当讨论到无线安全时,人们将大量的注意力投入到了对数据进行加密,对用户进行验证,限制接入,和检测接入点(APs)上。然而,随着这些网络和链路防御能力的提高,攻击者已经开始将目标锁定在其它方面了。具体来说,就是所有具有Wi-Fi功能的笔记本电脑,PDAs和手持设备,这些设备极少使用甚至根本不使用安全措施。在本文所介绍的技巧里,我们将研究驻留在主机内的无线IPS代理如何帮助你保护这些Wi-Fi客户端设备,以确保健壮的无线安全。
中断最不牢靠的链路
很多网络使用者在无意或者有意的从事着威胁无线安全的高危险活动。而Wi-Fi的随意性又加剧了这种情况,具有Wi-Fi连接的设备往往在没有用户的干预下就自动搜索附近的设备并“悄然”进行连接。结果,许多Wi-Fi使用者像例行公事那样将他们的系统和数据暴露给那些未知的、不可信任的和潜在的恶意破坏者。
根据一份W-Fi使用情况的季度分析显示,大量的(87%)Wi-Fi客户曾经连接到未知的APs。这可能是偶然发生的,如“过分友好的”Windows XP自动连接到“任何可用的网络”。也可能是有意所为,如用户连接到邻近的商业或者城市APs,以绕过阻止非商业应用,如P2P文件共享和GMail,的公司策略。
另外63%的客户进行着ad hoc网络连接―到Wi-Fi对等实体的直接连接。例如,一些用户与另外的用户进行连接以共享Internet接入,这将不经意间就暴露了他们的网络文件夹以及文件。更糟的是,大多数用户并没有意识到,可以利用ad hoc网络连接到先前用于连接AP的网络入口。当研究者使用公共的SSID如“linksys”引诱同机的乘客连接到他的ad hoc基站后,他可以通过普通的Windows服务端口来对大约20%的客户进行攻击――所有这些都是因为用户忘记了禁用他们不安全的无线适配器。
还有很多Wi-Fi客户由于违反公司政策并犯下错误而将自己置于危险境地。无线威胁索引报告显示,四分之一的用户在没有启用个人防火墙的情况下接入到WLANs,三分之一的用户在没有使用防病毒软件的情况下接入到WLANs,三分之二的用户在被要求在无线网络上使用VPN的情况下而没有使用VPN。还有不计其数的用户连接到虚假的APs上,这些虚假APs利用实际热点的名称(如“Wayport_Access”)来进行欺骗。一旦用户受到引诱而连接到虚假AP(也叫作“Evil Twin”)上,常规的一般性攻击工具就可以索取到用户的信用卡号码和登陆密码,在某些情况下,甚至可以截取到SSL和SSH数据。
重新获得对无线安全的IT控制
这些“愚蠢的人类的鬼把戏”证明,大多数管理员已经知道的是:依靠用户来保护他们自己是对付失败的良方。最起码,小的商业应用应该为安全的Wi-Fi连接的手工建立定义按部就班的说明。大的商业应用可以使用安装包,域登陆脚本或者活动目录组策略(Active Directory Group Policy)对象来推进IT产生的Wi-Fi配置。或者,当与可信的SSID进行连接时,Wi-Fi连接应该被设置成需要采取适当的安全措施,并阻止到其它APs和ad hoc对等实体连接的方式。例如,你可能要求到公司SSID的连接使用具有服务器身份验证的WPA2-Enterprise,同时允许到工作人员家庭的WLAN使用开放的连接方式,并能够与活动的防火墙和VPN客户端进行协作。
这是一个良好的开始,但是还远远不够。大多数用户往往对危险估计不足,当他们发现不方便时,就会禁用防御措施。甚至一心努力确保安全的用户有时也会犯下错误。没有中央核查和控制能力,对内部政策和外部规则的遵守将得不到保证。在你的办公室内部,可以通过部署一个无线入侵预防系统(Wireless Intrusion Prevention System,WIPS)来实现中央核查和控制功能。WIPS使用APs或者遍布于你的WLAN的传感器来对电波进行监测。观察结果将报告给中央WIPS服务器,该服务器对Wi-Fi通信流量进行分析,寻找可能存在的攻击、问题和违规行为。每当检测到潜在的威胁――例如,有工作人员连接到邻近AP―WIPS将采取措施来自动中断这些连接。
在办公室之外对这种控制进行扩展需要另外的解决方案―运行于Wi-Fi客户端本身上的WIPS程序。任何一种主机WIPS程序,如AirMagnet StreetWISE都能对家庭,公共热点区域,机场,甚至飞机上的Wi-Fi客户进行看护。
对客户进行看护
各种主机WIPS产品有所不同,但是所有产品都被设计用于监测主机的无线活动,并与规定的策略进行比较。例如,AirMagnet StreetWISE策略定义了哪种无线连接是允许的:只有Wi-Fi,Wi-Fi和以太网,ad hoc Wi-Fi,蓝牙,还是和/或者红外?对于Wi-Fi连接来说,程序将设置最低的安全等级(WEP-64,WEP-128,WPA),可信任的SSID将显示在Wi-Fi连接工具上。