思科免费将其无线局域网安全套件(包括LEAP)授权给芯片组和无线客户端制造商。但是,因为不是所有的802.11产品都支持LEAP,所以您可能会在混合供应商环境中遇到互操作性问题。如果您确信网络上的所有产品都支持leap—例如,只支持cisco的网络—leap就是一个可行的安全措施。不过,请记住,LEAP确实存在一些问题。当验证连接到无线网络的客户端时,sleap工具利用挑战/响应技术威胁到了LEAP的安全性。该工具使黑客能够对系统运行字典攻击,并发现网络密码。欲知更多详情,请参阅http://asleap.sourceforge.net/.
思科7920 IP电话安全-思科7920无线IP话机具有以下安全特性:
40位和128位WEP
TKIP
水渍险
IEEE 802.1 x
EAP-LEAP
EAP-FAST
可选的密码提示在电源
自动键锁
当实现WEP或WPA时,信令(瘦客户端控制协议[SCCP])和媒体(实时传输协议[RTP])数据在思科7920电话和接入点之间进行加密。
注意:Cisco建议您基于Cisco SAFE架构设计无线局域网的安全性。有关更多信息,请参阅以下文件:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_package.html.
加强保安的贴士
使用有效的加密和身份验证机制对确保无线局域网的安全大有帮助。但是良好的整体安全性是许多因素结合的结果。你设置的障碍越多,黑客就越难通过网络伤害你的公司。在部署VoWLAN系统时,请考虑实现本节给出的技巧。
SSID广播
一些接入点,如Cisco 1200,允许管理员禁用接入点广播SSID。802.11标准规定,接入点在信标帧的主体部分包括SSID,接入点定期广播该帧。禁用SSID广播时,接入点信标帧中不包含SSID。因此,Windows无法获得SSID并将其作为一个可能的无线网络显示给用户。这一特性对企业网络是有益的,可以防止“偶然的窥探者”和战争驱动者发现网络。例如,使用windows笔记本电脑的用户不会看到适用的公司有无线网络。
此外,禁用SSID广播后,每个用户必须手动为其无线客户端设备配置正确的SSID,该SSID与接入点中配置的SSID相匹配,以便与接入点相关联。这就是为什么不能在公共无线热点上禁用SSID广播的原因。公共热点需要用户轻松地找到合适的网络连接。事实上,SSID是热点地区的一种广告形式。例如,T-Mobile使用SSID“T-Mobile”通知用户(通过Windows)其网络是可用的,并将其服务与竞争对手区分开来。在公共网络中禁用SSID广播,将使用户无法发现某一特定服务提供商的无线局域网覆盖可用。
对于企业网络而言,SSID广播的禁用并不是一种强大的安全机制。例如,黑客可以很容易地监视无线局域网上的802.11帧,并等待用户连接到接入点或用户从一个接入点漫游到另一个接入点时,无线客户端发送关联帧。即使在接入点禁用SSID广播,黑客也可以在关联请求帧和一些探测请求中找到SSID。事实上,无线局域网分析器,如AirMagnet、Cain & Able和Ethereal,会查看关联帧内部,并在找到ssid时自动显示它们。
在企业环境中部署VoWLAN系统时,禁用SSID广播是一个好主意,主要是为了防止偶然的窥探者发现网络。这样做可以提供一些额外的保护。但是,请记住,它不是一种完全可靠的安全技术。
系统管理
以下是一些与VoWLAN系统管理相关的安全提示:
选择强的SNMP团体字串- community字符串是一种简单网络管理协议(SNMP)的安全密码,允许管理员(和黑客)配置网络组件,如访问点。大多数SNMP代理都有默认的社区字符串“public”和“private”,黑客在试图闯入网络时将首先尝试这两个字符串。因此,一定要将所有网络组件的社区字符串更改为“强”社区字符串。使用不容易猜测的字符串,长度至少为6个字符,并混合使用字母数字和大写/小写字符。另外,一定要经常更改社区字符串。
如果需要,请将所有SNMP端口设置为“只读”-一些黑客试图通过关闭安全性来改变接入点的配置,然后允许黑客在不需要知道加密密钥或密码的情况下与接入点关联。然后黑客就可以进入公司网络的其余部分,并可能伤害服务器和用户。当SNMP端口设置为只读时,黑客可能能够读取配置信息,但不能更改它。因此,接入点的安全性将保持不变,防止黑客进入公司网络。
使用安全管理协议-例如,SSH2 (Secure Shell Protocol 2)提供了一种非常安全的方式来配置网络组件,如接入点。SSH提供了管理员计算机和网络组件之间的加密隧道。
保持软件和硬件的更新-跟踪手机、接入点和其他网络组件的软件和固件的更新,以确保您拥有最新的、最安全的版本。当发现安全漏洞时,供应商通常会编写补丁来修复这些问题。然后供应商在未来的更新中包含这些补丁。例如,思科注意到它的7920无线IP电话有SNMP服务和固定的社区字符串,这可以允许远程用户(比如黑客)读取、写入和删除电话的配置。思科随后提供免费软件,为受影响的客户解决这些漏洞。因此,请关注最新消息!
