揪出无线网络背后的黑手

无线局域网(WLAN)的兴起给所有企业带来的好处是显而易见的，它不仅让企业能够在需要应用IT网络的位置更加轻易地部署出一个无线局域网，而且其不需要线缆的特性，又为企业节约了大量的网络基础设施购买和部署本钱。但是，无线局域网同样有着与有线局域网相似的各种安全威胁，并且，由于其无线的特性，使得它比有线局域网存在更多易于攻击的弱点，例如非法无线访问设备带来的安全威胁就是无线局域特有的安全威胁之一。　　现在具有WIFI无线功能的设备种类越来越多，它们的大小和重量也越来越轻便。因此，非法的无线访问设备有可能是一台使用了无线嗅探软件和密码破解软件的笔记本电脑，也可能是一台具有WIFI功能的PDA或智能手机，甚至是一台具有WIFI功能的PSP游戏机，更不要说由企业内部员工或黑客安插在无线局域网内部的非法无线AP了。因此，只要是非授权的无线访问设备都可以称之为非法无线访问设备。　　正是由于这些无线访问设备的便携性，从而使得它们能够像间谍一样悄无声息地潜伏在企业部署的局域网四周或内部。通过监听无线局域网发送出来的无线电波中的各种信息，来获得无线局域网中传输的机密信息。或者通过无线局域网进侵到企业局域网内部，以得到更多他们想要的机密信息。　　那么，作为一个网络治理员或安全工程师，我们该如何做才能检测和防御那些随时都想接进企业无线局域网中的非法无线访问设备，打赢这场无线局域网中的反间谍战呢?　　就目前来说，大多数成功部署非法无线访问设备检测和防御解决方案的企业，都是使用下列所示的这些技术和工具来解决的：　　1、应用无线网络嗅探技术来进行协议分析和追踪;　　2、应用无线进侵检测/防御系统(WIDS/IPS)，然后在无线局域网的工作站或AP中安装传感器的方式来检测非法无线访问设备。但是，它并不能检测到被动式无线嗅探攻击和接进请求，以及内部职员主动外部无线访问点的方式;　　3、使用手持式无线设备检测工具。一些手持式现场无线检测工具可以用来检测接收的无线信号的强度和噪声，并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测，还可以用来检测无线信号实际的边界位置;　　4、通过进行现场调查(site survey)、MAC地址列表检查和噪音检测(noise checking)等方式来检测非法无线访问设备。　　在实际应用当中，为了能够达到最好的检测效果，通常将上述4种方式全部结合起来使用。因此，在本文的下面，雪源梅香将给大家展示一个三层立体式检测和防御非法无线访问设备的方案，以及部署它应当遵从的步骤。　　第一步：全面了解我们的无线局域网　　了解无线局域网的目的就是为了知道当前无线局域网中有哪些无线设备，以及企业四周存在哪些相邻的无线局域网和无线访问设备等信息。　　我们最好能够对当前无线局域网中所有的无线访问设备和AP都做一个具体的调查，然后将与这些无线设备相关的属性全部记录到无线设备清单当中。这些需要记录的无线设备属性包括：每台设备及无线网卡使用的MAC地址及当前的分配的IP地址、AP和无线网卡使用的SSID号，以及AP的供给商、AP的类型和AP及无线网卡使用的信道等信息。　　对无线局域网中已知无线访问设备及AP的属性进行完整记录目的，就是用它们来作为后面区分非法无线访问设备的依据。　　另外，以后在无线局域网的运营过程中，假如需要添加新的无线访问设备，那么，我们还必须将新加进的设备属性加进到这张表格当中。下面表1就是一张无线访问设备及AP属性的表格样式。　表1 无线访问设备及AP清单表样式　　同时，我们还必须将这些找到的不可信任的无线设备建立一个档案，记录下这些无线设备的MAC地址、ESSID号、信道、信号噪声比(SNR)和大约的位置等信息。这样有利于在后面的非法无线设备检测过程中用来识别检测到的无线设备是否为非法无线设备。使用的表格样式也可与上述表1相同。　　完成企业当前无线局域网及周边其它无线访问设备的登记工作后，最好能够将这些无线访问设备在企业无线局域网中所在的位置，用一张平面图将它们标示出来，以便以后在检测非法无线访问设备时，知道他们所在的具体位置。图1就是一个无线设备分布图样。　图1 无线局域网中无线设备分布图样