接入无线局域网的计算机与接入点 [无线局域网非法接入点的探测和处理]

　　摘 要:近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁。本文将深入探讨无线局域网非法接入点对企业及其网络带来的巨大安全威胁,以及如何缓解或消除这种威胁。
　　关键词:无线局域网 探测 处理
　　中图分类号:TP319.3 文献标识码:A 文章编号:1672-3791(2012)07(b)-0011-03
　　无线局域网具有使用灵活方便,成本较低等优点,但由于无线电波可以轻易穿透墙壁,窗户等屏障,入侵者就可以在户外轻易的利用无线局域网的安全漏洞入侵用户所在的以太网。无线局域网的发展前景极其广阔,是未来网络发展的一个重要的方向,但是无线局域网的安全问题,成为当今一个非常重要的研究课题,也正是因为这个安全因素,限制了无线局域网的蓬勃发展。本文将就无线局域网的安全薄弱环节—非法接入点的安全问题进行深入探讨,同时介绍如何使用技术手段防止非法接入点的接入。
　　1 非法接入点概述
　　无线接入点即无线AP(AccessPoint)它是用于无线网络的无线交换机,也是无线网络的核心[1]。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。
　　1.1 非法接入点带来的问题
　　非法接入点指的是未经许可而被安装的接入点。它可能会给安全敏感的企业网络造成一个后门,从而对企业的信息安全带来极大威胁。攻击者可以通过后门对一个受保护的网络进行访问,从而绕开“前门”的所有安全措施。
　　无线信号是在空气中进行传播的,因此在大多数情况下没有传输屏障。它们可以穿过墙壁和屏障,到达公司建筑外很远的地方。这些无线信号既可能来自非法接入点又可能来自合法接入点。它们代表的敏感数据或机密信息既可能来自企业内部,也可能来自员工在企业外部使用的移动设备,若入侵者能够连接企业内部的局域网,则将会对企业以太网的安全性造成威胁,若是用户连接了入侵者所设置的非法接入点,则可能造成对用户本身的机密信息丢失。
　　私自安装的非法接入点造成的问题在于给企业带来了极大的安全威胁,因为它们只采用了非常薄弱的安全措施,却把公司内部网络扩展到了外部攻击者的可访问范围内[2]。
　　所以,在任何一个公司的网络环境中,都需要对非法的无线接入点进行探测和核查,即使该公司并不提供无线网络访问服务。
　　1.2 非法接入点是安全链中最薄弱的一环
　　网络的安全性取决于整个安全链中最薄弱的一环。假设公司内部已经部署了一个非常稳定和安全的无线及有线网络,建立这个安全的无线网络所花费的全部时间和金钱,却可能被一个小小的非法接入点抵消掉[3]。
　　如图1展示了一个位于安全的无线网络拓扑中的无线外围网络拓扑中的无线外围网络层(DMZ)。为了让合法用户A有权访问受保护的公司网络,相关实体必须经过一个合适的身份验证过程,通过防火墙和入侵检测系统(IDS)的检查并使用加密措施。与用户A不同,用户B无需通过任何安全限制,就能访问公司网络,而他只是利用了一个有可能是员工私自假设的非法接入点。
　　1.3 入侵者安装的非法接入点
　　与员工私自安装的非法接入点不同,入侵者安装的非法接入点并不是连接到公司的有线网络上。它位于无线信号的传输范围之内,并且作为一种欺骗设备让合法用户掉进圈套。当合法用户试图连接到入侵者安装的接入点时,这个非法接入点就能欺骗用户提供有价值的信息,如身份验证的类型和用户凭证等。入侵者会记录下来这些信息,在随后用于获取某个合法接入点的访问权限[4]。
　　2 非法接入点的预防和检测
　　许多技术都能用于非法接入点的预防或检测。在每次网络核查中,都应该检测非法接入点,以避免把可能存在的网络后门暴露给攻击者。
　　2.1 非法接入点的预防
　　大多数非法接入点都是没有恶意的员工安装的,他们只是想在工作场所中访问无线网络。要防止员工安装这种非法接入点,一种解决方案是主动为他们提供无线访问服务。同时,企业必须制定涵盖无线网络的安全策略,尤其是要禁止使用个人自私安装的非法接入点[5]。这样做并不意味着要停止对公司网络的核查和非法接入点的检测,而是为了减少非法接入点的数量,从而改善整个网络的安全性。
　　2.2 通过探测射频信号检测和定位非法接入点
　　检测非法接入点的其中一项技术是使用网络嗅探工具(Sniffer)手工对公司范围内的射频信号进行探测。无线嗅探工具能够捕捉空气中正在传递的所有通信数据,而这些数据可用于随后的分析,例如MAC地址的比较。每个无线设备都有一个独一无二的MAC地址。如果代表某个未知接入点的陌生MAC地址被无线嗅探工具探测到,它就可能是一个非法接入点。
　　NetStumbler等软件就能作为非法接入点的嗅探工具。它能显示在当前信号的强度区域内,可以检测到哪些接入点,然后把检测到的接入点列表与一个友好接入点的数据库进行比较。NetStumbler还能用来瞄准一个物理的非法接入点,通过测算信号的强度,获得该接入点的位置信息。
　　2.3 Cisoc的非法接入点检查工具
　　使用嗅探工具检测非法接入点是一件非常耗时的任务,在大规模的无线及有线网络环境中几乎是不可能完成的。管理员必须走遍整个区域,并把检测到的潜在的非法接入点与已知的友好接入点进行手工进行比较。这个任务还必须每天重复进行[6]。
　　现在已经有了更为完善的解决方案,用以替代对非法接入点的手工嗅探。Cisco公司的解决方案能把所有的无线客户端和接入点都变成嗅探设备,这些设备可以连续不断的对自己周围的射频信号进行监视和分析。每个友好的接入点和无线客户端都可以对其周围所能覆盖的区域进行7×24h不断的检测。无线客户端和合法接入点如果检测到非法接入点,就会把相关信息发送到一个中央管理工作站,然后该工作站就会向网络管理员发出提示。