检测和防范无线局域网中的非法无线访问设备

　　为了能够保护无线局域网的安全，防止非法无线访问设备给无线局域网带来的安全风险，无线局域网所有者或网络管理员必需使用一定的步骤和工具来发现和消灭这些非法的无线访问设备。本文将详细说明什么是非法无线访问设备，它们会给无线局域网带来什么样的安全风险，以及可以使用什么样的最佳做法来有效地解决它们所带来的问题的一整套的最佳做法，以帮助中小企业能够消除非法无线访问设备带来的安全威胁。

　　在这里要知道的是检测和防范非法无线访问设备是一个持续的长期过期，它应该与无线局域网的整个生命周期相适应。为此我们必需按一定的最佳做法来构建一个处理非法无线访问设备的处理流程。这个最佳做法包括：检测、阻止、定位和清除非法无线访问点，它是一个不断往复的处理过程。

　　一、什么是非法无线访设备

　　在理想的世界中，我们对唯一的无线网络访问设备所在的位置和状态应该可以很容易就能了解。但是，现实的无线局域网中并不只存在一个无线访问设备而已。在企业的周围会有越来越多的企业、机构或家庭用户使用无线产品，这些无线设备在其有效的无线访问距离之内很容易就可以连接到企业无线局域网之中。

　　现在，一些WIFI爱好者仍然非常喜欢通过战争驾驶的方式发现各种没有设防的无线局域网，它就是利用无线电波的开放性来进行的。另外，企业的合作伙伴、客户、员工及其它人员都有可能使用一些具有WIFI功能的设备，例如笔记本电脑、PDA、上网本或智能手机连入企业无线局域网。这些无线访问设备如果没有通过许可，同样可能给企业无线局域网带来安全风险。

　　就目前来说，非法无线访问设备有两种主要的类型：内部非法无线访问设备和外部非法无线访问设备。内部非法无线访问设备处于企业内部局域网中的某个位置，它们可能是员工自己建立的无线AP，也可能是攻击者在入侵网络后自己构建的。例如，攻击者可以通过一些软件加USB无线网卡的方式来构建一个无线AP，这样的软件有HostAP和FakeAP，它们只能在Windows操作系统下运行。而外部非法无线访问设备是指处于企业网络外部的无线访问设备，这些无线访问设备通常与企业保持在无线信号可以传达的范围之内，大多都是企业外部人员所拥有。

　　不过，在这样的一个结构复杂的无线网络大环境当中，要区分哪些无线访问设备是安全的，哪些是非法的有时变得很困难。这是因为我们发现的无线访问设备可能属于企业外部某个家庭用户使用的无线设备;也可能是一个由于企业内部员工为了方便自己而建立的无线AP;它们还可能是一个来自外部的恶意无线访问设备，由攻击者特意安装在接近企业的位置，用来收集企业无线局域网中传输的机密数据。

　　在本文中，我们所指的非法无线访问设备就是指所有没有经过授权的无线访问设备，无论这个无线访问设备是由谁建立的，也不管建立它的目的是什么，只要是没有经过企业授权的就是非法的无线访问设备。

　　它们包括：

　　1、邻居家的无线AP

　　2、AD HOC计算机，进行点对点的直接连接，发送机密文件。

　　3、非授权AP

　　4、非授权站点，PDA和智能手机

　　5、恶意站点

　　6、恶意无线AP

　　简而言之，非法无线访问设备就是指那些未知的或任何不可信赖的基于802.11标准的站点和无线AP，以及那些想进一步给企业带来商业风险的无线访问设备。

　　二、企业有必要对非法无线访问设备进行检测和防范吗?

　　到这里，有一些读者可能会问：“我的无线局域网已经实施了强大的安全措施，并且应用了基于802.1x的认证措施，就算存在非法无线访问设备，它们也应该不能对无线局域网构成任何威胁，因为这些非法的无线访问设备不能通过建立的认证体系。那么还有必要花费时间和金钱来检测非法无线访问设备吗?”

