【TechTarget中国原创】无线网络监测系统正迅速地从只进行检测转向了检测和预防双管齐下。特别是,许多系统现在通过阻止无线访问和有线访问,提供了“遏制”未经授权的流氓设备的功能。本文中,TechTarget中国的特约专家探讨了流氓遏制方法的工作原理、其潜在的负面影响,以及在使用之前,网络管理员应该考虑的问题。
有线遏制
流氓攻击可能是某个雇员为了方便起见而安装的未经授权的接入点(AP)、可能是某个根植于你办公室内部的接入点,进而创建一个无线后门,或者是一个软接入点(SoftAP),可以在你的有线局域网内架设攻击信息流。在每一种情况下,流氓攻击可以物理连接到你的企业网络上。禁用上游以太网的交换器端口就可以立即打破这一连接。
首先,通过扫描有线局域网,找到携带有流氓MAC地址的设备,进而确定目标交换器端口。或者与流氓接入点联合,然后使用跟踪路由建立流氓返回你网络的路径。你的无线网络入侵侦测系统(WIDS)会支持其中一种方法或者两种“链接检查”方法,这些方法都是从流氓附近的传感器上启动的。
如果可以识别到流氓使用的交换器,你的无线网络入侵侦测系统就能够发送该交换器的简单网络管理协议(SNMP)请求,进而中止那个端口。或者,无线网络入侵侦测系统可以向网络管理系统发送这样的请求——比如,AirDefense可以向Cisco无线域名服务(WLSE)发送有线阻止请求。
有线遏制可能会需要一些预先的配置,比如在你的无线网络入侵侦测系统中添加管理子网和简单网络管理协议(SNMP)的查询密码,这样就可以发现交换器、或者在搜索列表中添加特定的交换器。在一些情况下,交换器并不由简单网络管理协议(SNMP)管理,或者可能处于子网中,无法从无线网络入侵侦测系统的传感器和服务器中达到。此外,甚至有线遏制在技术上是可行的,但是由于组织策略,这也是不允许的。
无线遏制
凡是有线遏制是不可能的、不切实际的、不合适的情况下,考虑使用无线遏制。无线遏制不仅仅可以应用到流氓接入点,也可以应用到与你自己接入点相连接的流氓工作站,以及与点对点客户端连接的流氓工作站。无线遏制的方法有很大的不同。比如:
- 最差的方法是干扰——以指定的频率产生射频噪声,进而防止流氓(和其它任何人)有效地交流。干扰的破坏性很强,并且会违反频谱使用的规定,所以这种方法应该是最后考虑的方法。
- 最常见的方法是向流氓的MAC地址或者接入点的光笔地址发送一串稳定的解除验证信息包。比如,无线网络入侵侦测系统可能会对使用流氓接入点的每个人解除验证,或者会选择性地仅对那些使用合法接入点的流氓工作站解除验证。谨慎使用广播解除验证,以免意外地攻击到某个邻居的新接入点。虽然选择性的解除验证破坏性要小一些,但是一些使用MAC欺骗或者漫游的用户会将其规避到另一个合法接入点/信道。
- 网络化学公司的UltraShield方法使用蜜罐和焦油纸算法,来保持流氓处于忙碌状态,这样它就不会尝试与其它任何人通信。比如,某个流氓的点对点模式会被无线网络入侵侦测系统的传感器吸引,这个传感器假装成为一个同样的点对点模式。或者传感器会假装为某个接入点,保持流氓客户端与之保持联系,这样他们就无法漫游到真正的接入点。
与有线遏制方法不同,无线遏制通常不会要求与其它网络设备或服务协调。但是,无线遏制会消耗带宽和无线入侵侦测系统的资源。一些传感器可以共享时间,这样只不过缩短了监测间隔,而其它传感器在用于遏制的时候不能扫描信道。虽然一些传感器可以立即阻止几个流氓,但是,一个传感器尝试阻止流氓的个数越多,遏制(和无线入侵侦测系统监测)的效率会变得越低。
需要考虑的因素
遏制是一把双刃剑。它虽然对阻止干扰非常重要,但是流氓也可以对它进行研究,进而消除遏制。向远程站点派遣工作人员需要花费一些时间:流氓在仅仅几分钟内就可以造成破坏,然后继续前进。但是,不欠当的遏制行动也可以阻碍你自己的企业生产力,对你的邻居造成金融危害,或者承担法律责任。
因此,在使用这些遏制方法时,有必要了解遏制的性能。在单独测试无线局域网时,用遏制性能进行实验,直到你了解了有意的影响和意想不到的后果。当你考虑选择无线局域网产品时,首先至少要适用于遏制的方法。只有经过仔细分析和管理批准之后,才能实现自动遏制。
指定一个策略,规定何时使用遏制,以及授权哪个人做出遏制的决定。比如,你可能会要求进行人力调查,除了最优先的流氓事件,比如选择那些负责关键任务系统或者限制领域的人员。或者在保留更积极的升级方法的同时,你可以决定自动操作保护性的遏制情节。比如,停用你自己的交换器端口,或者从你自己的接入点中,有选择地对流氓解除验证,这些都视为在你的权限之内,并且不可能不经意间影响到你的邻居。
此外,确定什么时候应该取消遏制措施,或者使其成为永久的遏制措施。比如,无线遏制通常是一种停止损失的策略,适合短期实施,或者直到流氓变得气馁,转向另一个攻击目标。但是,无线入侵侦测防御系统也可以使用遏制来连续执行授权的使用政策——比如,通过阻止合法的站点保持与未经授权的接入点保持连接。
切记,双刃剑在熟练者的手里也可以是一个强有力的工具。在反击流氓的战争中,遏制政策是极其宝贵的,只要你用应有的尊重和细心来对待这些“反击”能力。