无线网络一度被认为是黑客和恶意攻击的游戏场。然而,无线网络正在快速地成为比有线网络更安全的通信手段。
作者:zdnet安全频道 来源:论坛整理 2008年10月8日
关键字: Wlan
无线网络一度被认为是黑客和恶意攻击的游戏场。然而,无线网络正在快速地成为比有线网络更安全的通信手段。
通过使用VPN、WPA(Wi-Fi保护接入)和采用802.1x的WPA2等加密和身份识别技术,无线局域网等于不安全的局域网的理论已经过时了。
位于犹他州Midvale的市场研究公司Burton Group的高级分析师Bill Terrill表示,在很多情况下,你的无线网络比你的有线网络更安全。
Terrill说,无线网络的安全漏洞一般不是产品不安全的结果,而是网络管理员没有使用合适的工具发挥他们的优势的结果。他说,对WLAN最大的威胁是那些没有打开安全功能和监视网络的网络管理员。企业没有无线网络安全措施是没有道理的。
Core Competence公司副总裁和SearchNetworking.com网站专家Lisa Phifer表示,他们最大的威胁是WLAN有可能被当成入侵公司有线网络的一个途径。
评估这些威胁
Phifer说,这种担心说明,欺骗性接入点检测系统越来越受欢迎,以阻止防火墙内部的雇员安装欺骗性接入点或者防止雇员意外地连接到临近的或者正在实施攻击的接入点。她说,欺骗性的接入点可绕过现有的网络防御措施。
Phifer表示,一个机构对这些活动的主要防御措施是无线活动监视和事件反应。目前,有很多无线入侵检测和防御系统能够帮助企业发现在空中、企业驻地内部和附近正在发生什么事情。
Phifer说,有些产品还提供了自动反应能力,如使用无线或者有线遏制技术切断可疑的欺骗性接入点或者使用本地工具跟踪那个接入点。
黑客在很大程度上已经不像过去那样令人们担心了。802.11i、802.1x和WPA2等协议最近对无线安全的改善已经消除了人们最担心的数据保密性的威胁,并且提供了一些实施更严格WLAN接入管理和用户身份识别的简单方法。
Phifer说,然而,这些改进主要是改善了合法的无线活动的安全。这些改进对于防止欺骗性接入点、配置错误的站点或者针对WLAN本身实施的拒绝服务攻击没有做任何事情。攻击者仍然可以利用这些所有这些安全漏洞,例如,使用拒绝身份识别或者802.1x登出数据包风暴来中断WLAN的正常运行。
Terrill也赞成这样的观点。他说,因为WLAN的安全很好,黑客再也不能进入了。黑客不能进入你的网络,但是,黑客能够中断你的网络,这也是一个潜在的问题。
黑客中断你的网络的方法之一是向一个公司网络的用户发送断开连接的数据包。这些数据包迫使这些用户同时登出并且同时重新登录。这样将使服务器过载,造成网络中断。
位于马萨诸塞州Burlington的无线网络入侵检测系统厂商Blusesocket公司负责市场营销的副总裁Dave Danielson说,这种威胁不再是带着黑色滑雪面具的黑客蹲在企业的停车场中企图入侵企业网络的那种情况了。
Danielson补充说,目前大多数入侵企业无线网络的事件都是由错误造成的。如果未经授权的用户不遵守适当的流程,他们对企业网络就是有害的。不使用可用的工具的人是最大的威胁。
监控无线电频率
Bluesocket公司本星期推出一种新的集中的无线电频率传感器。这种设备通过观察、监视无线电频率并且通过确认无线电频率的安全来保护网络。
Danielson说,集中的传感器能够监视一个四层楼大小的城市区域,而分布式传感器能够覆盖大约100米的范围。这个传感器发现和报告异常状况。
他说,还有一些保证网络安全的基本步骤。无线电频率保护是必要的和重要的解决方案。一些人认为,一层层的建筑物壁垒是保护网络安全的要塞和护城河。无线模糊了整个要塞的感觉。
Trapeze网络公司本星期推出了一种新的安全功能。这是在Trapeze无线接入点中集成了AirDefense传感器。Trapeze负责全球市场营销的副总裁Bruce Van Nice说,这种集成的功能能够每周7天每天24小时地监视网络中的故障点。
同样,位于马萨诸塞州Andover的Enterasys公司也推出了一种新的无线安全产品,包括AP4102统一接入点、AP1002薄接入点和8400无线交换机。
Enterasys无线产品经理Pabhu Kavi昨天表示,这些新产品将保证通信流的类型正确并且是在授权的各方之间进行的。
Kavi说,这些新产品可以对无线网络容易受病毒感染的端口采取封锁和级别限制措施,并且向用户提供安全政策规定他们能够访问什么和不能访问什么。
在一个经过恰当的设置的网络中,安全是很严密的。但是,无线网络中仍有大量的应用还没有采取严密的安全措施。一般的感觉是,如果你在一个公司内部访问一个网络,你就是一个可信赖的用户。我们认为,安全不仅仅是最新的加密和身份识别工具。
Kavi表示,Enterasys公司的产品与众不同的特点是能够检测欺骗性的接入点、隔离这些接入点并且自动关闭这种接入点连接的端口,以防止受到攻击。
Kavi说,在取得这些进步之前,无线网络是很容易受到攻击的目标。
成功地确保WLAN安全的关键
Danielson表示,保证WLAN安全的三个关键措施是观察、监控和保护。你不仅要保证善意用户的安全。你还需要保证无线电频率远离黑客和间谍的安全。你必须要查看无线电频率并且监视它们,以确保它们的安全。
Terrill表示,还有Aruba网络和思科Aironet等一些主要的厂商提供安全工具包能够验证登录到无线网络的大多数设备。这些工具包都配置了最新的病毒保护、防火墙和扫描其它安全漏洞的工具。包括无线电频率传感器在内的其它产品也提供了保护措施,但是,需要有人对传感器检测到的异常活动做反应。
他说,无线方面的安全基本上是非常牢固的,如果你使用无线安全工具并且使用地正确的话。这些安全完全是常识和使用现有的工具。
然而,Phifer表示,没有任何网络是完全安全的,尽管采用了所有的保护措施也是如此。她说,任何安全计划的目标都是根据商业需求和成本把风险降低到可以接受的水平。我强烈地认为,大多数公司都能够使他们的无线应用更安全。但是,我也认为,这样做需要勤奋的努力和计划。