无线网络在企业无线网络安全中的应用

在这篇文章中，我们列出了数据链路层的企业无线局域网可以滥用这些措施包括：代替WEP安全mdash；mdash；使用无线安全标准；入侵检测和异常跟踪无线局域网，无线网络的安全性可以（也应该）更高安全等多种模式或基于SSL安全协议IPSec。
使用无线安全标准
2004、IEEE的I研究组开发的一个统一的无线安全标准，其中一些已经实施的许多无线设备和软件提供商减轻已知的802.11个安全问题。原名802.11i标准，这个标准是目前广泛使用的WPA2，它代表了Wi-Fi保护访问版本2.wap2取代水渍险和水渍险是一个古老的，现有的无线infrastructure.wpa向后兼容WEP标准不安全的混合加密RC4，较wpa2.wap2使用AES加密是最好的解决方案为无线网络目前和预计将继续在可预见的未来是这样的。大多数无线接入点特点：支持支持WPA2被称为Wi-Fi保护设置（WPS）。其中之一是一个安全漏洞，允许攻击者获得WPA2密码，使他或她擅自连接到网络，这个功能应该关闭，尽量避免攻击。
无线入侵检测与防御的有效部署
尽管如前所述，对于无线网络的入侵检测必须包括数据链路层。在这里，我们简要介绍了无线入侵检测系统（IDS）的问题。许多应用要求是无线入侵检测系统，但只有当这些地址是不允许被允许通过ACL，局域网中的新的Mac地址检测。这样的功能也可以在一些接入点的固件实现。当然，任何人都可以绕过基于MAC的ACL也能够绕过基于MAC的IDS一个真正的无线入侵检测系统是一个专业的802.11（或802.15）协议分析仪提供了一个攻击特征库和知识库推理引擎，和一个合适的报告报警接口：搜索WLAN中的一些可疑事件包括：
检测请求（显示某人正在使用活动扫描）
信标来自未经邀请的接入点或特定的无线客户机。
洪泛分离/取消认证帧（中间攻击）
相关的未经身份验证的主机（想共享密钥）
u2022频繁帧重组自由漫游网络，频繁的数据包转发（坏，隐藏节点，链接，或可能的DoS攻击）。
。在一个封闭的网络错误多SSID（SSID蛮力）
SSID等可疑；AirJack（或纯老31337）
主动帧与复制MAC地址
随机变化的MAC地址（使用wellenreiter或fakeap攻击者）
（五）在其他802.11个频道或在同一信道上传输不同的SSID帧信道传输（配置和主机可能不请自来，干扰，DOS）。
主机不使用加密解决方案的实现（它不应该存在于此）
多的EAP认证请求和响应（暴力抢夺eap-leap）
变形和超大的EAP框架和各种EAP帧（802.1x DoS攻击）
802.11帧序列号（中间攻击，局域网MAC欺诈）与既定的周期序列不匹配
ARP欺骗和来自无线局域网的其他攻击
组织面临着控制的人和事物都是通过无线接入点连接到企业网络的挑战，许多企业已经提高了他们的无线服务提供商的接入点和无线控制器产品，包括防火墙、半径、网络访问控制，无线IPS。这种继承提供了更好地控制无线连接的无线基础设施的用户和在那里他们可以控制用户访问企业网络。这是深层保护紧急法，因为有线侧防火墙和IPS不提供对无线攻击的必要保护。大多数的无线攻击发生的第二层和无线媒体之间的传统。有线防火墙无法检测到这些攻击，而有线IP不具备检查这些数据包的能力，这就导致了专业无线IPS产品的出现。
无线IPS与入侵检测
无线IPS使用无线传感器识别无线攻击，这些无线传感器通常使用与接入点相同的Wi-Fi频段，这就是为什么许多公司允许接入点双重使用的原因。它们可用于访问以及用于检测攻击。这些变化根据不同的供应商，有很多混合的方法。最常用的方法是暂停电台和执行恶意接入点和无线领空时的快照没有访问攻击。但这部分时间的无线入侵检测意味着你只能检测到攻击时，收音机的检测模式。接下来，无线攻击不能被检测到。这个问题已经促使一些厂商使用二手的Wi-Fi站在访问接入点，因此这一电台可用于访问和其他全是全职无线IPS。
Wi-Fi协议允许不同频率的分配的信道，因此信道可以分配给每个频率。在拥挤的无线环境下，不同渠道的使用（或频率）允许管理员以减少干扰，这也是一种常见的信道干扰。因此，无线攻击的检测需要定期检查每个通道的攻击。基本上，有两套频率：802.11b和802.11g在2.4-GHz频谱运行；802.11a的5GHz频谱运行；802.11n两谱，2.4 GHz和5 GHz；802.11ac只能在5GHz频谱。
