公司可以不再需要使用耗費(fèi)人力的工具來檢查信號(hào)強(qiáng)度、服務(wù)器可訪問性和Wi-Fi漏洞。測(cè)試在地理位置上分散的整個(gè)企業(yè)網(wǎng)絡(luò)的成百上千的接入端(AP)和無數(shù)的客戶端需要使用更高效的自動(dòng)化工具和方法。

在許多早期的Wi-Fi部署中，安全性意味著檢查整個(gè)建筑物或園區(qū)，監(jiān)聽陌生信號(hào)，以便發(fā)現(xiàn)未授權(quán)的惡意AP。這不僅極為低效，而且經(jīng)常會(huì)“阻礙”許多識(shí)別錯(cuò)誤的AP，也會(huì)忽視其他的一些威脅，如配置錯(cuò)誤和操作不當(dāng)?shù)目蛻舳恕?/p>

使用具有無線入侵防御系統(tǒng)的AP進(jìn)行全天監(jiān)控

隨著Wi-Fi越來越流行，許多AP經(jīng)過更新后能夠監(jiān)聽頻道內(nèi)或頻道外的流氓信號(hào)。另外專門的Wireless Intrusion Prevention Systems (WIPS)，也可用于全天監(jiān)控?zé)o線攻擊或違規(guī)行為，以及響應(yīng)臨時(shí)阻擋和發(fā)現(xiàn)嫌疑的流氓信號(hào)。

然而，這兩個(gè)方法已經(jīng)開始融合到一起。許多企業(yè)AP現(xiàn)在能夠在需要時(shí)變成專職WIPS探測(cè)器，而且有幾個(gè)AP供應(yīng)商也提供了專用的WIPS設(shè)備?，F(xiàn)在爭(zhēng)論的重點(diǎn)越來越不在于掃描的頻率，24/7是依賴無線的企業(yè)必須要求實(shí)現(xiàn)的。相反，合理的安全任務(wù)和符合規(guī)范要求則占據(jù)了核心地位。

集中的WLAN評(píng)估工具保證了規(guī)范性

為了符合像PCI DSS或Federal Information Security Management Act (FISMA)這樣的規(guī)范，組織必須證明安全控制的有效性，并記錄嫌疑違反規(guī)范的情況?，F(xiàn)在，許多商業(yè)WIPS和一些WLAN管理器能夠根據(jù)流行的行業(yè)規(guī)范產(chǎn)生封閉的規(guī)范報(bào)告，但是仍然需要持續(xù)地評(píng)估這些安全性控制和政策。

許多公司都雇傭第三方審計(jì)人員到現(xiàn)場(chǎng)執(zhí)行評(píng)估;例如，要在一個(gè)商店中驗(yàn)證PCI DSS規(guī)范。然而，在進(jìn)行這個(gè)審計(jì)之前，我們最好先測(cè)試一些有問題的地方，然后在它們暴露之前修復(fù) 這些問題。理想情況下，這些自我評(píng)估應(yīng)該定期進(jìn)行，而且不會(huì)消耗太多的員工時(shí)間，不需要太多的現(xiàn)場(chǎng)調(diào)查費(fèi)用。

這正是集中評(píng)估工具發(fā)揮作用的地方。例如，AirTight Networks使用基于云的WIPS與上述探測(cè)器通信來實(shí)現(xiàn)每季度的PCI掃描和修復(fù)服務(wù)。這些探測(cè)器會(huì)監(jiān)聽鄰近的流量，并探測(cè)Cardholder Data Environments (CDEs)的無線漏洞，從而產(chǎn)生PCI DSS 1.2規(guī)范所要求的月掃描報(bào)告(至少)。

對(duì)于那些已經(jīng)部署了WIPS的公司而言，像Motorola AirDefense提供的無線漏洞評(píng)估模塊等插件能夠?qū)⒉渴鸬奶綔y(cè)器變成遠(yuǎn)程測(cè)試引擎，它們能夠周期性地連接AP，探測(cè)暴露的端口和URL，并生成記錄結(jié)果的報(bào)告。

自動(dòng)的遠(yuǎn)程安全性掃描，不管是由本身的WIPS執(zhí)行，或者是云服務(wù)實(shí)現(xiàn)，都能夠?qū)崿F(xiàn)廉價(jià)的常規(guī)自我評(píng)估。然而，它們并不能替代不定期的人工現(xiàn)場(chǎng)滲透測(cè)試。

非自動(dòng)化WLAN測(cè)試——滲透測(cè)試

查找可能淹沒客戶端、AP和WLAN管理器的盲點(diǎn)、錯(cuò)誤和新攻擊是WLAN測(cè)試的重要組成部分。然而，這種無線測(cè)試還沒有實(shí)現(xiàn)完全的自動(dòng)化。

例如，MDK3是一個(gè)命令行工具，它可用于猜測(cè)隱藏的SSID和MAC ACL，尋找客戶端的認(rèn)證漏洞，并發(fā)送802.11 Beacon、Deauth和TKIP MIC DoS攻擊。審計(jì)人員可以使用MDK3方便地在不同的位置發(fā)起這些滲透測(cè)試，如辦公室內(nèi)部和外部。然而，諸如MDK3等工具絕不應(yīng)該在工作時(shí)間內(nèi)對(duì)生產(chǎn)環(huán)境WLAN執(zhí)行測(cè)試，因?yàn)樯a(chǎn)使用需要人工指引和結(jié)果解釋。

集中的滲透測(cè)試工具經(jīng)?？捎糜诎l(fā)現(xiàn)影響WLAN安全性的較上層的系統(tǒng)漏洞。例如，Metasploit腳本能夠嘗試許多不同的有線和無線LAN應(yīng)用程序。如果要對(duì)一個(gè)大型網(wǎng)絡(luò)執(zhí)行更高效的Metasploit測(cè)試，我們可以考慮Rapid7的Metasploit Pro，它可以從一個(gè)中央控制臺(tái)執(zhí)行多層次的遠(yuǎn)程滲透測(cè)試。

【編輯推薦】

1. 給力的網(wǎng)絡(luò) 有道的性能——802.11n與WLAN
2. TD-SCDMA無線網(wǎng)絡(luò)工程具體測(cè)試方法總結(jié)
3. 無線網(wǎng)絡(luò)的組建的誤區(qū)及安全性分析
4. 騰達(dá)路由器設(shè)置：帶寬設(shè)置和無線網(wǎng)絡(luò)更名
5. IPv6用戶的WLAN安全接入