保护网络

本节阐述保护网络不受攻击的方法和提供拒绝服务的最佳实践。

服务拒绝

任何阻止授权用户使用正当功能的事件都可以被认为是拒绝服务攻击(DoS)。DoS攻击可能发生在任何信息技术（IT）基础结构内部，甚至是外部。用户数据报协议（UDP）淹没攻击（针对于企业因特网连接）和RF干扰（针对企业WLAN）都属于DoS攻击类型。在本节中，DoS攻击指的是阻止WLAN运作的攻击（而非针对上层应用的DoS攻击）。

WLAN的DoS攻击是很容易发生的。事实上，在微波炉中重新加热肉就可以不经意地阻碍WLAN的正常运作。802.11n所带来的覆盖范围增大（相对于802.11g/a）同样也可以无意地干扰到邻近的WLAN。在5 GHz频段部署802.11n有利于减少类似的无意DoS干涉，因为市场上几乎很少有在这有一频段上运行的产品。但是，入侵者可以在外围设备中使用定向天线向WLAN发送RF能量来加载DoS攻击。与能够传播到整个有线LAN的广播风暴不同的是，无线DoS攻击是局限于其直接攻击的区域。

大量的WLAN DoS 攻击弱点威胁着物理层（PHY）、连接进程和认证进程，如下所列：

802.11网络很容易受到蓄意的RF信号的攻击，它会扰乱数据包传输和网络可用性。

802.11网络很容易受到DoS攻击，这种攻击是使用多个伪MAC地址来发送大量的联合请求帧到AP。

802.11网络很容易受到EAPoL Start DoS攻击，这种攻击是向一个AP发送泛滥的EAPoL Start消息。

虽然发起DoS攻击的路途有很多，但是很多企业都将DoS攻击评估为很低的风险级别，或者直接忽略它的潜在风险。我们的建议是将无线DoS攻击应对方案包含你的企业业务连续性计划过程中。此外，有些企业可能希望通过分布在整个企业中的RF传感器来部署针对DoS检测的广泛网络监视。

网络保护

网络管理系统和无线基础架构也都很容易受到攻击。对网络管理的攻击包括AP、网络控制器、交换机和网关的未授权网络管理控制。

我们推荐以下的最佳方法：

• 修改默认SSID为一个特定名称。
• 使用一个基于控制器的WLAN系统替代所有独立的AP。WLAN系统能提供一个管理焦点并减少网络上的攻击点。
• 使用强密码来提高对WLAN硬件访问安全。定期修改密码。
• 禁用无线AP和控制器的无线端管理访问。
• 定期进行供应商的软件升级，并快速提供补丁程序以便提高网络安全性。

有些企业也许愿意执行以下的实践方法：

• 使用加密的网络管理安全协议，比如简单网络管理协议(SNMP) v3、Secure Shell（SSH）和SSL。禁用AP和控制器上的SNMP v1和v2。
• 将有线端的AP/控制器访问限制在特定的IP地址、子网络或VLAN。

更多信息

这篇文章是参考了Wireless Vulnerabilities and Exploits（WVE）网站。WVE提供了一个已知无线漏洞的数据库，它类似于其他系统的漏洞目录，比如Common Vulnerabilities and Exposures（CVE）和Open Source Vulnerability Database（OSVDB）。任何人都可以使用WVE数据库和向其贡献数据。

关于作者

Paul DeBeasi是Burton Group的高级分析师，它在网络产业有着25年的工作经历。在加入Burton Group之前，Paul 成立了一个无线咨询公司ClearChoice Advisors，并且是无线交换器Legra系统产品市场副总裁。除了Legra的工作之外，他还是IPHighway和ONEX Communications公司的产品市场部副总裁，以及Cascade Communications的帧中继产品线经理。Paul的网络系统开发的职业生涯是始于Bell Laboratories，Prime Computer 和Chipcom Corp高级工程师。他拥有波士顿大学的系统工程师理科学士学位，康奈尔大学电子工程师硕士学位。Paul是一名知名的演讲家，并且曾在许多活动中发表演讲，其中包括Interop、Next Generation Networks、Wi-Fi Planet和Internet Telephony。