由于无线传感器从一个频道跳到另一种分析，收集无线数据包，它不会收集一些数据包，这些包将被错过，因为传感器可以同时监控一个通道。因此，一些厂商现在允许传感器选择锁定频道只允许一个通道（或频率）进行监测，只有一个信道使用高度敏感的环境中，这个功能可以帮助管理员减少丢包。现实是，由于无线网络的物理介质，总是会有一个包丢失。这是由于许多因素，包括移动无线设备，设备的距离传感器，传感器的天线强度等。
无线入侵检测系统只需要接收的数据包。因此，它的范围是身体比发送和接收到的接入点更广泛。在一个典型的接入点和传感器的部署，经验法则是每三个接入点的无线网络传感器的调查将有助于确定最佳的覆盖范围和位置的传感器。
大多数人部署无线入侵检测系统来检测恶意接入点和三角也是一个好主意。虽然流氓AP可以由一个单一的传感器检测到，其物理位置无法检测。三角测量来确定近似的物理位置的流氓AP。三角至少包含三个传感器，所有这是由三的传感器信息相关的相同的管理系统管理，和流氓的位置AP是基于复杂的算法来确定。通常是在系统管理软件的平面图显示。
蓝牙模块
As Bluetooth is also a wireless technology, and the frequency of work is the same as that of 802.11b and 802.11g, some wireless IPS products have been designed to detect Bluetooth.Why do you want to detect that Bluetooth will occasionally cause interference problems due to running in a frequency range shared with Wi-Fi, but the attack of Bluetooth also appears.The most common and most serious is the Bluetooth hooligan.
蓝牙攻击影响的许多组织中，但最重要的是零售商。攻击者确定了黑了销售点系统和蓝牙无线键盘插入登记。恶意或虚假的员工和技术人员开销售系统或注册和蓝牙无线键盘连接到设备。由于信用卡，他们被广播到相邻的空间在同一时间。如果攻击者是在附近，无论是在商店，在停车场，他或她只使用蓝牙设备可以监测接收信用卡号码。
所有的蓝牙设备在2.4GHz频段工作，使用79通道从一个频道跳到另一个（跳频），达到1600跳/秒。它通常分为三种类型，基于范围的蓝牙设备，设备类型3是我们最熟悉的，通常包括蓝牙耳机等。约1米的限制下，他们不会给攻击者提供良好的服务。因此，攻击者通常使用2和3种类型的设备，它可以很容易地在网上买在价格低于20美元。

一些厂商纷纷调整自己的无线IPS产品检测蓝牙，使管理员能够检测到这些设备的存在，特别是在秘密地点和交易大厅。由于通讯范围的相对强度，位置也要在蓝牙检测考虑的关键因素。如果无线IPS传感器超出范围，它可以只有没有检测到蓝牙设备。
无线网络定位与安全网关
无线网络的增强，最后一点是整个网络拓扑结构的设计对无线网络的位置有关。由于无线网络的特点，无线网络不应直接连接到有线局域网。相反，他们必须被视为不安全的公共网络连接，或作为DMZ中的最轻松安全的方法。插入一个无线接入点直接进入局域网交换机是麻烦（虽然802.1X认证可以缓解这个问题）。一个安全的无线网关代理防火墙功能状态良好，必须单独的无线网络从有线局域网。
最常见的方式现在是有AP可以连接局域网上的任何地方，但创建一个加密的隧道回到控制器，通过它与局域网传输前的流量。控制器将运行防火墙的功能和入侵检测/防御系统（IDS / IPS）之前接触到内部网络检查交通。如果无线网络访问多个接入点和该地区的漫游用户，那么的；有线端接入点必须放在同一个VLAN，从剩余的有线network.high-end专业无线网关分离安装接入点，防火墙，VPN集中器，并用户漫游支持能力的保障。而网关不应该为您的无线网络——忽略；mdash；即使自己在接入点；mdash；保护能力。无线网关、接入点和最安全的问题，从设备管理安全实施的桥梁，包括SNMP、TFTP使用Telnet组字符串默认值和默认密码，并允许远程管理网关和接入点的无线侧。确保每个设备的安全正常审核，和回声与更传统的入侵检测系统，工作在数据链路层，并使用专用无线入侵检测系统。