關(guān)于WLAN測(cè)試驗(yàn)證網(wǎng)絡(luò)的連接性

　　由于802.11n技術(shù)所實(shí)現(xiàn)的速度和可靠性，許多公司正開(kāi)始使用帶寬更大的無(wú)線LAN來(lái)支持新的移動(dòng)服務(wù)。但是這個(gè)變化需要進(jìn)行更復(fù)雜和更可靠的WLAN測(cè)試，以驗(yàn)證網(wǎng)絡(luò)的安全性、連接性和性能。

　　公司可以不再需要使用耗費(fèi)人力的工具來(lái)檢查信號(hào)強(qiáng)度、服務(wù)器可訪問(wèn)性和Wi-Fi漏洞。測(cè)試在地理位置上分散的整個(gè)企業(yè)網(wǎng)絡(luò)的成百上千的接入端(AP)和無(wú)數(shù)的客戶端需要使用更高效的自動(dòng)化工具和方法。

　　在許多早期的Wi-Fi部署中，安全性意味著檢查整個(gè)建筑物或園區(qū)，監(jiān)聽(tīng)陌生信號(hào)，以便發(fā)現(xiàn)未授權(quán)的惡意AP。這不僅極為低效，而且經(jīng)常會(huì)“阻礙”許多識(shí)別錯(cuò)誤的AP，也會(huì)忽視其他的一些威脅，如配置錯(cuò)誤和操作不當(dāng)?shù)目蛻舳恕?/p>

　　使用具有無(wú)線入侵防御系統(tǒng)的AP進(jìn)行全天監(jiān)控

　　隨著Wi-Fi越來(lái)越流行，許多AP經(jīng)過(guò)更新后能夠監(jiān)聽(tīng)頻道內(nèi)或頻道外的流氓信號(hào)。另外專門的Wireless Intrusion Prevention Systems (WIPS)，也可用于全天監(jiān)控?zé)o線攻擊或違規(guī)行為，以及響應(yīng)臨時(shí)阻擋和發(fā)現(xiàn)嫌疑的流氓信號(hào)。

　　然而，這兩個(gè)方法已經(jīng)開(kāi)始融合到一起。許多企業(yè)AP現(xiàn)在能夠在需要時(shí)變成專職WIPS探測(cè)器，而且有幾個(gè)AP供應(yīng)商也提供了專用的WIPS設(shè)備�，F(xiàn)在爭(zhēng)論的重點(diǎn)越來(lái)越不在于掃描的頻率，24/7是依賴無(wú)線的企業(yè)必須要求實(shí)現(xiàn)的。相反，合理的安全任務(wù)和符合規(guī)范要求則占據(jù)了核心地位。

　　集中的WLAN評(píng)估工具保證了規(guī)范性

　　為了符合像PCI DSS或Federal Information Security Management Act (FISMA)這樣的規(guī)范，組織必須證明安全控制的有效性，并記錄嫌疑違反規(guī)范的情況�，F(xiàn)在，許多商業(yè)WIPS和一些WLAN管理器能夠根據(jù)流行的行業(yè)規(guī)范產(chǎn)生封閉的規(guī)范報(bào)告，但是仍然需要持續(xù)地評(píng)估這些安全性控制和政策。

　　許多公司都雇傭第三方審計(jì)人員到現(xiàn)場(chǎng)執(zhí)行評(píng)估;例如，要在一個(gè)商店中驗(yàn)證PCI DSS規(guī)范。然而，在進(jìn)行這個(gè)審計(jì)之前，我們最好先測(cè)試一些有問(wèn)題的地方，然后在它們暴露之前修復(fù) 這些問(wèn)題。理想情況下，這些自我評(píng)估應(yīng)該定期進(jìn)行，而且不會(huì)消耗太多的員工時(shí)間，不需要太多的現(xiàn)場(chǎng)調(diào)查費(fèi)用。

