《无线局域网安全和关键基础设施保护》由会员分享,可在线阅读,更多相关《无线局域网安全和关键基础设施保护(52页珍藏版)》请在金锄头文库上搜索。
1、加固无线网络Air Defense无线局域网安全和关键基础设施保护 服务器用户传统有线网络 通过防火墙进行 网络边界控制互联网安全的内部网络 用户互联网上网(无线局域网) 不能连接网络停车场上的 黑客Users Connecting to Neighboring Networks非法接入点网络边缘模糊、 穿透防火墙的新 手段层出不穷无线技术改变了一切 服务器无线传输难以控制 无线传输显著加大了攻击面来自堪萨斯州劳伦斯市城区一个接入点的信号 无处不在的Wi-Fi 分清非法无线终端和邻居的能力至关重要5th Avenue, New York, Source: Google Earth, W无线钓鱼
2、 3用户连接接入点 2接入点响应探测请求 笔记本发出探测请求 1接入点向用户分发IP地址 4扫描笔记本安全漏洞,然后发 起攻击 5用户终端被作为攻击入口6入侵终端(软 AP) 用户终端企业网络以无线方式窃取秘密 黑客可以通过无线方式窃取密码和证书 窃听明文密码 - FTP, HTTP, POP3, IMAP 盗取证书和密钥,破解Harsh加密 NTLM, MDx, SHA-x, OSPF, CDP .窃听VoIP会话CainW破解WEP破解WEP事件的发生频率 2001 不可破解 2003 数年一次 2004 数日一次2005 几小时一次 2006 几分钟一次 2007 几秒钟一次 数十种攻击
3、 密钥破解 无重放保护 消息完整性不够 共享密钥 RC4实施不力尽快从WEP升级至WPA2 破解WPA破解WPA事件的发生频率 2006 80个密钥/秒 2007 130个密钥/秒2007 30,000个密钥/秒2008 100,000个密钥/秒新型攻击浮出水面 WPA预共享密钥不是十分安全 采用并行处理(显卡和FPGA加速器)加快PSK破解速度 WPA TKIP受到威胁:小帧解码和任意帧慢速注入采用带AES加密的WPA2,以及企业模式802.1X鉴权802.11网络安全漏洞汇总 类型攻击工具侦察 流氓接入点 开放式/错误配置接 入点 对等终端 Netstumbler、 Kismet、 Wel
4、lenrighter 嗅探 WEP、WPA、 LEAP破解 字典攻击 有漏洞的接入点 AirSnort、 Wepcrack、 Cowpatty、 WinSniffer、 Cain、 Ettercap伪装 MAC欺骗 AirSnarf/HotSpot攻 击 双面恶魔/无线钓鱼 攻击 AirSnarf、 Hotspotter、 HostAP、 SMAC注入 多播/广播注入 路由缓存破坏 中间人攻击 Airpwn、 WepWedgie、 ChopChop、 Vippr、irpass 、CDPsniffer拒绝服务 解除关联 持续时间域欺骗 射频干扰攻击AirJack、 void11、 Bugtraq
5、、IKE- 主要基础设施安全防护标准 NERC标准 CIP-002:关键网络资产识别 CIP-003:安全管理控制 CIP-004:人事和培训 CIP-005:电子安全边界 CIP-006:关键网络资产物理安全 CIP-007:系统安全管理 CIP-008:事件报告和应急预案 CIP-009:关键网络资产恢复计划 CIP-005无线网络要求 R3. 监控电子接入负责机构应当制定和实施相关流程,对电子安全边界的接入点的访问情况进行全天候的监控和记录。 R3.2. 只要技术上可行,所制定的安全监控流程应当能够查明非法接入(试图和实际接入),并发出报警。这些报警应当为指定的响应人员发出相应的通知。如
6、果技术上不可行,责任机构应至少每90天对非法接入(试图和实际接入)记录进行评估。R4. 网络漏洞评估责任机构应至少每年对电子安全边界的电子接入点进行网络漏洞评估。 R4.3. 电子安全边界所有接入点的发现; R5.3. 责任机构应至少保留90天的电子接入记录。可报告事件的记录应按照CIP-008的要求加以保留。 1.2.3“验证任何无线网络和存储持卡人数据的系统之间安装了边界防火墙,而且这些防火墙可 以拒绝或控制(如果对业务是必须的)从无线网络传送至持卡人数据环境的流量。” PCI DSS v1.2 无线网络 “如果使用无线技术存储、处理和传输持卡人数据(例如,POS 交易数据和“绿色通道”)
7、,或 者部分持卡人数据环境与无线局域网相连(例如,未使用防火墙明确地隔离),必须采用并执行 针对无线环境的PCI DSS要求和测试程序(例如要求1.2.3、2.1.1和4.1.1)。”PCI DSS v1.2 无线网络摩托罗拉AirDefense解决方案 总部WIPS 设备Sensor现场办公室现场办公室摩托罗拉AirDefense解决方案企业版 创新附加模块 无线网络漏洞 评估 主动评估无线网络 安全情况 频率分析 查明和划分常见射 频干扰类型,包括 微波和蓝牙等 LiveRF实时分析无线网络 性能,集中分析和 解决连接问题 高级取证 检查详细的无线网 络活动记录,进行 取证分析和故障检 测
