《AirDefense无线局域网安全和关键基础设施保护.ppt》由会员分享,可在线阅读,更多相关《AirDefense无线局域网安全和关键基础设施保护.ppt(52页珍藏版)》请在金锄头文库上搜索。
1、1 加固无线网络 Air Defense无线局域网安全和关键基础设施保护 2 服务器 用户 传统有线网络 通过防火墙进行 网络边界控制 互联网 安全的内部网络 3 用户 互联网 上网 无线局域网 不能连接网络 停车场上的 黑客 Users Connecting to Neighboring Networks 非法接入点 网络边缘模糊 穿透防火墙的新 手段层出不穷 无线技术改变了一切 服务器 4 无线传输难以控制 无线传输显著加大了攻击面 来自堪萨斯州劳伦斯市城区一个接入点的信号 5 无处不在的Wi Fi 分清非法无线终端和邻居的能力至关重要 5th Avenue New York Source
2、 Google Earth W 6 无线钓鱼 3 用户连接接入点 2 接入点响应探测请求 笔记本发出探测请求 1 接入点向用户分发IP地址 4 扫描笔记本安全漏洞 然后发 起攻击 5 用户终端被作为攻击入口 6 入侵终端 软 AP 用户终端 企业网络 7 以无线方式窃取秘密 黑客可以通过无线方式窃取密码和证书 窃听明文密码 FTP HTTP POP3 IMAP 盗取证书和密钥 破解Harsh加密 NTLM MDx SHA x OSPF CDP 窃听VoIP会话 Cain Wireshark 8 破解WEP 破解WEP事件的发生频率 2001 不可破解 2003 数年一次 2004 数日一次 2
3、005 几小时一次 2006 几分钟一次 2007 几秒钟一次 数十种攻击 密钥破解 无重放保护 消息完整性不够 共享密钥 RC4实施不力 尽快从WEP升级至WPA2 9 破解WPA 破解WPA事件的发生频率 2006 80个密钥 秒 2007 130个密钥 秒 2007 30 000个密钥 秒 2008 100 000个密钥 秒 新型攻击浮出水面 WPA预共享密钥不是十分安全 采用并行处理 显卡和FPGA加速器 加快PSK破解速度 WPA TKIP受到威胁 小帧解码和任意帧慢速注入 采用带AES加密的WPA2 以及企业模式802 1X鉴权 10 802 11网络安全漏洞汇总 类型攻击工具 侦
4、察 流氓接入点 开放式 错误配置接 入点 对等终端 Netstumbler Kismet Wellenrighter 嗅探 WEP WPA LEAP破解 字典攻击 有漏洞的接入点 AirSnort Wepcrack Cowpatty WinSniffer Cain Ettercap 伪装 MAC欺骗 AirSnarf HotSpot攻 击 双面恶魔 无线钓鱼 攻击 AirSnarf Hotspotter HostAP SMAC 注入 多播 广播注入 路由缓存破坏 中间人攻击 Airpwn WepWedgie ChopChop Vippr irpass CDPsniffer 拒绝服务 解除关联
5、持续时间域欺骗 射频干扰攻击 AirJack void11 Bugtraq IKE crack 11 主要基础设施安全防护标准 NERC标准 CIP 002 关键网络资产识别 CIP 003 安全管理控制 CIP 004 人事和培训 CIP 005 电子安全边界 CIP 006 关键网络资产物理安全 CIP 007 系统安全管理 CIP 008 事件报告和应急预案 CIP 009 关键网络资产恢复计划 12 CIP 005无线网络要求 R3 监控电子接入 负责机构应当制定和实施相关流程 对电子安全边界的接入点的访问情况进行全天 候的监控和记录 R3 2 只要技术上可行 所制定的安全监控流程应当
