AirMagnet：解决无线安全之痛的入侵检测利器

 

但是，凡事有利就有弊，无线网络在为用户带来巨大便利的同时，也带来了许多安全上的问题和隐患。当一个企业在其内部设置了无线局域网接入设备AP之后，无法对AP所发射的无线电波覆盖范围进行控制，就有可能使恶意攻击者在公司外部通过使用无线网，而接入到企业内网中。

 

这些恶意入侵攻击者可能坐在临近的大楼中，也可能就在公司前面马路上的汽车里，在你尚未发觉之前，他们可能就已经通过无线局域网的安全漏洞获取到了公司的机密数据。相信，这对于很多企业IT部门的管理者来说，这是一个不争的事实。

 

 

在企业无线网络的实际应用中，安全隐患主要体现在以下几个方面：

 

很多企业使用无线路由器或者是无线AP组建无线网络，非法接入者只要在企业无线网络的覆盖范围之内就可以盗用企业的带宽资源。就这样，企业网络的带宽被非法接入者白白盗用。如果非法接入者没事儿玩一下视频聊天，P2P下载这样耗费带宽的互联网应用，企业网络将会出现拥塞的现象。

企业网络中通常会存放着企业的一些商业合同及客户资料，入侵者一旦成功登录无线网络，企业的商业机密和敏感数据将会受到威胁。如果内网安全防御措施做的不足够好，那么入侵者登录了企业网络之后，可以随意复制、删除或更改，这对企业来说简直是灾难。而这一点恰恰是另企业IT部门管理者最为头疼的安全问题之一。

 

其实，了解无线技术原理的人都清楚，上述安全隐患实际上是由于无线网络的先天不足造成的，通过空气传播，信号很容易出现外泄问题，相比有限网络，信号监听变得更加简单。

 

在这里，最关键的问题是，痛了之后才知道这很疼，不疼的时候很多企业根本不会想到这个问题，或者说很少考虑到这些问题。有时候企业并不能及时获知这些风险，也并不知道潜在风险有多大。我们的智能手机是非常简单的设备，通过这个简单的设备，就可以侵入公司网络和窃取信息。而这一点往往容易被企业忽视。

 

其实是由于无线网络特殊机理以及IEEE 802.11等无线安全加密认证机制本身的不完善，这也使得无线网络的安全性相对有线网络更为脆弱和敏感。

 

对此，我们也非常无奈，现实非常残酷，随着WEP与WPA加密方式的相继告破，对于入侵者来说只要能够接收到来自无线网络的无线通讯数据包就一定可以通过暴力破解的方法获得加密密钥。

 

 

其实，企业要保证无线网络的安全，通常注意下面四点，这也是业内比较普遍的无奈之举：

1、注意SSID和DHCP：必须关闭无线路由器的SSID广播，这样能够减少无线网络被发现的可能。无线路由器的DHCP服务也会暴露企业网络的一些信息，禁用DHCP服务，防止非法无线客户端就会从无线路由器中获得IP地址、子网掩码、DNS及网关等信息。

 

2、加固WEP：WEP加密是存在固有的缺陷的。由于它的密钥固定，初始向量仅为 24 位，算法强度并不算高，于是有了安全漏洞。 AT&T 的研究员最先发布了WEP的解密程序，此后人们开始对WEP质疑，并进一步地研究其漏洞。现在，市面上已经出现了专门的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

一个基本的原则就是设置尽可能高强度的WEP密钥。而且必须将无线路由器或无线AP等网络设备的默认密码更改掉，在设置无线网络设备的密码时最好使用字母和数字相混合的密码，密码位数至少12位，建议使用WPA2－PSK最高加密模式。无线客户端必须凭密码才可以接入企业的无线网络。经过无线上网加密之后，入侵都将无法搜索到加密的无线网络信号，这样可以大大增加企业无线网络的安全性。

 