　　很显然，一些读者存在这样的疑问是很正常的，而且，使用一定的安全防范措施，例如实施802.1x认证，也能够防止一些没有通过认证的无线访问设备连入企业无线局域网。但是，百密总有一疏，你要看你实施的安全措施是哪种方式。就拿加密来说，使用WEP加密肯定是可以被攻破的，使用WPA或WPA2企业版又要好一点，但仍然可以被攻击者通过中间人攻击的方式来得到加密键。这就是说，绝对的安全是不可能的。

　　如前所述，非法无线访问设备是指仍然通过WI-FI技术连接到企业内部无线局域网中的非授权设备。这些非法无线接入设备可能是内部非授权员工的无线设备，也可能是外部攻击者的无线设备，或者是战争驾驶的无线设备。无论哪种非法无线接入设备，都有可能给企业的无线局域网带来安全风险，造成企业机密数据的泄漏和丢失。甚至一些没有构建无线局域网的企业，由于企业内部员工将具有WI-FI功能的设备连接到企业内部网络中使用，而且没有禁用这些设备的无线功能，那么这些无线设备同样可以成为泄漏企业机密和攻击者入侵企业内部网络的突破口。

　　而且，企业的内部员工有可能为了方便自己，偷偷将一个无线访问点接入到某个交换机端口中，然后通过它连接到企业的内部无线局域网当中。还有，一些特殊行为的企业，例如超市等大卖场，一些网络设备就在与顾客交流的现场，攻击者完全有可能通过物理接触的方式将一台无线AP接入到企业的内部网络当中，例如前台POS机使用的交换机等。甚至一些使用无线视频监控的无线AP也可能成为攻击者连入企业内部无线局域网的一个突破口。

　　从上述所示的这些非法无线访问设备带来的问题就可以看出，即使我们使用了多么强大的安全措施来保护无线局域网的安全，但是非法无线访问设备所带来的安全问题仍然是存在的。因此，我们就有必要通过一些方法来检测和防御非法无线访问设备带来的安全威胁。

　　到目前为止，可以用来检测和防御非法无线访问设备的主要方法包括：

　　1、使用无线嗅探器，通过与笔记本电脑或PDA设备的联合使用，可以在企业整个无线局域网区域内漫游查找非法无线访问设备。但是，这种方式需要技术人员有一定的嗅探器知识，还必需非常了解企业目前的无线设备的分布状况。

　　2、使用无线入侵检测/防御系统(WIDS/IPS)，它们有主机型和网络型之分，在部署时应两种同时使用。无线入侵防范系统是目前最有效的检测非法无线访问设备的方法，但是，它并不能检测到被动式无线嗅探攻击和接入请求，以及内部人员主动连接外部无线访问设备的攻击方式。

　　3、使用手持式无线信号检测工具。

　　4、安装无线检测探头。在所有无线局域网覆盖区域都需要安装相应的探头来检测无线访问设备的接入信号。非法无线信号的检测探针的安装位置可以是处于特殊位置的工作站，也可以使用具有无线信号检测功能的无线AP.这样做可能要求企业增加相应的投资成本。而且，这些探头产生的信息需要一个中心化服务器来进行管理和分析，以确定哪些是正常的接入请求，哪些是非法的。

　　在实际应用当中，为了能够达到最好的检测效果，应该将这4种方式结合起来使用。实际上，在使用的过程中，还可以根据不同的需求选择其它的外设配置。例如如果需要绘制非法无线访问设备分布位置的地图，我们还得借助GPS和相应的绘图软件来完成这个任务。

　　另外，除了上述这些经常使用的检测方法外，还有一些其它的技术可以用来检测非法的无线访问设备。这些技术包括现场调查(site survey)、MAC地址列表检查、噪音检测(noise checking)和无线流量分析等。在本文中，我将只介绍使用无线入侵检测防御系统的方式，来检测存在于无线局域网中的非法无线访问设备。

　　三、在无线局域构建阶段全面了解当前的非法无线访问设备的分布状况

　　在部署一个新的无线网络之前，我们必需先查明现有的无线信号源，包括墙壁、门窗和微波炉等，以及任何现有的802.11网络及设备。同时，我们还必需将这些找到的不可信任的无线设备建立一个档案，记录下这些无线设备的MAC地址、ESSID号、信道、信号噪声比(SNR)和大约的位置等信息。这样有利于在后面的非法无线设备检测过程中用来识别检测到的无线设备是否为非法无线设备。

　　并且，还需要通过无线网络规划工具，来创建一个无线访问设备的分布平面图，并在其中指定无线信号需要覆盖的范围、安装的位置和信号的强度，以及无线AP为其提供的服务所要具有的能力和吞吐量。而且还必需为现有的无线局域网绘制一张无线访问点和访问设备的位置分布平面图，在此平面图上标识出正常无线访问点的具体位置。也必需将正常无线AP的MAC地址、SSID号、信号噪声比等信息记录下来建立一个表格，用来在以后的检测过程作识别之用。

　　一些手持式现场无线检测工具可以用来检测接收的无线信号的强度和噪声，并且可以很灵活地对整个需要覆盖的无线信号区域都进行检测，还可以用来检测无线信号实际的边界位置。这些现场无线检测工具将收集到的信息反馈到无线网络规划工具，然后通过无线网络规划工具就可以使用每个AP的ESSID、通道等信息创建一个实际的无线信号覆盖地图。

