警惕針對Wifi的五大無線攻擊
隨著城市信息化進程的加速,3G、4G和無線網(wǎng)絡已經(jīng)越來越普及,用戶可以在公司、商場、咖啡廳享受速度越來越快、使用越來越方便的Wifi網(wǎng)絡。然而,大家是否知道,使用這些Wifi是否存在某些安全風險,而這些風險又會導致我們的信息或者財產(chǎn)損失呢?
由于WiFi主要是工作在OSI協(xié)議棧的第二層,大部分的攻擊發(fā)生在第二層。但無線攻擊,如干擾,也可以發(fā)生在第一層。在文中,我們描述了五種類型的無線攻擊,供廣大用戶和企業(yè)安全管理人員們參考和提前預防。
有線側漏
網(wǎng)絡攻擊(無論在有線或無線網(wǎng)絡中)通常開始于某種形式的偵察。在無線網(wǎng)絡中,偵察涉及使用無線嗅探器混聽無線數(shù)據(jù)包,以使攻擊者可以開始開發(fā)無線網(wǎng)絡的信號覆蓋區(qū)。我們將重點放在第二層的數(shù)據(jù)包,因此我們沒有連接(關聯(lián))到一個接入點。如果攻擊者與一個接入點相關聯(lián),則他或她能夠嗅探第三層及以上。
由于協(xié)議如NetBIOS、OSPF、和HSRP,其中,其它協(xié)議因為預期僅用于保護內(nèi)部網(wǎng)絡而被設計為在它們的拓撲信息上具有說服力,廣播和多播通信在大多數(shù)有線網(wǎng)絡上橫行。許多管理者不知道的是,如果沒有適當?shù)姆侄魏头阑饓Γ斔麄儗o線網(wǎng)絡連接到有線網(wǎng)絡時,這種廣播和多播通信會泄漏到無線空間。多數(shù)接入點和無線開關允許流量無堵塞的泄漏到空間中。使用通過有線網(wǎng)絡連接到AP并將內(nèi)部協(xié)議通信泄漏到無線電波的網(wǎng)絡設備說明了這個概念。不幸的是,這個傳輸可能揭示網(wǎng)絡的拓撲結構、設備類型、用戶名、甚至是密碼!
例如,思科用于網(wǎng)關故障轉(zhuǎn)移的熱備份路由協(xié)議(HSRP)發(fā)送多播數(shù)據(jù)包。默認情況下,這些數(shù)據(jù)包來回廣播心跳消息,包括明文的熱備份路由器密碼。當這些數(shù)據(jù)包從有線空域泄漏到無線空域時,它們揭示了網(wǎng)絡拓撲信息以及密碼。
當部署無線時,你需要確保,比如一個防火墻,入口以及出口都被考慮到。在無線交換機和接入點的輸出流量應適當過濾掉廣播流量來防止這個敏感的有線流量泄漏到本地空域。一個無線入侵防御系統(tǒng)(IPS)可以通過監(jiān)測數(shù)據(jù)包泄漏跡象來識別這個有線側漏,使管理員可以阻止任何在接入點、無線交換機、防火墻之處的泄漏。
流氓接入點
流氓接入點的最常見的類型包括將像Linksys路由器等的消費級接入點帶入辦公室的用戶。許多組織試圖通過無線評估檢測流氓AP。需要注意的是,雖然你可能會發(fā)現(xiàn)在您附近的接入點,驗證它們是否連接到你的物理網(wǎng)絡也是同等重要的。流氓AP的定義是一個未經(jīng)授權的無線接入點連接到你的網(wǎng)絡。任何其它的可見的不屬于你的AP就是一個簡單的相鄰接入點。
審查潛在的流氓AP需要一些關于合法無線環(huán)境和認可的接入點的先驗知識。該種用于檢測流氓AP的方法涉及到環(huán)境中的異常訪問點的確定,并因此真的是一個最省力的方法。正如前面提到的,這種方法不一定需要確認接入點是否物理上連接到你的網(wǎng)絡。那還需要評估有線的一面,然后將有線評估與無線評估關聯(lián)起來。否則,你唯一的其它選擇是檢查每個物理接入點來確定異常的AP是否連接到你的網(wǎng)絡。這樣做,對于大的評估來說是不切實際的。出于這個原因,無線IPS在檢測流氓AP上更有效。一個無線IPS將其通過無線傳感器縮減到的與其在有線一側看到的關聯(lián)起來。通過各種算法,它決定一個接入點是否是一個真正的流氓接入點,一個在物理上連接到網(wǎng)絡的接入點。