3、定期更换密钥：并不一定所有的环境都需要每周变更密钥，但是应该考虑至少每个季度更换一次密钥。随着时间的发展，一个从不更换密钥的无线网络其安全性会大幅度下降。并且要定期更换密码。

 

4、过滤计算机：通过指定一个特定的地址集，可以尽量保证只有得到授权的计算机才能访问无线网络。开启无线路由器的MAC地址绑定功能，在企业安全LIST中在MAC 地址才请允许访问企业无线网络资源。

 

除了上述四点，需要企业IT部门注意外，从目前的技术角度讲，保障企业无线网络的安全，也有很多可借鉴的方式和方法。如RADIUS服务器与客户机进行双向的身份验证，验证完成后，RADIUS服务器与客户机确定一个 WEP密钥(这意味着，这个密钥不是与客户机本身物理相关的静态密钥，而是由身份验证动态产生的密钥)。此后， RADIUS服务器通过有线网发送会话密钥到AP，AP利用会话密钥对广播密钥加密，把加密后的密钥送到客户机，客户机利用会话密钥解密。然后，客户机与AP激活WEP，利用密钥进行通信。

 

有了上述这些方法就够了么？不是的，上面提到的各种注意问题和解决方案，都忽视了一个明显的问题，谁知道无线网络中发生了什么？谁来监视这一切呢？

 

如今的许多公司都觉得他们对无线网络的安全已经有了很强的掌控力，因为他们能够检测并根除那些非法AP。无论这些非法AP 是出于恶意，还是被某个好心的工作人员不慎挂接到有线网络中，显然，企业为此已经花费了大量的精力。

 

企业将安全方面的努力都集中在锁定和监控公司的AP 上面，而目前的情况是攻击者往往直接瞄准企业中最普遍存在的且最容易受到损害的财产——用户端设备。

 

入侵者在公司停车场、机场以及其它热点区域内侵入用户端设备。他们不仅攻击受管的公司设备和未受管的智能手机，还攻击未受管的生意伙伴的设备。同样，他们还会攻击使用Mac OS 操作系统以及Windows 操作系统的设备。

 

不幸的是，有线网络的安全系统几乎无法抵御这种空中的恶意数据流。在空中传播的数据流需要与有线网络中的数据流相同级别的连续监控和分析，以便IT 管理人员能够检测到可能会暴露公司数据的违法活动。

 

与应对用户端的无线问题相比，非法AP 的检测就显得微不足道了。事实上，非法AP 的数量很少，且AP 的位置相对静止，因此比较容易找到。另一方面，客户端的弱点和漏洞很难检测到，且更具威胁性，因为它们需要对空中的网络流量进行状态监测和分析。

 

1、绝大多数Wi‐Fi 网络的威胁发生在空中，且只能在空中检测到

2、绝大多数黑客行为和漏洞是围绕终端用户设备的，而非企业AP。

 

企业需要无线入侵检测技术。鉴于无线应用正日益普及，并且已经成为了扩展的公司网络的一个组成部分，为满足这种动态环境所带来的挑战，是时候采用相应的安全机制、程序和技术了。单纯的非法AP 检测已不能满足需要，因为它是以你可以“看到”未授权设备为前提的。正如我们所看到的，绝大多数新出现的Wi‐Fi 威胁出现在空中，它们专门诱骗或劫持授权用户端设备，或者打通入侵授权用户端设备的通道。而这些用户端设备在企业中几乎无处不在；随着新设备（平板电脑、智能手机等）数量的激增，容量每天都在增长。再考虑到会使芯片、网络适配器以及操作系统中出现大量潜在漏洞的虚拟化趋势，保证用户端的安全很快变得毫无胜算可言——因为它需要你了解并控制每一台设备。漏掉了任何一台设备，后果都会不堪设想。

 

