隨著城市信息化進(jìn)程的加速，3G、4G和無線網(wǎng)絡(luò)已經(jīng)越來越普及，用戶可以在公司、商場、咖啡廳享受速度越來越快、使用越來越方便的Wifi網(wǎng)絡(luò)。然而，大家是否知道，使用這些Wifi是否存在某些安全風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)又會(huì)導(dǎo)致我們的信息或者財(cái)產(chǎn)損失呢?

[[108623]]

由于WiFi主要是工作在OSI協(xié)議棧的第二層，大部分的攻擊發(fā)生在第二層。但無線攻擊，如干擾，也可以發(fā)生在第一層。在文中，我們描述了五種類型的無線攻擊，供廣大用戶和企業(yè)安全管理人員們參考和提前預(yù)防。

有線側(cè)漏

網(wǎng)絡(luò)攻擊(無論在有線或無線網(wǎng)絡(luò)中)通常開始于某種形式的偵察。在無線網(wǎng)絡(luò)中，偵察涉及使用無線嗅探器混聽無線數(shù)據(jù)包，以使攻擊者可以開始開發(fā)無線網(wǎng)絡(luò)的信號(hào)覆蓋區(qū)。我們將重點(diǎn)放在第二層的數(shù)據(jù)包，因此我們沒有連接(關(guān)聯(lián))到一個(gè)接入點(diǎn)。如果攻擊者與一個(gè)接入點(diǎn)相關(guān)聯(lián)，則他或她能夠嗅探第三層及以上。

由于協(xié)議如NetBIOS、OSPF、和HSRP，其中，其它協(xié)議因?yàn)轭A(yù)期僅用于保護(hù)內(nèi)部網(wǎng)絡(luò)而被設(shè)計(jì)為在它們的拓?fù)湫畔⑸暇哂姓f服力，廣播和多播通信在大多數(shù)有線網(wǎng)絡(luò)上橫行。許多管理者不知道的是，如果沒有適當(dāng)?shù)姆侄魏头阑饓?，?dāng)他們將無線網(wǎng)絡(luò)連接到有線網(wǎng)絡(luò)時(shí)，這種廣播和多播通信會(huì)泄漏到無線空間。多數(shù)接入點(diǎn)和無線開關(guān)允許流量無堵塞的泄漏到空間中。使用通過有線網(wǎng)絡(luò)連接到AP并將內(nèi)部協(xié)議通信泄漏到無線電波的網(wǎng)絡(luò)設(shè)備說明了這個(gè)概念。不幸的是，這個(gè)傳輸可能揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、設(shè)備類型、用戶名、甚至是密碼!

例如，思科用于網(wǎng)關(guān)故障轉(zhuǎn)移的熱備份路由協(xié)議(HSRP)發(fā)送多播數(shù)據(jù)包。默認(rèn)情況下，這些數(shù)據(jù)包來回廣播心跳消息，包括明文的熱備份路由器密碼。當(dāng)這些數(shù)據(jù)包從有線空域泄漏到無線空域時(shí)，它們揭示了網(wǎng)絡(luò)拓?fù)湫畔⒁约懊艽a。

當(dāng)部署無線時(shí)，你需要確保，比如一個(gè)防火墻，入口以及出口都被考慮到。在無線交換機(jī)和接入點(diǎn)的輸出流量應(yīng)適當(dāng)過濾掉廣播流量來防止這個(gè)敏感的有線流量泄漏到本地空域。一個(gè)無線入侵防御系統(tǒng)(IPS)可以通過監(jiān)測數(shù)據(jù)包泄漏跡象來識(shí)別這個(gè)有線側(cè)漏，使管理員可以阻止任何在接入點(diǎn)、無線交換機(jī)、防火墻之處的泄漏。

流氓接入點(diǎn)

流氓接入點(diǎn)的最常見的類型包括將像Linksys路由器等的消費(fèi)級(jí)接入點(diǎn)帶入辦公室的用戶。許多組織試圖通過無線評(píng)估檢測流氓AP。需要注意的是，雖然你可能會(huì)發(fā)現(xiàn)在您附近的接入點(diǎn)，驗(yàn)證它們是否連接到你的物理網(wǎng)絡(luò)也是同等重要的。流氓AP的定義是一個(gè)未經(jīng)授權(quán)的無線接入點(diǎn)連接到你的網(wǎng)絡(luò)。任何其它的可見的不屬于你的AP就是一個(gè)簡單的相鄰接入點(diǎn)。

審查潛在的流氓AP需要一些關(guān)于合法無線環(huán)境和認(rèn)可的接入點(diǎn)的先驗(yàn)知識(shí)。該種用于檢測流氓AP的方法涉及到環(huán)境中的異常訪問點(diǎn)的確定，并因此真的是一個(gè)最省力的方法。正如前面提到的，這種方法不一定需要確認(rèn)接入點(diǎn)是否物理上連接到你的網(wǎng)絡(luò)。那還需要評(píng)估有線的一面，然后將有線評(píng)估與無線評(píng)估關(guān)聯(lián)起來。否則，你唯一的其它選擇是檢查每個(gè)物理接入點(diǎn)來確定異常的AP是否連接到你的網(wǎng)絡(luò)。這樣做，對(duì)于大的評(píng)估來說是不切實(shí)際的。出于這個(gè)原因，無線IPS在檢測流氓AP上更有效。一個(gè)無線IPS將其通過無線傳感器縮減到的與其在有線一側(cè)看到的關(guān)聯(lián)起來。通過各種算法，它決定一個(gè)接入點(diǎn)是否是一個(gè)真正的流氓接入點(diǎn)，一個(gè)在物理上連接到網(wǎng)絡(luò)的接入點(diǎn)。

