由於802.11n技術所實現的速度和可靠性,許多公司正開始使用帶寬更大的無線LAN來支持新的移動服務。但是這個變化需要進行更復雜和更可靠的WLAN測試,以驗證網絡的安全性、連接性和性能。
公司可以不再需要使用耗費人力的工具來檢查信號強度、服務器可訪問性和Wi-Fi漏洞。測試在地理位置上分散的整個企業網絡的成百上千的接入端(AP)和無數的客戶端需要使用更高效的自動化工具和方法。
在許多早期的Wi-Fi部署中,安全性意味著檢查整個建築物或園區,監聽陌生信號,以便發現未授權的惡意AP。這不僅極為低效,而且經常會“阻礙”許多識別錯誤的AP,也會忽視其他的一些威脅,如配置錯誤和操作不當的客戶端。
使用具有無線入侵防御系統的AP進行全天監控
隨著Wi-Fi越來越流行,許多AP經過更新後能夠監聽頻道內或頻道外的流氓信號。另外專門的Wireless Intrusion Prevention Systems (WIPS),也可用於全天監控無線攻擊或違規行為,以及響應臨時阻擋和發現嫌疑的流氓信號。
然而,這兩個方法已經開始融合到一起。許多企業AP現在能夠在需要時變成專職WIPS探測器,而且有幾個AP供應商也提供了專用的WIPS設備。現在爭論的重點越來越不在於掃描的頻率,24/7是依賴無線的企業必須要求實現的。相反,合理的安全任務和符合規范要求則占據了核心地位。
集中的WLAN評估工具保證了規范性
為了符合像PCI DSS或Federal Information Security Management Act (FISMA)這樣的規范,組織必須證明安全控制的有效性,並記錄嫌疑違反規范的情況。現在,許多商業WIPS和一些WLAN管理器能夠根據流行的行業規范產生封閉的規范報告,但是仍然需要持續地評估這些安全性控制和政策。
許多公司都雇傭第三方審計人員到現場執行評估;例如,要在一個商店中驗證PCI DSS規范。然而,在進行這個審計之前,我們最好先測試一些有問題的地方,然後在它們暴露之前修復 這些問題。理想情況下,這些自我評估應該定期進行,而且不會消耗太多的員工時間,不需要太多的現場調查費用。
這正是集中評估工具發揮作用的地方。例如,AirTight Networks使用基於雲的WIPS與上述探測器通信來實現每季度的PCI掃描和修復服務。這些探測器會監聽鄰近的流量,並探測Cardholder Data Environments (CDEs)的無線漏洞,從而產生PCI DSS 1.2規范所要求的月掃描報告(至少)。
對於那些已經部署了WIPS的公司而言,像Motorola AirDefense提供的無線漏洞評估模塊等插件能夠將部署的探測器變成遠程測試引擎,它們能夠周期性地連接AP,探測暴露的端口和URL,並生成記錄結果的報告。
自動的遠程安全性掃描,不管是由本身的WIPS執行,或者是雲服務實現,都能夠實現廉價的常規自我評估。然而,它們並不能替代不定期的人工現場滲透測試。
非自動化WLAN測試——滲透測試
查找可能淹沒客戶端、AP和WLAN管理器的盲點、錯誤和新攻擊是WLAN測試的重要組成部分。然而,這種無線測試還沒有實現完全的自動化。
例如,MDK3是一個命令行工具,它可用於猜測隱藏的SSID和MAC ACL,尋找客戶端的認證漏洞,並發送802.11 Beacon、Deauth和TKIP MIC DoS攻擊。審計人員可以使用MDK3方便地在不同的位置發起這些滲透測試,如辦公室內部和外部。然而,諸如MDK3等工具絕不應該在工作時間內對生產環境WLAN執行測試,因為生產使用需要人工指引和結果解釋。
集中的滲透測試工具經常可用於發現影響WLAN安全性的較上層的系統漏洞。例如,Metasploit腳本能夠嘗試許多不同的有線和無線LAN應用程序。如果要對一個大型網絡執行更高效的Metasploit測試,我們可以考慮Rapid7的Metasploit Pro,它可以從一個中央控制台執行多層次的遠程滲透測試。