甚至是季度性的流氓接入點抽查仍然給惡意黑客巨大的機會,為一些人留出不是幾天就是幾個月的時間插入流氓接入點、執(zhí)行攻擊、然后刪除它而不被發(fā)現(xiàn)。
錯誤配置接入點
企業(yè)無線局域網(wǎng)的部署可能出現(xiàn)配置錯誤。人類的錯誤加上不同管理員安裝接入點和開關可能導致多種配置錯誤。例如,一個未保存的配置變化可能容許一個設備在停電重啟時恢復到出廠默認設置。并且許多其它的配置錯誤會導致過多的漏洞。因此,這些設備必須進行符合你的政策的配置監(jiān)測。一些這樣的監(jiān)測可以在布線側與WLAN管理產(chǎn)品一起實施。此外,如果你在無線IPS中預先定義政策以監(jiān)測與政策不兼容的設備,成熟的無線IPS產(chǎn)品還可以監(jiān)視錯誤配置的接入點。
現(xiàn)代的系統(tǒng)有不同的考慮——基于控制器的方法在很大程度上避免了這個為題,但一些組織,特別是一些較小的組織,仍將面臨這樣的問題。在控制器方面,人為的錯誤帶來更大和更重大的風險——所有接入點都會有問題或有配置漏洞,而不只是一個。
無線釣魚
因為組織機構在加強他們的無線網(wǎng)絡方面變得更自律,趨勢表明無線用戶已經(jīng)成為低懸的果實。當涉及到人類行為時,執(zhí)行安全Wi-Fi使用是困難的。普通的無線用戶根本不熟悉在當?shù)氐目Х鹊昊驒C場連接到開放的Wi-Fi網(wǎng)絡的威脅。此外,用戶可以在不知情的情況下連接到他們認為是合法接入點的無線網(wǎng)絡,但實際上,是為特別是吸引不知情的受害者設立的蜜罐或開放網(wǎng)絡。
例如,他們可能在家里有一個被稱為“Linksys”的網(wǎng)絡。因此,他們的筆記本電腦會自動連接到其它任何稱為“Linksys”的網(wǎng)絡。這種內(nèi)置行為可能會導致偶然關聯(lián)到一個惡意的無線網(wǎng)路,通常被稱為無線網(wǎng)絡釣魚。
一旦攻擊者獲得對用戶筆記本電腦的訪問權限,則其不僅可以竊取敏感文件等的信息,還可以獲得作為企業(yè)網(wǎng)絡用戶的無線網(wǎng)絡憑據(jù)。這種攻擊可能比直接攻擊企業(yè)網(wǎng)絡更容易執(zhí)行。如果攻擊者可以從一個無線用戶獲得證書,然后他或她可以使用這些憑據(jù)來訪問企業(yè)無線網(wǎng)絡,繞過任何用于阻止更復雜攻擊的加密和安全機制。
客戶端隔離
用戶通常最容易成為攻擊者的目標,特別是當它涉及到Wi-Fi時。當用戶與接入點關聯(lián),他們可以看到其他試圖連接到接入點的人。理想的情況是,大多數(shù)用戶連接到接入點以獲取互聯(lián)網(wǎng)訪問或訪問公司網(wǎng)絡,但他們在相同的無線網(wǎng)絡中成為惡意用戶的受害者。
除了竊聽,惡意用戶還可能直接定位到其他用戶,只要他們被關聯(lián)到相同的接入點。具體來說,一旦用戶認證并關聯(lián)到一個接入點,他或她便獲取到一個IP地址,并因此訪問到第三層。與有線網(wǎng)絡很相似,惡意無線用戶現(xiàn)在與其他接入到該接入點的用戶在同一個網(wǎng)絡中,將他們作為直接的攻擊目標。
無線技術供應商也意識到了這一漏洞,并已經(jīng)發(fā)布了產(chǎn)品特點為客戶和公司網(wǎng)絡提供客戶端隔離。基本上,客戶端隔離允許人們訪問接入點提供的互聯(lián)網(wǎng)和其他資源,減少了局域網(wǎng)的能力。當固定Wi-Fi網(wǎng)絡時,隔離是必要的。通常該功能是默認被禁用的,所以確保它被所有的接入點啟用。