8、 高级排障 更快解决无线网络 相关问题,主动解 决问题 移动办公人员 保护 端点安全性,保护 移动工作人员(不 论他们身在何处)流氓接入点检测和禁闭 入侵检测 自动阻断 出具审计报告 无线网络故障检测 取证分析 位置跟踪 企业级可扩展性 无线接入点和传感器合二为一 设置摩托罗拉双模接入点,将其 中一个频段专门用于WIPS检测 频段未锁定接入点和传感器可以 同时采用同一频段(2.4或5 GHz) 降低部署成本不需要另外配备 传感器 接入点不需要专门留出时间进行检测 ,从而改善了数据业务性能和服务质 量 接入点和传感器结合可改善统计信息收 集(例如用于位置跟踪的RSSI) 业界第一种未锁定频段的全
9、时接入点+全天候专 用传感器解决方案 阻断非法设备自动区分邻居和非法设备 查明连接到网络上的各类非法设备 连接和业务历史记录 自动阻断 远程办公室邻居检测 分析 阻断专用传感器 未加密流氓 AP 加密流氓 AP防火墙背后 的流氓AP 软APRogue Devices Can be Anywhere on the Network and can be Encrypted “负责机构应当制定和实施相关流程,对电子安全边界的接入点的访问情况进行全天候的监 控和记录。 ” CIP-005 第R3部分综合性入侵检测 Sensors协议滥用反常行为 签名分析策略管理关联引擎情景感知检测引擎 可查明200多
10、种威胁 侦察和探测 拒绝服务攻击 身份盗窃、恶意关联 字典攻击、违反安全策略 误判数量最小化 多个检测引擎关联减少误判数量 最准确的攻击检测 检测AIRDEFENSE服务器应用 发现分析“实施虚拟局域网(VLAN)、专用VLAN、入侵防范、入侵检测、智能交换机、安全拨号 接入,等等。” NERC 指导方针自动化无线网络防护 无线连接中断 针对性地断开无线连接 对正常网络业务没有影响 符合相关法律和FCC规定 固网端口抑制 搜索固网查找非法终端连接的交换机端口 仅仅断开非法终端的连接 无线ACL防止无线终端连接WLAN 传感器WIPS设备 交换机笔记本邻居AP接入 点Wireless Stati
11、onAP中断:意外关联 端口抑制:非法AP ACL执行:流氓 终端 “采用相关技术发现各类无线网络上的非法无线接入点和终端。” NERC 指导方针 远程接入点测试 安全服务器WANDHCP服 务器应用服务器数据中心远端 自动漏洞评估 将传感器转化为终端,对一个或多个接入点进行主动测试 人工或自动定期测试,生成详细测试报告 第二层无线网络鉴权和关联测试 第三层DHCP、Ping、DNS、Traceroute测试和端口扫描“责任机构应至少每年对电子安全边界的电子接入点进行网络漏洞评估。” CIP-005 第R4部分取证分析 丰富的取证数据 可从系统中调用几个月的历史数据 每分钟每个终端325多条统
12、计信息 终端连接和活动记录 宝贵的业务信息 用于取证分析和达标声明的准确记录 判定攻击的确切时间和影响 无线网络性能和连接问题记录 取证汇总 关联分析 历史位置跟踪 “责任机构应至少将电子接入记录保持90天时间。” CIP-005 第R5.3部分审计报表 审计报表监控执行界定具体的无线网络安全 政策 可定制报表 “只要技术上可行,所制定的安全监控流程应当能够查明非法接入(试图和实际接入),并发出报警。这 些报警应当为指定的响应人员发出相应的通知。”CIP-005 第R3.2部分摩托罗拉AirDefense无线网络安全漏洞评估模块 模块描述 一种创新无线网络安全漏洞扫描工具,能够利用现有的WIP
13、S传感器,模拟黑客身份 ,对无线网络进行主动测试 客户选择该模块的理由 在发生黑客攻击之前,主动查明网络安全问题验证无线网络与持卡人数据彼此隔离 远程安全漏洞扫描,降低顾问和差旅费用 自动完成无线网络扫描 模块功能无线网络安全漏洞评估(7.3.4版)查明客户无线网络中的安全漏洞 模块价格 7.3.4或更高版本的附加模块 每个传感器的许可费为295美元,所有传感器必须单独购买许可证 无线网络安全漏洞扫描面临的挑战 Challenges with Todays Wireless Scanning如今,无线网络扫描是一项费时费力的工作,前往设备安装现场进行扫描 浪费了大量时间 顾问/员工必须亲临现场
14、进行无线网络安全漏洞扫描,导致高昂的差旅费用 不能自动完成无线网络扫描导致整个流程效率低下 手工扫描可能导致结果不一致 符合PCI要求1.2.3 (目前未被任何WIPS覆盖)主动扫描的优势 Proactive在黑客发起攻击之前查明安全漏洞! 主动扫描结合传统的被动WIPS方式,提供全面的安全保护 在实施阶段查明实施问题(上线之前测试环境) WIPS的发展全面的安全防护 主动AP测试(高级排障) 无线网络安全漏洞评估 全新推出!被动入侵检测 入侵防范 实时检查 取证分析 频率分析 性能分析 摩托罗拉AirDefense产品 总部WIPS 设备传感器现场办公室现场办公室摩托罗拉AirDefense企业版创新附加模块无线网络漏洞 评估 主动评估无线网络 安全情况 频率分析 查明和划分常见射 频干扰类型,包括 微波和蓝牙等LiveRF实时分析无线网络 性能,集中分析和 解决连接问题高级取证 检查详细的无线网 络活动记录,进行 取证分析和故障检 测 高级排障 更快解决无线网络 相关问题,主动解 决问题 移动办公人员 保护 端点安全性,保护 移动工作人员(不 论他们身在何处)流氓接入点检测和禁闭 入侵检测 自动中断 达标