6、能够查明非法接入 试图和实际接入 并发出报警 这些报警 应当为指定的响应人员发出相应的通知 如果技术上不可行 责任机构应至少每90天对非法接入 试图和实际接入 记录进行评估 R4 网络漏洞评估 责任机构应至少每年对电子安全边界的电子接入点进行网络漏洞评估 R4 3 电子安全边界所有接入点的发现 R5 3 责任机构应至少保留90天的电子接入记录 可报告事件的记录应按照CIP 008的要求加以保留 13 1 2 3 验证任何无线网络和存储持卡人数据的系统之间安装了边界防火墙 而且这些防火墙可 以拒绝或控制 如果对业务是必须的 从无线网络传送至持卡人数据环境的流量 PCI DSS v1 2 无线网络
7、 如果使用无线技术存储 处理和传输持卡人数据 例如 POS 交易数据和 绿色通道 或 者部分持卡人数据环境与无线局域网相连 例如 未使用防火墙明确地隔离 必须采用并执行 针对无线环境的PCI DSS要求和测试程序 例如要求1 2 3 2 1 1和4 1 1 PCI DSS v1 2 无线网络 14 摩托罗拉AirDefense解决方案 总部 WIPS 设备 Sensor 现场办公室 现场办公室 摩托罗拉AirDefense解决方案企业版 创新附加模块 无线网络漏洞 评估 主动评估无线网络 安全情况 频率分析 查明和划分常见射 频干扰类型 包括 微波和蓝牙等 LiveRF 实时分析无线网络 性能
8、 集中分析和 解决连接问题 高级取证 检查详细的无线网 络活动记录 进行 取证分析和故障检 测 高级排障 更快解决无线网络 相关问题 主动解 决问题 移动办公人员 保护 端点安全性 保护 移动工作人员 不 论他们身在何处 流氓接入点检测和禁闭 入侵检测 自动阻断 出具审计报告 无线网络故障检测 取证分析 位置跟踪 企业级可扩展性 15 无线接入点和传感器合二为一 设置摩托罗拉双模接入点 将其 中一个频段专门用于WIPS检测 频段未锁定 接入点和传感器可以 同时采用同一频段 2 4或5 GHz 降低部署成本 不需要另外配备 传感器 接入点不需要专门留出时间进行检测 从而改善了数据业务性能和服务质
9、 量 接入点和传感器结合可改善统计信息收 集 例如用于位置跟踪的RSSI 业界第一种未锁定频段的全时接入点 全天候专 用传感器解决方案 16 阻断非法设备 自动区分邻居和非法设备 查明连接到网络上的各类非法设备 连接和业务历史记录 自动阻断 远程办公室邻居检测 分析 阻断 专用传感器 未加密流氓 AP 加密流氓 AP 防火墙背后 的流氓AP 软AP Rogue Devices Can be Anywhere on the Network and can be Encrypted 负责机构应当制定和实施相关流程 对电子安全边界的接入点的访问情况进行全天候的监 控和记录 CIP 005 第R3部分
10、 17 综合性入侵检测 Sensors 协议滥用反常行为 签名分析策略管理 关联引擎情景感知检测引擎 可查明200多种威胁 侦察和探测 拒绝服务攻击 身份盗窃 恶意关联 字典攻击 违反安全策略 误判数量最小化 多个检测引擎关联减少误判数量 最准确的攻击检测 检测 AIRDEFENSE服务器应用 发现分析 实施虚拟局域网 VLAN 专用VLAN 入侵防范 入侵检测 智能交换机 安全拨号 接入 等等 NERC 指导方针 18 自动化无线网络防护 无线连接中断 针对性地断开无线连接 对正常网络业务没有影响 符合相关法律和FCC规定 固网端口抑制 搜索固网查找非法终端连接的交换机端口 仅仅断开非法终端
11、的连接 无线ACL 防止无线终端连接WLAN 传感器 WIPS设备 交换机 笔记本 邻居AP 接入 点 Wireless Station AP 中断 意外关联 端口抑制 非法AP ACL执行 流氓 终端 采用相关技术发现各类无线网络上的非法无线接入点和终端 NERC 指导方针 19 远程接入点测试 安全服务器 WAN DHCP服 务器 应用服务器 数据中心远端 自动漏洞评估 将传感器转化为终端 对一个或多个接入点进行主动测试 人工或自动定期测试 生成详细测试报告 第二层无线网络鉴权和关联测试 第三层DHCP Ping DNS Traceroute测试和端口扫描 责任机构应至少每年对电子安全边界