　　通过手持式无线检测工具在无线局域网部署完成后还可以用来检测无线信号的质量，发现信号的死角和信号通道重叠问题，并由此对无线AP的通道进行调整，以减少通道相同造成的干扰。例如MITS WiSCAN就是采用Win CE为操作平台的便携式无线检测设备。它支持802.11b/g/a 协议，提供对目前环境的无线网络整体信息，各信道讯号质量，AP数量参数等，并可对所有频道的AP进行监控。

　　在这个过程中，我们还可以使用无线嗅探软件加GPS的方式来检测和绘制无线访问设备的地图。使用软件可以为我们大大节省解决这个问题的时间，这样的软件包括Netstumber.

　　同时，在部署无线局域网时，将无线局域网内部所有的无线访问设备的相关属性做一个详细的记录，记录的内容包括：每台设备的MAC地址、AP使用的SSID号、AP的供应商、AP的类型和AP使用的信道等信息。其中要记录的主要是无线访问设备的MAC地址，它是标识一台无线访问设备的最好方式。另外，由于无线访问设备是可移动的，要想得到它们的信息，就必需进行连续二十四小的不间断监控，还必需立即找出它们所在的位置。

　　四、部署检测非法无线访问设备的解决方案

　　要想能够全面地检测到无线局域网覆盖范围内所有位置的非法无线访问设备，我们就必需在企业网络中部署一个有效的检测非法无线访问设备的解决方案。

　　为了能达到最好的检测效果，我们应当使用分层方式来部署一个立体式的检测非法无线访问设备的解决方案。通常将整个解决方案分为三层，并且混合使用多种检测非法无线访问设备的检测方法。

　　在图3所示的这个检测非法无线访问设备的示意图中，无线局域网中的设备可以被一些安全防范设备所监控，这些安全设备包括无线入侵检测防御系统(WIDS/IPS)，它们可以对整个无线局域网中的设备进行每星期24小时连续不断地监控。并且，在无线局域网信号的整个覆盖区域的各个位置都安装有无线信号检测传感器，这些传感器收集的信号将全部返回到WIDS/IPS的中央控制服务器进行监控和分析。

　　对于WIDS/IPS不能检测到的位置，可以通过手持式无线信号分析设备来达到目的，例如使用手持式无线信号分析设备对企业无线局域网周边和各个死角进行移动式检测，以发现可漏掉的非法无线访问设备。所有的这些可以由一台网络管理系统来控制，通过它对WID/IPS中央服务器进行管理、配置等操作，而且WIDS/IPS服务器产生的警报将会直接发送到后台管理员的控制台，并由事件响应人员进行及时的处理。

　　一个非法无线访问设备的检测系统必需能够支持各种无线管理任务，必需能够监控所有的可疑活动，其中包括非法的无线访问设备的接入。还应该能够产生非法访问点的警告信息，产生的警告通常依靠其建立的访问控制列表(ACL)表来决定。这个无线访问控制列表中记录了无线AP的MAC地址，可配置的名称，最近使用的IP地址。另外，ACL还能够将检测到的无线设备按规定进行区别。

　　主要的区别有以下3种方式：

　　已知和通过认证的无线访问设备：这些处于无线局域网当中的无线访问设备是经过企业授权使用的。

　　已知和未通过认证的无线访问设备：这些无线访问点可能处于企业内部，或接近企业无线局域网，已经被我们所了解，但是没有通过认证的无线访问设备，它们并不属于企业无线局域网的一部分。

　　未知和未通过认证的无线访问设备：这是指这些无线访问设备第一次被检测到，不存在于WIDS/IPS的ACL库之内，也没有通过企业认证，是一些需要特别注意的无线访问设备。

　　对于这些未知的未通过认证的无线访问设备，一些WIDS/IPS设备在检测到它们以后就会立即产生警报，提示管理员立即处理这些威胁。

　　有时，我们不想对邻近企业的无线访问设备都产生警报，这样会增加我们的工作量，也容易产生误报。但是，我们也需要了解这些无线访问设备是否曾经访问过我们的网络。我们可以这样设置WIDS/IPS，让它对已知的邻近AP不产生报警，但是当发现其试图连入企业无线局域网时必需及时发出警报。

