跟蹭网说再见检测和防御非法无线访问设备.docxVIP

就目前来说，非法无线访问设备有两种主要的类型：内部非法无线访问设备和外部非 法无线访问设备。内部非法无线访问设备处于企业内部局域网中的某个位置，它们可能是员工自己建立的无线 AP，也可能是攻击者在入侵网络后自己构建的。例如，攻击者可以通过一些软件加 USB 无线网卡的方式来构建一个无线 AP，这样的软件有 HostAP 和 FakeAP， 它们只能在 Windows 操作系统下运行。而外部非法无线访问设备是指处于企业网络外部的无线访问设备，这些无线访问设备通常与企业保持在无线信号可以传达的范围之内，大多都是企业外部人员所拥有。 不过，在这样的一个结构复杂的无线网络大环境当中，要区分哪些无线访问设备是安全的，哪些是非法的有时变得很困难。这是因为我们发现的无线访问设备可能属于企业外部某个家庭用户使用的无线设备;也可能是一个由于企业内部员工为了方便自己而建立的无线 AP;它们还可能是一个来自外部的恶意无线访问设备，由攻击者特意安装在接近企业的位 置，用来收集企业无线局域网中传输的机密数据。 在本文中，我们所指的非法无线访问设备就是指所有没有经过授权的无线访问设备，无论这个无线访问设备是由谁建立的，也不管建立它的目的是什么，只要是没有经过企业授权的就是非法的无线访问设备。 它们包括： 1、 邻居家的无线 AP 2、 AD HOC 计算机，进行点对点的直接连接，发送机密文件。 3、 非授权 AP 4、 非授权站点，PDA 和智能手机 5、 恶意站点 6、 恶意无线 AP 为了能够保护无线局域网的安全，防止非法无线访问设备给无线局域网带来的安全风 险，无线局域网所有者或网络管理员必需使用一定的步骤和工具来发现和消灭这些非法的无线访问设备。 但是检测和防范非法无线访问设备是一个持续的长期过期，它应该与无线局域网的整个 生命周期相适应。为此我们必需按一定的最佳做法来构建一个处理非法无线访问设备的处理流程，这个最佳做法包括：检测、阻止、定位和清除非法无线访问点。 一、非法无线设备的检测方法 到目前为止，可以用来检测和防御非法无线访问设备的主要方法包括： 1、 使用无线嗅探器，通过与笔记本电脑或 PDA 设备的联合使用，可以在企业整个无线局域网区域内漫游查找非法无线访问设备。但是，这种方式需要技术人员有一定的嗅探器知识，还必需非常了解企业目前的无线设备的分布状况。 2、 使用无线入侵检测/防御系统(WIDS/IPS)，它们有主机型和网络型之分，在部署时应两种同时使用。无线入侵防范系统是目前最有效的检测非法无线访问设备的方法，但是， 它并不能检测到被动式无线嗅探攻击和接入请求，以及内部人员主动连接外部无线访问设备 的攻击方式。 3、 使用手持式无线信号检测工具。 4、 安装无线检测探头。在所有无线局域网覆盖区域都需要安装相应的探头来检测无线访问设备的接入信号。非法无线信号的检测探针的安装位置可以是处于特殊位置的工作 站，也可以使用具有无线信号检测功能的无线 AP。这样做可能要求企业增加相应的投资成本。而且，这些探头产生的信息需要一个中心化服务器来进行管理和分析，以确定哪些是正常的接入请求，哪些是非法的。 在实际应用当中，为了能够达到最好的检测效果，应该将这 4 种方式结合起来使用。实际上，在使用的过程中，还可以根据不同的需求选择其它的外设配置。例如如果需要绘制 非法无线访问设备分布位置的地图，我们还得借助 GPS 和相应的绘图软件来完成这个任务。 另外，除了上述这些经常使用的检测方法外，还有一些其它的技术可以用来检测非法的无线访问设备。这些技术包括现场调查(site survey)、MAC 地址列表检查、噪音检测(noise checking)和无线流量分析等。在本文中，我将只介绍使用无线入侵检测防御系统的方式， 来检测存在于无线局域网中的非法无线访问设备。 不过，在部署一个新的无线网络之前，我们还必需先查明现有的无线信号源，包括墙壁、门窗和微波炉等，以及任何现有的 802.11 网络及设备。同时，还需要通过无线网络规划工具，来创建一个无线访问设备的分布平面图，并在其中指定无线信号需要覆盖的范围、安装 的位置和信号的强度，以及无线 AP 为其提供的服务所要具有的能力和吞吐量。 要完成这些前期检测工作，一些手持式无线检测工具可以用来检测接收的无线信号的强度和噪声，并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测，还可以用来检测无线信号实际的边界位置。这些现场无线检测工具将收集到的信息反馈到无线网络规划工 具，然后通过无线网络规划工具就可以使用每个 AP 的 ESSID、通道等信息创建一个实际的无线信号覆盖地图。 通过手持式无线检测工具在无线局域网部署完成后还可以用来检测无线信号的质量，发现信号的死角和信号通道重叠问题，并由此对无线 AP 的