清除无线入侵者 (2)

WLAN流量“攻击”签名。大量不符合规定的流量可能会占据无线传输路径，阻塞合法无线设备、管理帧、身份验证请求和其他类型的分组（具体取决于攻击类型）。

临时网络：当客户端直接互联时，它们就构成了临时网络。这些点对点连接可能会带来风险——某个未经授权的客户端可以自动地与存储敏感数据的合法客户端建立关联，因为它可以获得对该设备的硬盘的访问权限。另外，这种关联可能会导致一个客户端借助另外一个客户端的连接，访问内部有线网络资源。

意外关联。这种情况发生在某个邻近的接入点的覆盖区域与合法机构的无线空间混叠之时。这会使得机构的合法无线客户端设备连接到相邻的接入点。一旦建立起这样的连接，相邻网络上的客户端设备就可以相当容易地获得对合法客户端和机构资源的访问权限，除非合法客户端设备受到特殊软件（例如个人防火墙或者思科安全代理）的保护。思科安全代理最近进行的改进使其可以判断客户端是否连接到一个无效的子网范围，如一个未经授权的网络。

Woodhams指出，为了控制某个连接到恶意接入点的未经授权的设备的行为，处于传感器模式的思科传感器可以向客户端发出一个取消验证分组，以取消关联和发现应连接的合法接入点。

• 存在不利影响的生成树桥接环。除了开放权限威胁以外，Windows XP笔记本电脑还存在一个零配置的缺省设置。“这可能导致它与较旧的以太网交换机建立一个生成树桥接环，从而使得整个网络陷于瘫痪”，Woodhams表示。

他表示，如果生成树协议信息泄漏到机构围墙之外（例如自由软件可能会监听这些信息和发送生成树攻击），网络骨干网可能会遭受拒绝服务攻击。

“通过监控泄漏到企业围墙以外的无线空间的所有网络协议，无线监控系统可以向网络管理人员发出警报，并提供采取纠正措施的建议。”

无线入侵防御可以采用集中和分散的方式
全面RF管理，位置跟踪	思科无线控制系统
思科无线局域网解决方案引擎（WLSE）	数据中心Catalyst交换机
恶意设备检测和制止
Cisco Catalyst交换机	无线控制器
IDS数据被汇总和转发
本地签名分析
IDS数据被搜集、汇总和转发	无线接入点
IDS数据被搜集和转发

保护层次：网络中的每个层次都有助于防止企业资源遭受数据劫持和拒绝服务攻击。

最佳实践和工具
最安全的监控解决方案需要部署能够检测到所有无线局域网设备及其活动的网络传感器。关键的实践和工具包括：

• 广泛、详细的网络可见度。基础设施接入点本身可能无法“看到”建筑物的角落和楼梯间。所有运行Cisco IOS软件的思科基础设施接入点都可以兼任接入点和入侵检测传感器。另外，通过思科兼容扩展计划，笔记本电脑和其他客户端设备可以充当报告恶意设备存在的服务器，可将入侵检测拓展到分布式解决方案。
• 多频扫描。在监控无线空间时，企业通常会分析无线电波的详细分布情况。传感器应当扫描802.11a、b和g网络——无论某个指定机构实际上是否在这些无线频带上传输流量。否则，企业可能会面临着工作在其他频带的临时和恶意接入点所带来的威胁。

• 位置跟踪。思科可以在恶意设备检测中加入位置跟踪功能，从而有助于根除很多类型的攻击的来源。

除了采取适当的防御措施来消除攻击产生的不利影响以外，高级跟踪功能可以确定恶意活动的实际来源，从而加快问题的解决速度。

24/7要求
随着无线局域网的广泛使用，通过偶尔对无线电波进行一次检查来发现异常行为或者性能问题的做法已经无法满足需要。

相反，所有网络层次都必须实时工作，不间断地保护企业服务器和最终用户设备中的数据，防止无线介质所独有的传播能力所带来的威胁。

无线网络特别容易遭受攻击，因为无线电波是一种开放的介质，由所有在同一个无需许可的RF频段中收发数据的设备共享。而且，无线客户和接入点会自动建立关联。随着基于802.11的数据量的不断增长，临时互联还将会进一步增加，从而加大发生信息失窃的可能性。幸运的是，企业现在可以通过强大的防御手段，避免因为有意或者无意行为导致的无线服务中断和数据劫持。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有