唯一有效绕过陷阱的方法，就是采用与有线网络中相同的手段：查看网络中的数据流本身。而正如有线世界中一样，检测反常和非法的无线数据流——包括针对用户端设备的攻击，同时处于多种状态的设备，以及受到危害或诱骗的设备——需要持续的状态流量监控和分析。但现有的有线流量监控并不能切断数据流；等到黑客已经进入了网络，连接看上去就是合法的了。单纯的非法AP 检测无法切断它。这些入侵绕过了合法AP，转而瞄准了用户端设备。在企业场景下进行无线流量检测，唯一有效的方法是采用无线入侵防御（WIPS）技术。

 

因其能够稳定地检测空中数据流，WIPS 技术在无线网络安全工具中可以称得上是独一无二的。持续的监控和分析使WIPS 能够准确地检测所有种类的攻击工具。这包括，比如说，针对公司用户的无线数据流，例如那些被设计成使用户与公司网络相分离并与攻击者建立连接的DoS 攻击。WIPS 还可以监控并分析攻击的场景，在这些场景中用户先是被从公司的网络中分离出来，然后又与伪装的网络重新建立连接。

 

福禄克网络公司的AirMagnet 企业版就能够为大型和分散的企业提供全面而深入的安全扫描和分析。其专用的传感器——与专有系统所使用的提供不同功能的基于AP 的扫描技术不同——始终在进行扫描。AirMagnet 企业版监控所有的数据流，并实时进行复杂的分析；而不仅仅只是从一个签名库中识别出恶意软件和攻击。AirMagnet 仅利用一个专用的WIPS 工具，对复杂的攻击技术和各种攻击种类进行分析，这些都是建立在AirMagnet 入侵研究团队深厚的专业知识和对无线犯罪技术最新进展和趋势的深度关注。

 

AirMagnet 企业版在检测的过程中，能够自动寻找可疑的威胁和阻塞，或者受到危害的设备或反常的数据流，例如那些本不应该建立的连接。它会寻找不计其数的各种针对站点、基础设施以及包括空间自身的DoS 攻击。通过部署AirMagnet 企业版，安全人员就可以知道是否有人正企图侵扰个人用户，或某个设备伪装成了其它用户端设备，又或某个黑客正在试图骗取一个经过授权的身份或向某段会话中插入数据流。与有线网络的IPS 十分相似，AirMagnet 企业版的WIPS 会反复监控数据包和会话，只不过是在无线侧。

 

AirMagnet 入侵研究团队将他们的专业知识注入了AirMagnet 的AirWISE®引擎中。该引擎将帧检查、状态种类分析、统计模型、射频信号分析、机制分析和反常检测结合在一起，使AirMagnet 能够检测数百种特定的威、攻击和漏洞。

 

这里要说明一点，前面提到的传统无线安全防御思路和无线入侵检测并不冲突，他们之间是互补的关系，缺少传统无线安全防御措施，光靠无线入侵检测技术无法形成立体的防御网，严格来说，真正意义上的无线安全，两者缺一不可。

 

Wi‐Fi 网络不仅对商业至关重要，而且现在已经成为一种占统治地位且还在日益普及的，办公室中、家中以及道路上的通信手段。用户端设备数量众多，什么地方都去，在各种环境下进行连接。由于他们天生的动态特性，正如我们已经看到的，他们很容易受到攻击，即使部署了最强有力的安全标准。

 

企业明白他们必须保证企业内部与外部之间边界地区的安全；反过来，他们也必须意识到W‐Fi 正越来越多地扮演着内部网络、用户和数据与外部世界之间的连接点或桥梁的角色。而这座桥梁就在我们周围的空间中。

 

正如有线网络那样，无线网络的安全需要状态检查和流量分析。随着企业越来越依赖无线通信来服务员工、合作者和客户，并且，随着802.11n 的问世，无线通信已经成为他们网络基础设施的组成部分。如果他们想要跟上电波中不断增多的威胁的脚步，就必须采用和补充专用的WIPS 技术。