強化無線網路用戶端安全的三個方向

談到無線網路的安全問題，人們注意更多的是資料加密、鑑別使用者身份、限制存取以及檢測欺騙性Access Point。然而，隨著網路防禦的改進，駭客不斷發展出更新的攻擊手法，特別是針對無線用戶端，如PDA設備、筆記型電腦、手持裝置等，因為這些設備很少或根本沒有採取安全防護措施。在本文中，我們將討論常駐主機的WIPS（無線入侵防禦系統）代理如何幫助您保護無線用戶端設備，以確保無線網路的安全。

打破最脆弱的環節

很多網路使用者也許會有意或無意地參與一些影響無線網路安全的活動。無線網路通常由不同的、不相關的部分或個體節點組成，具有混雜性。在這種屬性無線網路的環境中，一個設備自動化地偵測相鄰的設備並在無使用者干預的情況下與之連接，這進一步增加了其風險性。其結果是，很多無線節點會將系統和資料暴露給那些未知的、不可信任的“外人”。

根據《Network Chemistry's Wireless Threat Index》每季對真實的Wi-Fi活動分析，大多數的用戶端都曾連接過不明的Access Point。特別是當過度友善的Windows XP自動連接到“任何可用的網路”時，這種情況可能會偶然發生。當然，如果使用者與相鄰的企業網路連接以繞過公司的阻止非企業應用（如P2P文件共用或GMail）的規則時，使用者也可能故意這樣做。

大約有63%的用戶端曾加入一些“特別的”連接——直接連接到Wi-Fi端點。例如，一些使用者彼此關聯共用Internet存取，在毫無察覺的情況下將其網路的文件夾和文件暴露出來。更糟的是，大多數使用者並沒有體認到這會造成一些“特別的”與任何網路入口的連接,這個入口以前用於連接到一個Access Point。一位研究人員曾用普通的SSID（如“linksys”）來引誘飛機場的乘客連接到他的“特別”站，他能夠透過普通的Windows服務端口來攻擊大約20%的用戶端─全都是因為這些使用者忘記禁用他們的不安全的無線網卡。

許多用戶端還由於違反公司的規則以及犯了其他的錯誤而將其自身置於風險之中。《Wireless Threat Index》指出，四分之一的使用者在沒有個人防火牆的情況下存取WLAN，1/3的使用者在沒有防病毒軟體的情況下存取WLAN。對於那些需要使用無線VPN的用戶端，其中有2/3與公司的規則相違背。其他的大量使用者與一些假冒的Access Point相連接，這些Access Point假冒一個真實的存取熱點的名字。一旦一個用戶端被引誘連接到一個假冒的Access Point，傳統的“中間人”攻擊工具就會被執行以請求信用卡的號碼、登錄名和密碼等，有時甚至竊聽SSL或SSH資料。

掌握無線網路安全的控管權

大多數管理員都知道，依靠使用者保護自己是一個失敗的方法。最起碼小型企業應該定義Step by Step的操作指南，這些方法是為了手動設置來保障無線連接的安全。大型企業可以使用安裝套件、網域的登錄Script或者AD Policy來佈署Wi-Fi的安全設定。不管怎麼說，在連接到可信任的SSID以及阻止連接到其他的AP或“特別的”節點時，應設置Wi-Fi連接來要求相關的安全措施。例如，你可能會要求連到公司SSID的連結，需透過伺服器認證的檢查，並使用企業級的WPA2，同時允許與一個活動的防火牆和VPN用戶端一起，以開放模式連接到職員的家用WLAN。

這是一個好的開始，但仍十分不足。大多數使用者低估了風險並停用那些他們感到不便的措施。即使使用者作了真正的努力去保障安全，仍可能會犯錯。缺乏集中稽核和控管能力，和內部規則或外部規則的一致性就不可能得到保障。在企業內部，這可以透過部署一個無線入侵防禦系統（WIPS）來完成。一個WIPS使用存取節點或遍佈WLAN各處的檢查器來監視資料傳輸。監測結果會彙整給中央的WIPS伺服器，可用以分析Wi-Fi傳輸，搜尋可能的攻擊、問題和策略衝突。無論何時，只要檢測到潛在的威脅——例如，職員連接到鄰近的AP（Access Point）——WIPS就可以採取措施自動地中斷這個連接。