12、的电子接入点进行网络漏洞评估 CIP 005 第R4部分 20 取证分析 丰富的取证数据 可从系统中调用几个月的历史数据 每分钟每个终端325多条统计信息 终端连接和活动记录 宝贵的业务信息 用于取证分析和达标声明的准确记录 判定攻击的确切时间和影响 无线网络性能和连接问题记录 取证汇总 关联分析 历史位置跟踪 责任机构应至少将电子接入记录保持90天时间 CIP 005 第R5 3部分 21 审计报表 审计报表 监控 执行 界定 具体的无线网络安全 政策 可定制报表 只要技术上可行 所制定的安全监控流程应当能够查明非法接入 试图和实际接入 并发出报警 这 些报警应当为指定的响应人员发出相应的通
13、知 CIP 005 第R3 2部分 22 摩托罗拉AirDefense无线网络安全漏洞评估模块 模块描述 一种创新无线网络安全漏洞扫描工具 能够利用现有的WIPS传感器 模拟黑客身份 对无线网络进行主动测试 客户选择该模块的理由 在发生黑客攻击之前 主动查明网络安全问题 验证无线网络与持卡人数据彼此隔离 远程安全漏洞扫描 降低顾问和差旅费用 自动完成无线网络扫描 模块功能 无线网络安全漏洞评估 7 3 4版 查明客户无线网络中的安全漏洞 模块价格 7 3 4或更高版本的附加模块 每个传感器的许可费为295美元 所有传感器必须单独购买许可证 23 无线网络安全漏洞扫描面临的挑战 Challeng
14、es with Today s Wireless Scanning 如今 无线网络扫描是一项费时费力的工作 前往设备安装现场进行扫描 浪费了大量时间 顾问 员工必须亲临现场进行无线网络安全漏洞扫描 导致高昂的差旅费用 不能自动完成无线网络扫描导致整个流程效率低下 手工扫描可能导致结果不一致 符合PCI要求1 2 3 目前未被任何WIPS覆盖 24 主动扫描的优势 Proactive 在黑客发起攻击之前查明安全漏洞 主动扫描结合传统的被动WIPS方式 提供全面的安全保护 在实施阶段查明实施问题 上线之前测试环境 25 WIPS的发展 全面的安全防护 主动 AP测试 高级排障 无线网络安全漏洞评估
15、 全新推出 被动 入侵检测 入侵防范 实时检查 取证分析 频率分析 性能分析 26 摩托罗拉AirDefense产品 总部 WIPS 设备 传感器 现场办公室 现场办公室 摩托罗拉AirDefense企业版 创新附加模块 无线网络漏洞 评估 主动评估无线网络 安全情况 频率分析 查明和划分常见射 频干扰类型 包括 微波和蓝牙等 LiveRF 实时分析无线网络 性能 集中分析和 解决连接问题 高级取证 检查详细的无线网 络活动记录 进行 取证分析和故障检 测 高级排障 更快解决无线网络 相关问题 主动解 决问题 移动办公人员 保护 端点安全性 保护 移动工作人员 不 论他们身在何处 流氓接入点检
16、测和禁闭 入侵检测 自动中断 达标 无线网络故障检测 取证分析 位置跟踪 企业级可扩展性 27 WVA概览 利用传感器模拟笔记本 连接无线网络执行漏洞扫描 主动扫描可以让用户发现黑客可能攻击哪些设备和服务 这还关系到达标 譬如PCI AirDefense传感器可模拟黑客 查明无线网络安全情况 判定黑客可能 攻击的对象 公共无线网易受攻击的后台系统 摩托罗拉 AirDefense传感器 模拟攻击 28 无线网络安全漏洞评估扫描示例 WAN A 10 5 1 15 IP 192 168 1 45 DNS 10 5 1 10 执行扫描 以判定该系统是否可以接入 A 可通过无线网络访问 信用卡系统 黑名单信用卡系统 Appsrvr1 该信用卡系统 不可 通过无线网络访问 客户审查漏洞报告 有人通过无线网络访问信用卡系统 Appsrvr1 客户需要重新配置防火墙 阻止这种访问 29 无线网络安全漏洞评估测试 2 WVA排程 1 配置无线网络漏洞 评估参数 3 浏览漏洞评估测试 结果 30 无线网络安全漏洞评估测试 2 远程确认 补漏 措施 1 客户 填补 漏洞 然后再次进行扫描 31 目标客户
