由于各種原因,我們的網絡上總會出現無賴接入點,更客氣的說法就是非授權接入點AP。例如,某用戶有可能建立一個接入點,其目的是為了將一臺筆記本電腦帶到休息室后自己仍能訪問互聯網。內部的工程師也有可能安裝一個無線路由器,自己搭建一個測試網絡,但在測試結束后有可能忘了禁用這個無線網。這些建立未授權的接入點的人往往本身并沒有什么惡意,但是這并不能說這些接入點沒有危害。如果你認為攻擊者并不會找無線連接或者不會利用這些連接,那么,不妨用谷歌搜索一下與TJX公司有關的危害,然后再檢查一下自己的網絡。下面我們給出一些對付無賴接入點的一些建議:
NetStumbler、 Kismet以及其它的一些軟件工具對于確認區域內的接入點確實有用,但是,這些工具并不能提供太多的信息。你要問一問,你發現的這些接入點位于你的網絡上嗎,它位于公司的網絡上嗎,還是位于鄰居的網絡上?除非你的單位處于一個有很少單位的區域,那么,這些工具并不會告訴你所需要的方方面面。簡言之,這些工具的作用是有限的。
另外一種選擇是掃描你的網絡,看看有沒有不正常的MAC地址,雖然這種掃描有可能太費時,并且有可能會產生錯誤。這種方法常用于掃描注冊到D-Link等設備的MAC地址,但是由于許多大企業收購了小廠商,此方法就未必有效。例如,由于思科收購了Linksys,故MAC地址顯示為思科。如果你擁有單位里眾所周知的MAC地址的清單,你可以掃描那些還沒有得到許可的任何設備。但是,如果你并沒有設備的詳細清單,也就無法開始,這種方法就有可能不會太有效。即使你的網絡清查很正常,MAC地址掃描也未必百分之百地有效。這是因為設備有可能在網絡中移動,或者這些設備有可能不對Ping操作做出響應,或者這些設備有可能在掃描時關閉了電源。
有些無線接入點廠商將無賴接入點的檢測功能內置到了其產品中。這種產品能夠根據無線信號確認接入點,并借助網絡跟蹤AP。這種產品可以確認網絡端口,并準許你控制它。不過,要注意,這些產品并不便宜。
不管你采用什么技術或技巧來追蹤無賴接入點,其關鍵都在于經常搜尋。PCI DSS(付款卡行業數據安全標準)要求每個季度都要掃描,但是我們認為搜索得更頻繁一些更好。你還要為在發現了未授權的接入點后該采取什么應對措施做好準備。
一定要慎重。如果用戶需要搭建一個測試網絡,IT可以花點兒時間提供一個開關,切不可“一棒子打死”。找到一個開關,將連接移過去。如果用戶只是需要無線連接,不妨斷開其設備,然后再向他解釋使用該設備可能給公司帶來的風險。更好的方案是,看看你是否可以在那個地方建立一個授權的無線接入,其它用戶將會很喜歡的。如果你還沒有編寫關于未授權接入點的書面策略,那就趕緊動手吧,讓整個單位的人都按照安全策略來上網,豈非樂事?