随着城市信息化进程的加速,3G、4G和无线网络已经越来越普及,用户可以在公司、商场、咖啡厅享受速度越来越快、使用越来越方便的Wifi网络。然而,大家是否知道,使用这些Wifi是否存在某些安全风险,而这些风险又会导致我们的信息或者财产损失呢?
由于WiFi主要是工作在OSI协议栈的第二层,大部分的攻击发生在第二层。但无线攻击,如干扰,也可以发生在第一层。在文中,我们描述了五种类型的无线攻击,供广大用户和企业安全管理人员们参考和提前预防。
有线侧漏
网络攻击(无论在有线或无线网络中)通常开始于某种形式的侦察。在无线网络中,侦察涉及使用无线嗅探器混听无线数据包,以使攻击者可以开始开发无线网络的信号覆盖区。我们将重点放在第二层的数据包,因此我们没有连接(关联)到一个接入点。如果攻击者与一个接入点相关联,则他或她能够嗅探第三层及以上。
由于协议如NetBIOS、OSPF、和HSRP,其中,其它协议因为预期仅用于保护内部网络而被设计为在它们的拓扑信息上具有说服力,广播和多播通信在大多数有线网络上横行。许多管理者不知道的是,如果没有适当的分段和防火墙,当他们将无线网络连接到有线网络时,这种广播和多播通信会泄漏到无线空间。多数接入点和无线开关允许流量无堵塞的泄漏到空间中。使用通过有线网络连接到AP并将内部协议通信泄漏到无线电波的网络设备说明了这个概念。不幸的是,这个传输可能揭示网络的拓扑结构、设备类型、用户名、甚至是密码!
例如,思科用于网关故障转移的热备份路由协议(HSRP)发送多播数据包。默认情况下,这些数据包来回广播心跳消息,包括明文的热备份路由器密码。当这些数据包从有线空域泄漏到无线空域时,它们揭示了网络拓扑信息以及密码。
当部署无线时,你需要确保,比如一个防火墙,入口以及出口都被考虑到。在无线交换机和接入点的输出流量应适当过滤掉广播流量来防止这个敏感的有线流量泄漏到本地空域。一个无线入侵防御系统(IPS)可以通过监测数据包泄漏迹象来识别这个有线侧漏,使管理员可以阻止任何在接入点、无线交换机、防火墙之处的泄漏。
流氓接入点
流氓接入点的最常见的类型包括将像Linksys路由器等的消费级接入点带入办公室的用户。许多组织试图通过无线评估检测流氓AP。需要注意的是,虽然你可能会发现在您附近的接入点,验证它们是否连接到你的物理网络也是同等重要的。流氓AP的定义是一个未经授权的无线接入点连接到你的网络。任何其它的可见的不属于你的AP就是一个简单的相邻接入点。
审查潜在的流氓AP需要一些关于合法无线环境和认可的接入点的先验知识。该种用于检测流氓AP的方法涉及到环境中的异常访问点的确定,并因此真的是一个最省力的方法。正如前面提到的,这种方法不一定需要确认接入点是否物理上连接到你的网络。那还需要评估有线的一面,然后将有线评估与无线评估关联起来。否则,你唯一的其它选择是检查每个物理接入点来确定异常的AP是否连接到你的网络。这样做,对于大的评估来说是不切实际的。出于这个原因,无线IPS在检测流氓AP上更有效。一个无线IPS将其通过无线传感器缩减到的与其在有线一侧看到的关联起来。通过各种算法,它决定一个接入点是否是一个真正的流氓接入点,一个在物理上连接到网络的接入点。
甚至是季度性的流氓接入点抽查仍然给恶意黑客巨大的机会,为一些人留出不是几天就是几个月的时间插入流氓接入点、执行攻击、然后删除它而不被发现。
错误配置接入点
企业无线局域网的部署可能出现配置错误。人类的错误加上不同管理员安装接入点和开关可能导致多种配置错误。例如,一个未保存的配置变化可能容许一个设备在停电重启时恢复到出厂默认设置。并且许多其它的配置错误会导致过多的漏洞。因此,这些设备必须进行符合你的政策的配置监测。一些这样的监测可以在布线侧与WLAN管理产品一起实施。此外,如果你在无线IPS中预先定义政策以监测与政策不兼容的设备,成熟的无线IPS产品还可以监视错误配置的接入点。
现代的系统有不同的考虑——基于控制器的方法在很大程度上避免了这个为题,但一些组织,特别是一些较小的组织,仍将面临这样的问题。在控制器方面,人为的错误带来更大和更重大的风险——所有接入点都会有问题或有配置漏洞,而不只是一个。
无线钓鱼
因为组织机构在加强他们的无线网络方面变得更自律,趋势表明无线用户已经成为低悬的果实。当涉及到人类行为时,执行安全Wi-Fi使用是困难的。普通的无线用户根本不熟悉在当地的咖啡店或机场连接到开放的Wi-Fi网络的威胁。此外,用户可以在不知情的情况下连接到他们认为是合法接入点的无线网络,但实际上,是为特别是吸引不知情的受害者设立的蜜罐或开放网络。
例如,他们可能在家里有一个被称为“Linksys”的网络。因此,他们的笔记本电脑会自动连接到其它任何称为“Linksys”的网络。这种内置行为可能会导致偶然关联到一个恶意的无线网路,通常被称为无线网络钓鱼。
一旦攻击者获得对用户笔记本电脑的访问权限,则其不仅可以窃取敏感文件等的信息,还可以获得作为企业网络用户的无线网络凭据。这种攻击可能比直接攻击企业网络更容易执行。如果攻击者可以从一个无线用户获得证书,然后他或她可以使用这些凭据来访问企业无线网络,绕过任何用于阻止更复杂攻击的加密和安全机制。
客户端隔离
用户通常最容易成为攻击者的目标,特别是当它涉及到Wi-Fi时。当用户与接入点关联,他们可以看到其他试图连接到接入点的人。理想的情况是,大多数用户连接到接入点以获取互联网访问或访问公司网络,但他们在相同的无线网络中成为恶意用户的受害者。
除了窃听,恶意用户还可能直接定位到其他用户,只要他们被关联到相同的接入点。具体来说,一旦用户认证并关联到一个接入点,他或她便获取到一个IP地址,并因此访问到第三层。与有线网络很相似,恶意无线用户现在与其他接入到该接入点的用户在同一个网络中,将他们作为直接的攻击目标。
无线技术供应商也意识到了这一漏洞,并已经发布了产品特点为客户和公司网络提供客户端隔离。基本上,客户端隔离允许人们访问接入点提供的互联网和其他资源,减少了局域网的能力。当固定Wi-Fi网络时,隔离是必要的。通常该功能是默认被禁用的,所以确保它被所有的接入点启用。