联，因为它可以获得对该设备的硬盘的访问权限。另外，这种关联可能会导致一个客户端借助另外一个客户端的连接，访问内部有线网络资源。
• 意外关联。这种情况发生在某个邻近的接入点的覆盖区域与合法机构的无线空间混叠之时。这会使得机构的合法无线客户端设备连接到相邻的接入点。一旦建立起这样的连接，相邻网络上的客户端设备就可以相当容易地获得对合法客户端和机构资源的访问权限，除非合法客户端设备受到特殊软件（例如个人防火墙或者思科安全代理）的保护。思科安全代理最近进行的改进使其可以判断客户端是否连接到一个无效的子网范围，如一个未经授权的网络。

Woodhams指出，为了控制某个连接到恶意接入点的未经授权的设备的行为，处于传感器模式的思科传感器可以向客户端发出一个取消验证分组，以取消关联和发现应连接的合法接入点。

• 存在不利影响的生成树桥接环。除了开放权限威胁以外，Windows XP笔记本电脑还存在一个零配置的缺省设置。“这可能导致它与较旧的以太网交换机建立一个生成树桥接环，从而使得整个网络陷于瘫痪”，Woodhams表示。

他表示，如果生成树协议信息泄漏到机构围墙之外（例如自由软件可能会监听这些信息和发送生成树攻击），网络骨干网可能会遭受拒绝服务攻击。

“通过监控泄漏到企业围墙以外的无线空间的所有网络协议，无线监控系统可以向网络管理人员发出警报，并提供采取纠正措施的建议。”

保护层次：网络中的每个层次都有助于防止企业资源遭受数据劫持和拒绝服务攻击。

最佳实践和工具
最安全的监控解决方案需要部署能够检测到所有无线局域网设备及其活动的网络传感器。关键的实践和工具包括：

• 广泛、详细的网络可见度。基础设施接入点本身可能无法“看到”建筑物的角落和楼梯间。所有运行Cisco IOS软件的思科基础设施接入点都可以兼任接入点和入侵检测传感器。另外，通过思科兼容扩展计划，笔记本电脑和其他客户端设备可以充当报告恶意设备存在的服务器，可将入侵检测拓展到分布式解决方案。
• 多频扫描。在监控无线空间时，企业通常会分析无线电波的详细分布情况。传感器应当扫描802.11a、b和g网络——无论某个指定机构实际上是否在这些无线频带上传输流量。否则，企业可能会面临着工作在其他频带的临时和恶意接入点所带来的威胁。

• 位置跟踪。思科可以在恶意设备检测中加入位置跟踪功能，从而有助于根除很多类型的攻击的来源。

除了采取适当的防御措施来消除攻击产生的不利影响以外，高级跟踪功能可以确定恶意活动的实际来源，从而加快问题的解决速度。

24/7要求
随着无线局域网的广泛使用，通过偶尔对无线电波进行一次检查来发现异常行为或者性能问题的做法已经无法满足需要。

相反，所有网络层次都必须实时工作，不间断地保护企业服务器和最终用户设备中的数据，防止无线介质所独有的传播能力所带来的威胁。

无线网络特别容易遭受攻击，因为无线电波是一种开放的介质，由所有在同一个无需许可的RF频段中收发数据的设备共享。而且，无线客户和接入点会自动建立关联。随着基于802.11的数据量的不断增长，临时互联还将会进一步增加，从而加大发生信息失窃的可能性。幸运的是，企业现在可以通过强大的防御手段，避免因为有意或者无意行为导致的无线服务中断和数据劫持。