无线网络已成为我们工作和个人生活的一部分。而如何保护无线网络免受安全要挟也已经成为而且将持续成为企业整体安全部系的一个重要部分。但是正如达尔文的进化论所揭示的,无线安全的各种神话也随之出生、演变,然后又会被一些新的神话所代替。
不过随着对无线安全问题认识的深入,事实似乎已经给了网络安全专业人士足够的信息,足以打破某些无线安全的神话(比如说,把SSID暗藏起来能改良安全;带MAC过滤器的开放AP可供给较好的安全;利用静态网络IP地址可拦阻攻击者的攻击;WEP可供给足够好的安全等等)。
而越来越多的用户转向WPA2的事实也证实了这一点。现行的PCI DSS无线指南(或许就是受到著名的、大范围TJX安全泄漏事件而出台的)确定也在推动这些安全安排。但是从另一方面看,无线安全社区依然缺乏处理由未加管理的设备而引发的安全要挟的才能。
这种才能的缺失也使得一组新近呈现的无线安全神话更加难以被戳穿。现在就让我们来简要地浏览一下这些新的神话,并探讨企业如何才干避免这些常见的陷阱或错误。
神话1:如果没有安排Wi-Fi,企业就是安全的。
很多人仍然认为,如果他们制定了“无Wi-Fi”策略,那么他们就是安全的。但愿无线安全真的会是如此简略。现实世界不太可能是一个人人彼此信任的世界,也没有人会天真地认为绝不会有人违背“无Wi-Fi”策略。一个心存芥蒂的员工有可能会悄悄安置一个欺骗接入点(AP),就连善意的员工也有可能会自行安装一个AP,从而无意间将企业网络裸露给无赖的攻击行动。同样的,如今绝大多数笔记本或上网本内置的Wi-Fi网卡也可能成为一种潜在的要挟源——有可能被攻击者所利用。再说得进一步,其他内嵌于笔记本或上网本的无线技巧,如蓝牙等,也可能会产生严重的安全漏洞。
实际情况:自认为“无Wi-Fi”策略便可保障企业网络的安全,这无疑于鸵鸟将头埋进沙子的笨拙之举。
神话2:在网络中应用了WPA2,我就安全了。
如果你的企业已经安排了带WPA2安全功效的Wi-Fi网络,那确定是一个不错的开头。WPA2可为企业的WLAN Ap和客户端供给更强盛的密码安全。但是在较大范围的网络安排中,只有在确保全部设备没有因疏忽而呈现误配置,没有给攻击者留下可乘之机,那才是最重要的。随着Wi-Fi日益被用来承载要害任务利用,黑客和犯法分子们也把重心转移到了攻破Wi-Fi的安全措施上面。研究人员最近披露,WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样,已经有报道说,思科的WLAN把持器漏洞可以被用来“劫持”思科的LAP。
实际情况:基于WPA2的WLAN安排不可能防备所有类型的无线安全要挟。
神话3:启用了802.1X端口把持,我就是安全的。
IEEE的802.1X端口把持可供给一种认证机制,会对每一部盼望通过端口进行通信的设备进行安全认证。只有通过认证之后,该设备才会被容许进行通信。如果认证失败,通过此端口的通信就会被禁止。然而,802.1X设计者的目标并不是为了保护网络免遭无线安全要挟。正如我们所预感的,802.1X在防备Wi-Fi客户端的要挟方面是完整无能为力的。即便802.1X端口把持可以防止欺骗AP的通信,但是它依然很容易被“暗藏的欺骗AP”所绕过。举个例子,假设某员工已获得了802.1X的认证证书,他便可利用一个静态IP,以“沉静”模式配置他需要连接的2层桥接AP(这样一来,该AP就绝不会在网路上被辨认出)。然后他便可以给Wi-Fi客户端一个假装的身份(即MAC地址),从而蒙骗过802.1X端口把持。
实际情况:这里的基础问题是,802.1X供给的是一过性把持(也就是入口把持),而企业真正需要的是持续的监控。
神话4:我的NAC解决计划会保护我免遭Wi-Fi要挟。
NAC的目标就在于基于策略把持对网络的接入,它包含预准入端点安全策略检查(以断定谁可以接入网络)和后准入把持(断定接入者访问了什么内容)。因为NAC解决计划还包含某些主机检查(如在主机上运行的操作系统和服务等),所以可防备欺骗AP作为路由器或NAT的功效。NAC在防备“沉默欺骗AP”要挟方面也是无能为力的。
相关阅读