警惕針對Wifi的五大無線攻擊
隨著城市信息化進程的加速,3G、4G和無線網絡已經越來越普及,用戶可以在公司、商場、咖啡廳享受速度越來越快、使用越來越方便的Wifi網絡。然而,大家是否知道,使用這些Wifi是否存在某些安全風險,而這些風險又會導致我們的信息或者財產損失呢?
由于WiFi主要是工作在OSI協議棧的第二層,大部分的攻擊發生在第二層。但無線攻擊,如干擾,也可以發生在第一層。在文中,我們描述了五種類型的無線攻擊,供廣大用戶和企業安全管理人員們參考和提前預防。
有線側漏
網絡攻擊(無論在有線或無線網絡中)通常開始于某種形式的偵察。在無線網絡中,偵察涉及使用無線嗅探器混聽無線數據包,以使攻擊者可以開始開發無線網絡的信號覆蓋區。我們將重點放在第二層的數據包,因此我們沒有連接(關聯)到一個接入點。如果攻擊者與一個接入點相關聯,則他或她能夠嗅探第三層及以上。
由于協議如NetBIOS、OSPF、和HSRP,其中,其它協議因為預期僅用于保護內部網絡而被設計為在它們的拓撲信息上具有說服力,廣播和多播通信在大多數有線網絡上橫行。許多管理者不知道的是,如果沒有適當的分段和防火墻,當他們將無線網絡連接到有線網絡時,這種廣播和多播通信會泄漏到無線空間。多數接入點和無線開關允許流量無堵塞的泄漏到空間中。使用通過有線網絡連接到AP并將內部協議通信泄漏到無線電波的網絡設備說明了這個概念。不幸的是,這個傳輸可能揭示網絡的拓撲結構、設備類型、用戶名、甚至是密碼!
例如,思科用于網關故障轉移的熱備份路由協議(HSRP)發送多播數據包。默認情況下,這些數據包來回廣播心跳消息,包括明文的熱備份路由器密碼。當這些數據包從有線空域泄漏到無線空域時,它們揭示了網絡拓撲信息以及密碼。
當部署無線時,你需要確保,比如一個防火墻,入口以及出口都被考慮到。在無線交換機和接入點的輸出流量應適當過濾掉廣播流量來防止這個敏感的有線流量泄漏到本地空域。一個無線入侵防御系統(IPS)可以通過監測數據包泄漏跡象來識別這個有線側漏,使管理員可以阻止任何在接入點、無線交換機、防火墻之處的泄漏。
流氓接入點
流氓接入點的最常見的類型包括將像Linksys路由器等的消費級接入點帶入辦公室的用戶。許多組織試圖通過無線評估檢測流氓AP。需要注意的是,雖然你可能會發現在您附近的接入點,驗證它們是否連接到你的物理網絡也是同等重要的。流氓AP的定義是一個未經授權的無線接入點連接到你的網絡。任何其它的可見的不屬于你的AP就是一個簡單的相鄰接入點。
審查潛在的流氓AP需要一些關于合法無線環境和認可的接入點的先驗知識。該種用于檢測流氓AP的方法涉及到環境中的異常訪問點的確定,并因此真的是一個最省力的方法。正如前面提到的,這種方法不一定需要確認接入點是否物理上連接到你的網絡。那還需要評估有線的一面,然后將有線評估與無線評估關聯起來。否則,你唯一的其它選擇是檢查每個物理接入點來確定異常的AP是否連接到你的網絡。這樣做,對于大的評估來說是不切實際的。出于這個原因,無線IPS在檢測流氓AP上更有效。一個無線IPS將其通過無線傳感器縮減到的與其在有線一側看到的關聯起來。通過各種算法,它決定一個接入點是否是一個真正的流氓接入點,一個在物理上連接到網絡的接入點。
甚至是季度性的流氓接入點抽查仍然給惡意黑客巨大的機會,為一些人留出不是幾天就是幾個月的時間插入流氓接入點、執行攻擊、然后刪除它而不被發現。
錯誤配置接入點
企業無線局域網的部署可能出現配置錯誤。人類的錯誤加上不同管理員安裝接入點和開關可能導致多種配置錯誤。例如,一個未保存的配置變化可能容許一個設備在停電重啟時恢復到出廠默認設置。并且許多其它的配置錯誤會導致過多的漏洞。因此,這些設備必須進行符合你的政策的配置監測。一些這樣的監測可以在布線側與WLAN管理產品一起實施。此外,如果你在無線IPS中預先定義政策以監測與政策不兼容的設備,成熟的無線IPS產品還可以監視錯誤配置的接入點。
現代的系統有不同的考慮——基于控制器的方法在很大程度上避免了這個為題,但一些組織,特別是一些較小的組織,仍將面臨這樣的問題。在控制器方面,人為的錯誤帶來更大和更重大的風險——所有接入點都會有問題或有配置漏洞,而不只是一個。
無線釣魚
因為組織機構在加強他們的無線網絡方面變得更自律,趨勢表明無線用戶已經成為低懸的果實。當涉及到人類行為時,執行安全Wi-Fi使用是困難的。普通的無線用戶根本不熟悉在當地的咖啡店或機場連接到開放的Wi-Fi網絡的威脅。此外,用戶可以在不知情的情況下連接到他們認為是合法接入點的無線網絡,但實際上,是為特別是吸引不知情的受害者設立的蜜罐或開放網絡。
例如,他們可能在家里有一個被稱為“Linksys”的網絡。因此,他們的筆記本電腦會自動連接到其它任何稱為“Linksys”的網絡。這種內置行為可能會導致偶然關聯到一個惡意的無線網路,通常被稱為無線網絡釣魚。
一旦攻擊者獲得對用戶筆記本電腦的訪問權限,則其不僅可以竊取敏感文件等的信息,還可以獲得作為企業網絡用戶的無線網絡憑據。這種攻擊可能比直接攻擊企業網絡更容易執行。如果攻擊者可以從一個無線用戶獲得證書,然后他或她可以使用這些憑據來訪問企業無線網絡,繞過任何用于阻止更復雜攻擊的加密和安全機制。
客戶端隔離
用戶通常最容易成為攻擊者的目標,特別是當它涉及到Wi-Fi時。當用戶與接入點關聯,他們可以看到其他試圖連接到接入點的人。理想的情況是,大多數用戶連接到接入點以獲取互聯網訪問或訪問公司網絡,但他們在相同的無線網絡中成為惡意用戶的受害者。
除了竊聽,惡意用戶還可能直接定位到其他用戶,只要他們被關聯到相同的接入點。具體來說,一旦用戶認證并關聯到一個接入點,他或她便獲取到一個IP地址,并因此訪問到第三層。與有線網絡很相似,惡意無線用戶現在與其他接入到該接入點的用戶在同一個網絡中,將他們作為直接的攻擊目標。
無線技術供應商也意識到了這一漏洞,并已經發布了產品特點為客戶和公司網絡提供客戶端隔離。基本上,客戶端隔離允許人們訪問接入點提供的互聯網和其他資源,減少了局域網的能力。當固定Wi-Fi網絡時,隔離是必要的。通常該功能是默認被禁用的,所以確保它被所有的接入點啟用。
