透過WLAN測試驗證網路的連線性

souphp3l3發表於2016-07-13

  由於802.11n技術所實現的速度和可靠性,許多公司正開始使用頻寬更大的無線LAN來支援新的移動服務。但是這個變化需要進行更復雜和更可靠的WLAN測試,以驗證網路的安全性、連線性和效能。

公司可以不再需要使用耗費人力的工具來檢查訊號強度、伺服器可訪問性和Wi-Fi漏洞。測試在地理位置上分散的整個企業網路的成百上千的接入端(AP)和無數的客戶端需要使用更高效的自動化工具和方法。

在許多早期的Wi-Fi部署中,安全性意味著檢查整個建築物或園區,監聽陌生訊號,以便發現未授權的惡意AP。這不僅極為低效,而且經常會“阻礙”許多識別錯誤的AP,也會忽視其他的一些威脅,如配置錯誤和操作不當的客戶端。

使用具有無線入侵防禦系統的AP進行全天監控

隨著Wi-Fi越來越流行,許多AP經過更新後能夠監聽頻道內或頻道外的流氓訊號。另外專門的Wireless Intrusion Prevention Systems (WIPS),也可用於全天監控無線攻擊或違規行為,以及響應臨時阻擋和發現嫌疑的流氓訊號。

然而,這兩個方法已經開始融合到一起。許多企業AP現在能夠在需要時變成專職WIPS探測器,而且有幾個AP供應商也提供了專用的WIPS裝置。現在爭論的重點越來越不在於掃描的頻率,24/7是依賴無線的企業必須要求實現的。相反,合理的安全任務和符合規範要求則佔據了核心地位。

集中的WLAN評估工具保證了規範性

為了符合像PCI DSS或Federal Information Security Management Act (FISMA)這樣的規範,組織必須證明安全控制的有效性,並記錄嫌疑違反規範的情況。現在,許多商業WIPS和一些WLAN管理器能夠根據流行的行業規範產生封閉的規範報告,但是仍然需要持續地評估這些安全性控制和政策。

許多公司都僱傭第三方審計人員到現場執行評估;例如,要在一個商店中驗證PCI DSS規範。然而,在進行這個審計之前,我們最好先測試一些有問題的地方,然後在它們暴露之前修復 這些問題。理想情況下,這些自我評估應該定期進行,而且不會消耗太多的員工時間,不需要太多的現場調查費用。

這正是集中評估工具發揮作用的地方。例如,AirTight Networks使用基於雲的WIPS與上述探測器通訊來實現每季度的PCI掃描和修復服務。這些探測器會監聽鄰近的流量,並探測Cardholder Data Environments (CDEs)的無線漏洞,從而產生PCI DSS 1.2規範所要求的月掃描報告(至少)。

對於那些已經部署了WIPS的公司而言,像Motorola AirDefense提供的無線漏洞評估模組等外掛能夠將部署的探測器變成遠端測試引擎,它們能夠週期性地連線AP,探測暴露的埠和URL,並生成記錄結果的報告。

自動的遠端安全性掃描,不管是由本身的WIPS執行,或者是雲服務實現,都能夠實現廉價的常規自我評估。然而,它們並不能替代不定期的人工現場滲透測試。

非自動化WLAN測試——滲透測試

查詢可能淹沒客戶端、AP和WLAN管理器的盲點、錯誤和新攻擊是WLAN測試的重要組成部分。然而,這種無線測試還沒有實現完全的自動化。

例如,MDK3是一個命令列工具,它可用於猜測隱藏的SSID和MAC ACL,尋找客戶端的認證漏洞,併傳送802.11 Beacon、Deauth和TKIP MIC DoS攻擊。審計人員可以使用MDK3方便地在不同的位置發起這些滲透測試,如辦公室內部和外部。然而,諸如MDK3等工具絕不應該在工作時間內對生產環境WLAN執行測試,因為生產使用需要人工指引和結果解釋。

集中的滲透測試工具經常可用於發現影響WLAN安全性的較上層的系統漏洞。例如,Metasploit指令碼能夠嘗試許多不同的有線和無線LAN應用程式。如果要對一個大型網路執行更高效的Metasploit測試,我們可以考慮Rapid7的Metasploit Pro,它可以從一箇中央控制檯執行多層次的遠端滲透測試。

相關文章