无线网络监测系统正迅速地从只进行检测转向了检测和预防双管齐下。特别是,许多系统现在通过阻止无线访问和有线访问,提供了“遏制”未经授权的流氓设备的功能。本文中,TechTarget中国的特约专家探讨了流氓遏制方法的工作原理、其潜在的负面影响,以及在使用之前,网络管理员应该考虑的问题。 有线遏制 流氓攻击可能是某个雇员为了方便起见而安装的未经授权的接入点(AP)、可能是某个根植于你办公室内部的接入点,进而创建一个无线后门,或者是一个软接入点(SoftAP),可以在你的有线局域网内架设攻击信息流。
在每一种情况下,流氓攻击可以物理连接到你的企业网络上。禁用上游以太网的交换器端口就可以立即打破这……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
无线网络监测系统正迅速地从只进行检测转向了检测和预防双管齐下。特别是,许多系统现在通过阻止无线访问和有线访问,提供了“遏制”未经授权的流氓设备的功能。本文中,TechTarget中国的特约专家探讨了流氓遏制方法的工作原理、其潜在的负面影响,以及在使用之前,网络管理员应该考虑的问题。
有线遏制
流氓攻击可能是某个雇员为了方便起见而安装的未经授权的接入点(AP)、可能是某个根植于你办公室内部的接入点,进而创建一个无线后门,或者是一个软接入点(SoftAP),可以在你的有线局域网内架设攻击信息流。在每一种情况下,流氓攻击可以物理连接到你的企业网络上。禁用上游以太网的交换器端口就可以立即打破这一连接。
首先,通过扫描有线局域网,找到携带有流氓MAC地址的设备,进而确定目标交换器端口。或者与流氓接入点联合,然后使用跟踪路由建立流氓返回你网络的路径。你的无线网络入侵侦测系统(WIDS)会支持其中一种方法或者两种“链接检查”方法,这些方法都是从流氓附近的传感器上启动的。
如果可以识别到流氓使用的交换器,你的无线网络入侵侦测系统就能够发送该交换器的简单网络管理协议(SNMP)请求,进而中止那个端口。或者,无线网络入侵侦测系统可以向网络管理系统发送这样的请求——比如,AirDefense可以向Cisco无线域名服务(WLSE)发送有线阻止请求。
有线遏制可能会需要一些预先的配置,比如在你的无线网络入侵侦测系统中添加管理子网和简单网络管理协议(SNMP)的查询密码,这样就可以发现交换器、或者在搜索列表中添加特定的交换器。在一些情况下,交换器并不由简单网络管理协议(SNMP)管理,或者可能处于子网中,无法从无线网络入侵侦测系统的传感器和服务器中达到。此外,甚至有线遏制在技术上是可行的,但是由于组织策略,这也是不允许的。
无线遏制
凡是有线遏制是不可能的、不切实际的、不合适的情况下,考虑使用无线遏制。无线遏制不仅仅可以应用到流氓接入点,也可以应用到与你自己接入点相连接的流氓工作站,以及与点对点客户端连接的流氓工作站。无线遏制的方法有很大的不同。比如:
- 最差的方法是干扰——以指定的频率产生射频噪声,进而防止流氓(和其它任何人)有效地交流。干扰的破坏性很强,并且会违反频谱使用的规定,所以这种方法应该是最后考虑的方法。
- 最常见的方法是向流氓的MAC地址或者接入点的光笔地址发送一串稳定的解除验证信息包。比如,无线网络入侵侦测系统可能会对使用流氓接入点的每个人解除验证,或者会选择性地仅对那些使用合法接入点的流氓工作站解除验证。谨慎使用广播解除验证,以免意外地攻击到某个邻居的新接入点。虽然选择性的解除验证破坏性要小一些,但是一些使用MAC欺骗或者漫游的用户会将其规避到另一个合法接入点/信道。
- 网络化学公司的UltraShield方法使用蜜罐和焦油纸算法,来保持流氓处于忙碌状态,这样它就不会尝试与其它任何人通信。比如,某个流氓的点对点模式会被无线网络入侵侦测系统的传感器吸引,这个传感器假装成为一个同样的点对点模式。或者传感器会假装为某个接入点,保持流氓客户端与之保持联系,这样他们就无法漫游到真正的接入点。
与有线遏制方法不同,无线遏制通常不会要求与其它网络设备或服务协调。但是,无线遏制会消耗带宽和无线入侵侦测系统的资源。一些传感器可以共享时间,这样只不过缩短了监测间隔,而其它传感器在用于遏制的时候不能扫描信道。虽然一些传感器可以立即阻止几个流氓,但是,一个传感器尝试阻止流氓的个数越多,遏制(和无线入侵侦测系统监测)的效率会变得越低。
需要考虑的因素
遏制是一把双刃剑。它虽然对阻止干扰非常重要,但是流氓也可以对它进行研究,进而消除遏制。向远程站点派遣工作人员需要花费一些时间:流氓在仅仅几分钟内就可以造成破坏,然后继续前进。但是,不欠当的遏制行动也可以阻碍你自己的企业生产力,对你的邻居造成金融危害,或者承担法律责任。
因此,在使用这些遏制方法时,有必要了解遏制的性能。在单独测试无线局域网时,用遏制性能进行实验,直到你了解了有意的影响和意想不到的后果。当你考虑选择无线局域网产品时,首先至少要适用于遏制的方法。只有经过仔细分析和管理批准之后,才能实现自动遏制。
指定一个策略,规定何时使用遏制,以及授权哪个人做出遏制的决定。比如,你可能会要求进行人力调查,除了最优先的流氓事件,比如选择那些负责关键任务系统或者限制领域的人员。或者在保留更积极的升级方法的同时,你可以决定自动操作保护性的遏制情节。比如,停用你自己的交换器端口,或者从你自己的接入点中,有选择地对流氓解除验证,这些都视为在你的权限之内,并且不可能不经意间影响到你的邻居。
此外,确定什么时候应该取消遏制措施,或者使其成为永久的遏制措施。比如,无线遏制通常是一种停止损失的策略,适合短期实施,或者直到流氓变得气馁,转向另一个攻击目标。但是,无线入侵侦测防御系统也可以使用遏制来连续执行授权的使用政策——比如,通过阻止合法的站点保持与未经授权的接入点保持连接。
切记,双刃剑在熟练者的手里也可以是一个强有力的工具。在反击流氓的战争中,遏制政策是极其宝贵的,只要你用应有的尊重和细心来对待这些“反击”能力。
相关推荐
-
SQL注入攻击防御指南
近年来,SQL注入式攻击一直如幽灵般困扰着众多企业,成为令企业毛骨悚然的梦魇。如何防御SQL注入攻击?本技术手册将为你提供指导。
-
从网络管理员升为信息安全专家之路
有读者提问:我有两年作为网络管理员的经验,但我很想通过我的努力成为信息安全的专业人士。我应该采取哪些步骤?我应该获得什么认证吗?我们请到了专家进行相关讲解。
-
从日志着手加强计算机的网络安全控制
任何一台服务器系统在默认状态下会自动启用日志功能,来将访问服务器系统的任何行为捕捉、记录下来,网络管理员只要巧妙地学会使用日志,也能加强网络安全控制!
-
保护网络避免遭到攻击的三项重要措施
网络管理员能够采取三项措施避免遭到影响美国和韩国一些网站的那种攻击。这三项安全措施的重点分别是:基于网络的缓解威胁措施、托管的缓解威胁措施和预防性措施。