甚至是季度性的流氓接入點(diǎn)抽查仍然給惡意黑客巨大的機(jī)會(huì)，為一些人留出不是幾天就是幾個(gè)月的時(shí)間插入流氓接入點(diǎn)、執(zhí)行攻擊、然后刪除它而不被發(fā)現(xiàn)。

錯(cuò)誤配置接入點(diǎn)

企業(yè)無線局域網(wǎng)的部署可能出現(xiàn)配置錯(cuò)誤。人類的錯(cuò)誤加上不同管理員安裝接入點(diǎn)和開關(guān)可能導(dǎo)致多種配置錯(cuò)誤。例如，一個(gè)未保存的配置變化可能容許一個(gè)設(shè)備在停電重啟時(shí)恢復(fù)到出廠默認(rèn)設(shè)置。并且許多其它的配置錯(cuò)誤會(huì)導(dǎo)致過多的漏洞。因此，這些設(shè)備必須進(jìn)行符合你的政策的配置監(jiān)測。一些這樣的監(jiān)測可以在布線側(cè)與WLAN管理產(chǎn)品一起實(shí)施。此外，如果你在無線IPS中預(yù)先定義政策以監(jiān)測與政策不兼容的設(shè)備，成熟的無線IPS產(chǎn)品還可以監(jiān)視錯(cuò)誤配置的接入點(diǎn)。

現(xiàn)代的系統(tǒng)有不同的考慮——基于控制器的方法在很大程度上避免了這個(gè)為題，但一些組織，特別是一些較小的組織，仍將面臨這樣的問題。在控制器方面，人為的錯(cuò)誤帶來更大和更重大的風(fēng)險(xiǎn)——所有接入點(diǎn)都會(huì)有問題或有配置漏洞，而不只是一個(gè)。

無線釣魚

因?yàn)榻M織機(jī)構(gòu)在加強(qiáng)他們的無線網(wǎng)絡(luò)方面變得更自律，趨勢表明無線用戶已經(jīng)成為低懸的果實(shí)。當(dāng)涉及到人類行為時(shí)，執(zhí)行安全Wi-Fi使用是困難的。普通的無線用戶根本不熟悉在當(dāng)?shù)氐目Х鹊昊驒C(jī)場連接到開放的Wi-Fi網(wǎng)絡(luò)的威脅。此外，用戶可以在不知情的情況下連接到他們認(rèn)為是合法接入點(diǎn)的無線網(wǎng)絡(luò)，但實(shí)際上，是為特別是吸引不知情的受害者設(shè)立的蜜罐或開放網(wǎng)絡(luò)。

例如，他們可能在家里有一個(gè)被稱為“Linksys”的網(wǎng)絡(luò)。因此，他們的筆記本電腦會(huì)自動(dòng)連接到其它任何稱為“Linksys”的網(wǎng)絡(luò)。這種內(nèi)置行為可能會(huì)導(dǎo)致偶然關(guān)聯(lián)到一個(gè)惡意的無線網(wǎng)路，通常被稱為無線網(wǎng)絡(luò)釣魚。

一旦攻擊者獲得對(duì)用戶筆記本電腦的訪問權(quán)限，則其不僅可以竊取敏感文件等的信息，還可以獲得作為企業(yè)網(wǎng)絡(luò)用戶的無線網(wǎng)絡(luò)憑據(jù)。這種攻擊可能比直接攻擊企業(yè)網(wǎng)絡(luò)更容易執(zhí)行。如果攻擊者可以從一個(gè)無線用戶獲得證書，然后他或她可以使用這些憑據(jù)來訪問企業(yè)無線網(wǎng)絡(luò)，繞過任何用于阻止更復(fù)雜攻擊的加密和安全機(jī)制。

客戶端隔離

用戶通常最容易成為攻擊者的目標(biāo)，特別是當(dāng)它涉及到Wi-Fi時(shí)。當(dāng)用戶與接入點(diǎn)關(guān)聯(lián)，他們可以看到其他試圖連接到接入點(diǎn)的人。理想的情況是，大多數(shù)用戶連接到接入點(diǎn)以獲取互聯(lián)網(wǎng)訪問或訪問公司網(wǎng)絡(luò)，但他們在相同的無線網(wǎng)絡(luò)中成為惡意用戶的受害者。

除了竊聽，惡意用戶還可能直接定位到其他用戶，只要他們被關(guān)聯(lián)到相同的接入點(diǎn)。具體來說，一旦用戶認(rèn)證并關(guān)聯(lián)到一個(gè)接入點(diǎn)，他或她便獲取到一個(gè)IP地址，并因此訪問到第三層。與有線網(wǎng)絡(luò)很相似，惡意無線用戶現(xiàn)在與其他接入到該接入點(diǎn)的用戶在同一個(gè)網(wǎng)絡(luò)中，將他們作為直接的攻擊目標(biāo)。

無線技術(shù)供應(yīng)商也意識(shí)到了這一漏洞，并已經(jīng)發(fā)布了產(chǎn)品特點(diǎn)為客戶和公司網(wǎng)絡(luò)提供客戶端隔離?；旧?，客戶端隔離允許人們訪問接入點(diǎn)提供的互聯(lián)網(wǎng)和其他資源，減少了局域網(wǎng)的能力。當(dāng)固定Wi-Fi網(wǎng)絡(luò)時(shí)，隔離是必要的。通常該功能是默認(rèn)被禁用的，所以確保它被所有的接入點(diǎn)啟用。