通过WLAN测试验证网络的安全性与连接性

日期: 2011-01-09 作者:Lisa Phifer翻译:曾少宁 来源:TechTarget中国 英文

由于802.11n技术所实现的速度和可靠性,许多公司正开始使用带宽更大的无线LAN来支持新的移动服务。但是这个变化需要进行更复杂和更可靠的WLAN测试,以验证网络的安全性、连接性和性能。   公司可以不再需要使用耗费人力的工具来检查信号强度、服务器可访问性和Wi-Fi漏洞。测试在地理位置上分散的整个企业网络的成百上千的接入端(AP)和无数的客户端需要使用更高效的自动化工具和方法。

  在许多早期的Wi-Fi部署中,安全性意味着检查整个建筑物或园区,监听陌生信号,以便发现未授权的恶意AP。这不仅极为低效,而且经常会“阻碍”许多识别错误的AP,也会忽视其他的一些威胁,如配置错误和操作不当的客户端。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

由于802.11n技术所实现的速度和可靠性,许多公司正开始使用带宽更大的无线LAN来支持新的移动服务。但是这个变化需要进行更复杂和更可靠的WLAN测试,以验证网络的安全性、连接性和性能。

  公司可以不再需要使用耗费人力的工具来检查信号强度、服务器可访问性和Wi-Fi漏洞。测试在地理位置上分散的整个企业网络的成百上千的接入端(AP)和无数的客户端需要使用更高效的自动化工具和方法。

  在许多早期的Wi-Fi部署中,安全性意味着检查整个建筑物或园区,监听陌生信号,以便发现未授权的恶意AP。这不仅极为低效,而且经常会“阻碍”许多识别错误的AP,也会忽视其他的一些威胁,如配置错误和操作不当的客户端。

  使用具有无线入侵防御系统的AP进行全天监控

  随着Wi-Fi越来越流行,许多AP经过更新后能够监听频道内或频道外的流氓信号。另外专门的Wireless Intrusion Prevention Systems (WIPS),也可用于全天监控无线攻击或违规行为,以及响应临时阻挡和发现嫌疑的流氓信号。

  然而,这两个方法已经开始融合到一起。许多企业AP现在能够在需要时变成专职WIPS探测器,而且有几个AP供应商也提供了专用的WIPS设备。现在争论的重点越来越不在于扫描的频率,24/7是依赖无线的企业必须要求实现的。相反,合理的安全任务和符合规范要求则占据了核心地位。

  集中的WLAN评估工具保证了规范性

  为了符合像PCI DSS或Federal Information Security Management Act (FISMA)这样的规范,组织必须证明安全控制的有效性,并记录嫌疑违反规范的情况。现在,许多商业WIPS和一些WLAN管理器能够根据流行的行业规范产生封闭的规范报告,但是仍然需要持续地评估这些安全性控制和政策。

  许多公司都雇佣第三方审计人员到现场执行评估;例如,要在一个商店中验证PCI DSS规范。然而,在进行这个审计之前,我们最好先测试一些有问题的地方,然后在它们暴露之前修复 这些问题。理想情况下,这些自我评估应该定期进行,而且不会消耗太多的员工时间,不需要太多的现场调查费用。

  这正是集中评估工具发挥作用的地方。例如,AirTight Networks使用基于云的WIPS与上述探测器通信来实现每季度的PCI扫描和修复服务。这些探测器会监听邻近的流量,并探测Cardholder Data Environments (CDEs)的无线漏洞,从而产生PCI DSS 1.2规范所要求的月扫描报告(至少)。

  对于那些已经部署了WIPS的公司而言,像Motorola AirDefense提供的无线漏洞评估模块等插件能够将部署的探测器变成远程测试引擎,它们能够周期性地连接AP,探测暴露的端口和URL,并生成记录结果的报告。

  自动的远程安全性扫描,不管是由本身的WIPS执行,或者是云服务实现,都能够实现廉价的常规自我评估。然而,它们并不能替代不定期的人工现场渗透测试。

  非自动化WLAN测试——渗透测试

  查找可能淹没客户端、AP和WLAN管理器的盲点、错误和新攻击是WLAN测试的重要组成部分。然而,这种无线测试还没有实现完全的自动化。

  例如,MDK3是一个命令行工具,它可用于猜测隐藏的SSID和MAC ACL,寻找客户端的认证漏洞,并发送802.11 Beacon、Deauth和TKIP MIC DoS攻击。审计人员可以使用MDK3方便地在不同的位置发起这些渗透测试,如办公室内部和外部。然而,诸如MDK3等工具绝不应该在工作时间内对生产环境WLAN执行测试,因为生产使用需要人工指引和结果解释。

  集中的渗透测试工具经常可用于发现影响WLAN安全性的较上层的系统漏洞。例如,Metasploit脚本能够尝试许多不同的有线和无线LAN应用程序。如果要对一个大型网络执行更高效的Metasploit测试,我们可以考虑Rapid7的Metasploit Pro,它可以从一个中央控制台执行多层次的远程渗透测试。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。