　　這正是集中評(píng)估工具發(fā)揮作用的地方。例如，AirTight Networks使用基于云的WIPS與上述探測(cè)器通信來(lái)實(shí)現(xiàn)每季度的PCI掃描和修復(fù)服務(wù)。這些探測(cè)器會(huì)監(jiān)聽(tīng)鄰近的流量，并探測(cè)Cardholder Data Environments (CDEs)的無(wú)線漏洞，從而產(chǎn)生PCI DSS 1.2規(guī)范所要求的月掃描報(bào)告(至少)。

　　對(duì)于那些已經(jīng)部署了WIPS的公司而言，像Motorola AirDefense提供的無(wú)線漏洞評(píng)估模塊等插件能夠?qū)⒉渴鸬奶綔y(cè)器變成遠(yuǎn)程測(cè)試引擎，它們能夠周期性地連接AP，探測(cè)暴露的端口和URL，并生成記錄結(jié)果的報(bào)告。

　　自動(dòng)的遠(yuǎn)程安全性掃描，不管是由本身的WIPS執(zhí)行，或者是云服務(wù)實(shí)現(xiàn)，都能夠?qū)崿F(xiàn)廉價(jià)的常規(guī)自我評(píng)估。然而，它們并不能替代不定期的人工現(xiàn)場(chǎng)滲透測(cè)試。

　　非自動(dòng)化WLAN測(cè)試——滲透測(cè)試

　　查找可能淹沒(méi)客戶端、AP和WLAN管理器的盲點(diǎn)、錯(cuò)誤和新攻擊是WLAN測(cè)試的重要組成部分。然而，這種無(wú)線測(cè)試還沒(méi)有實(shí)現(xiàn)完全的自動(dòng)化。

　　例如，MDK3是一個(gè)命令行工具，它可用于猜測(cè)隱藏的SSID和MAC ACL，尋找客戶端的認(rèn)證漏洞，并發(fā)送802.11 Beacon、Deauth和TKIP MIC DoS攻擊。審計(jì)人員可以使用MDK3方便地在不同的位置發(fā)起這些滲透測(cè)試，如辦公室內(nèi)部和外部。然而，諸如MDK3等工具絕不應(yīng)該在工作時(shí)間內(nèi)對(duì)生產(chǎn)環(huán)境WLAN執(zhí)行測(cè)試，因?yàn)樯�產(chǎn)使用需要人工指引和結(jié)果解釋。

　　集中的滲透測(cè)試工具經(jīng)�？捎糜诎l(fā)現(xiàn)影響WLAN安全性的較上層的系統(tǒng)漏洞。例如，Metasploit腳本能夠嘗試許多不同的有線和無(wú)線LAN應(yīng)用程序。如果要對(duì)一個(gè)大型網(wǎng)絡(luò)執(zhí)行更高效的Metasploit測(cè)試，我們可以考慮Rapid7的Metasploit Pro，它可以從一個(gè)中央控制臺(tái)執(zhí)行多層次的遠(yuǎn)程滲透測(cè)試。

【W(wǎng)LAN測(cè)試驗(yàn)證網(wǎng)絡(luò)的連接性】相關(guān)文章：

平板電腦怎么連接網(wǎng)絡(luò)01-18

XP系統(tǒng)無(wú)法連接到網(wǎng)絡(luò)11-26

網(wǎng)絡(luò)連接錯(cuò)誤678怎么解決11-01

網(wǎng)絡(luò)頻繁的斷開(kāi)連接的原因及解決方案09-28

網(wǎng)絡(luò)連接頻繁斷開(kāi)的解決方法12-07

無(wú)線網(wǎng)絡(luò)連接方法10-10

網(wǎng)絡(luò)連接出現(xiàn)null錯(cuò)誤怎么解決09-14

網(wǎng)絡(luò)連接不正常的8個(gè)原因09-17

無(wú)線網(wǎng)絡(luò)取消自動(dòng)連接操作步驟10-10

無(wú)線路由器可連接網(wǎng)絡(luò)的距離是多少09-23