　　实际上，ACL是使用一套规则表达式来达到检测和发出警报的目的。在ACL表中会规定一些安全规则，我们可以通过下面的策略来编制我们的无线ACL策略：

　　1、 制定事件严重程度的等级，当出现严重事件时，普通级别的事件将延时处理。

　　2、 以商业风险为基础为不同的无线访问设备建立不同的规则。例如，可以忽略使用Guest ESSID的未知设备，但是对Private SSID设备要检测。

　　3、 以警报事件出现的频率来建立阻挡规则，例如，当发现现一个警报出现的频率次数达到某个阀值时，就必需自动产生阻挡行为。

　　4、 自动将高风险的警报转发到更高级别的位置，以便能够及时处理这些高危风险。

　　5、 能够自动阻止恶意无线访问设备，让其失去作用，以此来阻止其产生下一步的恶意行为。

　　五、 定位和清除非法无线访问设备

　　一旦发现了非法无线访问设备，就应该立即找出它可能存在的位置，然后决定采取什么样的处理方式来清除它可能带来的安全风险。

　　如果没有工具软件来帮忙，那么要定位一个非法无线访问点是很困难和耗费时间的。非法无线访问点的位置往往是不固定的，它有可能随时都变换位置。如果我们不能立即定位非法设备的位置，那么，我们就有可能永远不知道它们所在的具体位置，以及是否接入了。因此，我们必需使用一些具有定位功能的WIDS/IPS软件来帮助我们完成这个任务。

　　一个简单但很粗糙的方法就是利用信号强度来估计非法无线访问点与最近无线AP的距离。如果检测到的信号很强，那么两者距离应该很近，可能就在同一楼层或楼上楼下等位置。但是，由于非法无线访问设备可能在其它位置连入后再接入企业无线局域网的，因此不会很准确。

　　一个更加复杂和准确的定位非法无线访问点的方法是利用多个传感器来进行多角度定位。例如利用三个传感器来定位。一个传感器找到非法无线访问设备，第二个传感器检测到这个非法无线访问点时就会与第一个产生交集，然后第三个同样如此。这三者的交集位置就是非法传感器所在位置。检测到同一非法无线访问点的传感器越多，非法无线访问点所在的位置范围就越小，这样就很容易再通过手工或现场方式找到非法无线访问点。

　　另外，利用流量分析也能够找出非法无线访问点所在的位置。这要根据分析和反向跟踪发关给非法无线访问点的数据包，以此来定位它在网络中的位置。还可以使用网络监控工具来监控所有的网络活动和通信情况，以便能找到非法无线访问点发出的数据包。

　　当确定非法无线访问点的位置后，我们还必需进一步地采取措施，以清除它所带来的风险：

　　1、如果发现的非法无线访问点为邻居的无线AP，那么就应该在软件的ACL表中添加新的规则，以免它再发生警报，然后将邻居无线AP的信息记录到一个表中，还要将它的位置在平面图中标出。

　　2、如果发现的非法无线访问点为非法授权无线设备，那么就必需为它指定相应的访问权限，或者增加它的安装性再允许它接入网络。如果需要禁止它连入企业无线局域网，就需要在防火墙中添加相应的规则来阻止它的访问，也可以通过禁用局域网交换机中与非法无线访问点相连接的端口的方式，将它与局域网中的其它资源隔离开来。

　　3、如果检测到的是一个恶意的无线访问设备，就必需立即阻止它继续接入企业无线局域网。这可以按上述第2种方式所用的方法来处理，还可以通过堵塞非法无线访问设备的发射频率所在通道(通过产生干扰非法无线访问设备所在通道的噪音频率的方式来进行)的方式来阻止。但是，这种方法要尽量少使用，这是因为如果在非法无线访问设备的周围还存在使用同一通道的无线AP设备，同样也会被这种方式所干扰。

　　对于恶意无线访问设备，还必需认真审查企业无线局域网中所有与它通信过的通信数据，以确定攻击者是否得到了企业无线局域网中的机密数据。为了能够了解攻击者的真实身份，一些企业甚至会创建无线“蜜罐”来诱捕攻击者。如果我们打算对攻击者继续追究其刑事或民事法律责任，我们还必需像法医一样对无线入侵活动进行有效的现场取证来作为法律诉讼的证据。

　　最后，在完成上述这些工作后，还必需对整个无线局域网进行弱点检测以发现其可能存在的漏洞和弱点，并将发现的弱点和漏洞全部修复。如果漏洞是最新出现的，还没有相应的修复方法，就必需通过人工监控或其它安全措施来暂时应对，等到出现相应解决方法时就必需立即实施修补。

　　总之，对于非法无线访问设备，我们必需按照本文所述的方法，通过使用相应的无线检测工具来自动审计、跟踪和记录它们可能进行的所有非法行为。并且，通过对无线检测工具产生的日志文件进行实时分析，来了解目前无线局域网中可能存在的非法无线访问设备，以及它们已经进行了的非法行为。与此同时，还需要对被检测到的非法无线访问设备进行及时的处理，以便能尽量减少它们可能给企业带来的安全风险。