访问点安装
在安装网络时,考虑隐藏接入点。安装接入点的一个好位置是在天花板瓷砖上方,称为静压室。在大多数情况下,即使是天线也可以安装在天花板上,而不会显著干扰无线电信号的传播。这样做的目的是确保未经授权的人无法找到接入点,从而造成损坏,或从笔记本电脑连接终端电缆并禁用安全设置。当然,在隐藏访问点时,您必须保持准确的位置记录,以便在以后为支持目的找到它们。
然而,需要记住的是,基于无线交换机的无线局域网可以自动检测到未经授权的人配置的接入点。无线交换机足够智能,可以跟踪接入点的配置,并在接入点的配置与安全策略不匹配时向管理员发出警报。此外,交换机可以阻止通过受影响的接入点访问网络,直到管理员有时间调查和纠正问题。
流氓接入点
当今IT管理人员最关心的安全问题之一是,公司网络上可能存在非法无线接入点。非法接入点是指公司没有授权进行操作的接入点。问题是,非法接入点通常不符合无线局域网的安全策略。这就使得从物理控制设施外部到公司网络的接口是开放的、不安全的,如图所示图5 - 7.
在一个适当安全的无线局域网内,非法接入点比非法用户更具破坏性。如果有有效的身份验证机制,试图访问无线局域网的未授权用户可能无法成功获得宝贵的企业资源。然而,当雇员或黑客插入非法接入点时,就会出现重大问题。“流氓”允许任何拥有802.11设备的人进入公司网络,这使得他们非常接近关键任务资源。
通过流氓接入点开放访问
员工可以相对自由地访问公司的设施,这使得他们有可能无意中(或恶作剧地)安装一个流氓接入点。例如,员工可以在办公用品商店购买一个接入点并安装它,而无需与it组织协调以支持无线打印或从会议室访问网络。此外,从事无线应用程序的开发人员可能会将一个接入点连接到公司网络以进行测试。
在大多数情况下,安装这些类型接入点的员工并不了解所涉及的安全问题。这些场景通常会导致访问点不符合适当的安全实践。结果,公司的网络就为偶然的窥探者或犯罪黑客敞开了大门,他们可以通过窃取公司信息或互联网服务来攻击网络。
为了避免这种情况,在安装接入点之前,实施安全策略,要求遵从有效的安全控制并与IT组织协调。只有清楚地告知员工政策,这种方法才有效。
黑客可以安装一个非法接入点,为公司网络提供一个开放的、不安全的接口。要做到这一点,他必须直接将接入点连接到设施内的活动网络端口,这需要他通过物理安全。然而,这一任务在大多数公司都很容易完成。如果公司有值得利用的资源,黑客就不太可能遇到这种麻烦。但还有许多人愿意尝试这种技术,只是为了通过公司系统获得免费的无线互联网服务。
实际上,没有有效的方法来消除流氓接入点突然出现在你的网络上的可能性。因此,您必须实现流程和机制,以持续监视恶意访问点,作为正在进行的安全性评估的一部分。
检测流氓的一种方法是使用无线嗅探工具,在您使用工具的范围内捕获接入点上的信息。这个方法要求您遍历这些工具来捕获数据。使用这种方法,您可以扫描整个设施,但对于拥有许多建筑物或跨越很大地理区域的大型公司来说,这样做可能非常耗时。无论如何,考虑每周进行这些类型的扫描。
以这种方式捕获数据仅在捕获时有效。有人可能会在你关闭嗅探器后几秒内激活一个流氓,而你却丝毫不知道它的存在。尽管如此,这种方法通常是寻找流氓最常见和最便宜的方法。这需要花费大量的时间和精力。
当使用无线嗅探工具时,请查找具有授权MAC地址、供应商名称或安全配置的接入点。创建局域网中授权接入点的MAC地址列表,并检查您所找到的每个接入点是否都在列表中。如果一个接入点的供应商名称与您的授权接入点不同,则会第一次向您发出可能存在不法分子的警告。不正确的安全设置(即禁用WEP)可能表明是恶意的,但也可能是授权了但配置错误。
如果您发现一个接入点看起来可疑,就把它看作是一个流氓,然后尝试通过归航技术定位它。要做到这一点,沿着导致接入点信标信号强度增加的方向走。最后,您可以将位置缩小到一个特定的房间,这通常需要您进行一些查看。在某些情况下,“流氓”只是一个未连接到公司网络的活动接入点——这不会造成任何安全危害。当你发现一个真正连接到公司网络的网络时,立即将其关闭。
检测非法接入点的理想方法是使用连接到网络有线端进行监视的中央控制台。一些更高级的无线管理工具有这个功能。这个特性消除了在设施中穿行的需要。