這類企業內部控管的需求，可以考慮採用的一些解決方案——執行在Wi-Fi用戶端設備上的WIPS程式。一個主機上的WIPS，如Network Chemistry RFprotect Endpoint, AirTight SpectraGuard SAFE, AirMagnet StreetWISE, or AirDefense Personal可以監控家中的Wi-Fi用戶端，也有可能是公眾的熱點區域、飛機場甚至是飛機上的用戶端。

密切留意用戶端

主機WIPS產品類型種類較多，但所有的產品都設計來監控主機自身的無線活動並比對已定義的規則。例如，AirMagnet StreetWISE規則定義了允許哪些無線連接類型：僅Wi-Fi，Wi-Fi和乙太網一起，特別的Wi-Fi，藍牙和/或紅外線等。對於Wi-Fi連接來說，此程式建立了最低的安全層級（WEP-64, WEP-128, WPA）和可信任的SSID，這些SSID透過Wi-Fi連接工具展現出來。

如果一個連接試圖違反這些規則，就會顯示出錯誤提示來警告使用者。這些基本的措施提高了使用者的基本安全，並會阻止使用者進行配置或接受可能會引起風險的新連線。

除了優先與知名熱點和黑名單中的SSID比對外，AirDefense Personal還可針對用戶端連接進行監控。例如，它可以發現從一個AP到另一個AP的轉移、信號強度的主要變化、AP欺騙和軟體AP等─所有可能的“中間人”攻擊。當超過某個事先定義嚴重程度的事件發生時，程式就會顯示一個警告並且予以記錄，同時停用這個具有風險的連線。

有好幾種主機WIPS程式可將詳細記載的用戶端活動和安全警告的日誌提供給一個中央伺服器。舉個例子來說，Network Chemistry RFprotect Endpoint為管理員提供了一個面板，使用者透過這個面板可以一覽WIPS代理的狀態、已使用的無線連接的種類、一些違反規則的意圖(例如，一些無VPN保護的連接企圖)

這種視圖可以用於風險的評估和趨勢分析,幫助管理員瞭解職員到底是如何使用Wi-Fi的，並且建立一個用於決定是否應對Wi-Fi的設置或WIPS規則進行修正的基礎。

實際上，大多數使用者面臨的最大挑戰之一就是決定何時及如何改變Wi-Fi配置。在職員將其筆記型電腦帶回家後，他自然會將其連接到家中網路。在一個旅客從旅館走到飛機場時，她可能會連接到幾個不同的網路。理想情況下，這些規則可被定義和鎖定，將使用者暫時移除。不過在很多情況下，要預先確認所有被許可的SSID是不太可能的。

例如，AirTight SpectraGuard SAFE提供了另一個選項：它會幫助使用者做出更明智的決定。SAFE使用三個設定文件來確認最低的安全設置、可信任的SSID和適合使用的AP MAC位址，無論在家裏還是在別的地方都是如此。一個使用者可能絕對不會改變管理員定義的“工作”配置設定，但仍會被允許建立他自己的“家用”配置設定。

根據Wi-Fi用戶端的當前環境、員工數目及需要和風險容忍程度，這個方法可以讓公司決定是否阻止未知AP的連接或允許使用者選擇最好的做法。

結論

以上僅為主機WIPS可用於強化Wi-Fi用戶端防禦的幾個方法而已。這些程式正在不斷改進之中；檢測、執行和管理效能在這些產品之間有很大的差異，雖然我們在此文中僅列出了幾個。請考慮一下你想要增強的規則、你需要支援的用戶端作業系統以及它們與你的WIPS的一致性吧。個人和小型企業可以使用獨立的主機WIPS程式。大型企業可能會傾向使用完整的主機WIPS代理，這種代理可以與用於規則配置、軟體安裝、事件記錄和威脅報告的中央伺服器連接。

(為更適合繁體讀者閱讀，本文經資安之眼編輯與潤稿)