本文來(lái)自安全牛,作者/安全牛綜合編譯。
無(wú)線網(wǎng)絡(luò)應(yīng)用已經(jīng)無(wú)所不在,企業(yè)組織是時(shí)候重視無(wú)線網(wǎng)絡(luò)的應(yīng)用安全了!
盡管知道開(kāi)放的無(wú)線網(wǎng)絡(luò)并不安全,但很多企業(yè)和個(gè)人還是高度依賴(lài)于使用這種網(wǎng)絡(luò)模式,甚至明明知道會(huì)有被攻擊的風(fēng)險(xiǎn),但還是會(huì)連接。因此,企業(yè)安全團(tuán)隊(duì)必須盡力保障無(wú)線網(wǎng)絡(luò)的安全性,以保護(hù)使用它們的用戶(hù)、設(shè)備和服務(wù)系統(tǒng)。而做好保護(hù)的前提是,要讓用戶(hù)了解可能出現(xiàn)的無(wú)線網(wǎng)絡(luò)攻擊主要有哪些類(lèi)型,應(yīng)該采取哪些適當(dāng)?shù)谋Wo(hù)措施。
無(wú)線網(wǎng)絡(luò)攻擊的類(lèi)型
從攻擊形態(tài)上看,無(wú)線網(wǎng)絡(luò)攻擊主要可以分為三個(gè)大類(lèi):被動(dòng)型攻擊、主動(dòng)型攻擊以及針對(duì)網(wǎng)絡(luò)組件的攻擊:
被動(dòng)攻擊一般發(fā)生在攻擊者處于無(wú)線網(wǎng)絡(luò)范圍內(nèi)并可以監(jiān)視無(wú)線通信內(nèi)容時(shí),最常見(jiàn)的被動(dòng)攻擊是數(shù)據(jù)包嗅探。由于被動(dòng)攻擊者只是監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù),而不是傳輸數(shù)據(jù),因此被動(dòng)攻擊通常檢測(cè)不到。
主動(dòng)攻擊是指攻擊者部署非法無(wú)線接入點(diǎn),誘騙人們錯(cuò)誤連接上去。由于主動(dòng)攻擊可以攔截、監(jiān)視和改變通信內(nèi)容,它們常常用于執(zhí)行中間人(MitM)攻擊等活動(dòng)。
針對(duì)網(wǎng)絡(luò)組件的攻擊指攻擊者通過(guò)攻擊無(wú)線網(wǎng)絡(luò)的某個(gè)組件,比如利用接入點(diǎn)未打補(bǔ)丁的固件或使用接入點(diǎn)的默認(rèn)密碼,非法獲得無(wú)線網(wǎng)絡(luò)的管理訪問(wèn)權(quán)限。
按照這三種大類(lèi),我們可以梳理出一些更具體的無(wú)線網(wǎng)絡(luò)攻擊形態(tài),主要包括:
01數(shù)據(jù)包嗅探攻擊
數(shù)據(jù)包嗅探是指獲取無(wú)線網(wǎng)絡(luò)中原始流量的行為。在日常網(wǎng)絡(luò)管理中,管理員需要通過(guò)Wireshark等數(shù)據(jù)包嗅探器檢測(cè)、監(jiān)控和收集網(wǎng)絡(luò)數(shù)據(jù)包,以了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況,這是一種合法的監(jiān)控活動(dòng),但數(shù)據(jù)包嗅探器也可以被攻擊者非法使用,用來(lái)違規(guī)獲取網(wǎng)絡(luò)流量。
02非法接入攻擊
非法接入攻擊是指攻擊者將任何未經(jīng)授權(quán)的接入點(diǎn)連接到網(wǎng)絡(luò)。如果企業(yè)的無(wú)線網(wǎng)絡(luò)中被攻擊者成功放置了非法接入點(diǎn),那么網(wǎng)絡(luò)中的應(yīng)用和數(shù)據(jù)將不再安全,因?yàn)楣粽唠S時(shí)可以訪問(wèn)它所連接的網(wǎng)絡(luò)。
03雙面惡魔攻擊
無(wú)線網(wǎng)絡(luò)釣魚(yú)是指惡意分子創(chuàng)建模仿合法的網(wǎng)絡(luò)接入點(diǎn),誘騙合法用戶(hù)連接。雙面惡魔是一種常見(jiàn)的用于Wi-Fi網(wǎng)絡(luò)釣魚(yú)的攻擊手法。它模仿成是合法的已授權(quán)接入點(diǎn),并使用授權(quán)接入點(diǎn)的SSID來(lái)誘騙用戶(hù)連接上去。有時(shí),攻擊者還會(huì)禁用授權(quán)接入點(diǎn)來(lái)破壞整個(gè)網(wǎng)絡(luò)。即使授權(quán)接入點(diǎn)沒(méi)有被禁用,雙面惡魔仍然能夠獲取一些有價(jià)值的網(wǎng)絡(luò)流量。
04欺騙攻擊
欺騙攻擊指攻擊者假裝是合法用戶(hù)或服務(wù)來(lái)進(jìn)行網(wǎng)絡(luò)訪問(wèn)或數(shù)據(jù)傳輸活動(dòng)。欺騙攻擊包括以下幾種類(lèi)型:
MAC地址欺騙,主要發(fā)生在攻擊者檢測(cè)到授權(quán)設(shè)備上的網(wǎng)絡(luò)適配器MAC地址,企圖冒充授權(quán)設(shè)備建立新連接。
幀欺騙(又叫幀注入),發(fā)生在攻擊者發(fā)送看似來(lái)自合法發(fā)送者的惡意數(shù)據(jù)幀時(shí)。
IP欺騙,發(fā)生在攻擊者使用篡改過(guò)的IP數(shù)據(jù)包來(lái)隱藏?cái)?shù)據(jù)包的真實(shí)來(lái)源時(shí)。
數(shù)據(jù)重放,發(fā)生在攻擊者捕獲無(wú)線傳輸?shù)臄?shù)據(jù),篡改傳輸內(nèi)容,并將篡改后的內(nèi)容重新傳輸給目標(biāo)系統(tǒng)時(shí)。
身份驗(yàn)證重放,發(fā)生在攻擊者捕獲用戶(hù)之間的身份驗(yàn)證交換內(nèi)容,并在攻擊中重新使用這些交換內(nèi)容時(shí)。
05加密破解攻擊
許多過(guò)時(shí)的無(wú)線網(wǎng)絡(luò)安全協(xié)議也會(huì)很容易受到攻擊,包括有線等效隱私(WEP)和Wi-Fi受保護(hù)訪問(wèn)(WPA)等,其中,2003年推出的WPA比WEP更有效。它使用比WEP更強(qiáng)大的加密和更好的身份驗(yàn)證。然而,WPA也容易受到攻擊,目前也不應(yīng)該繼續(xù)使用。后續(xù)推出的WPA2于2004年正式取代了WEP,它包含了AES加密技術(shù)。而2018年推出的WPA3則提供了比WPA2更強(qiáng)大的加密能力。
06MitM中間人攻擊
MitM攻擊是一種第三方冒充合法通信方的竊聽(tīng)攻擊,主要發(fā)生在網(wǎng)絡(luò)犯罪分子竊聽(tīng)兩個(gè)合法用戶(hù)(應(yīng)用)之間的通信內(nèi)容時(shí),比如兩個(gè)用戶(hù)相互通信,或者一個(gè)用戶(hù)與應(yīng)用程序或服務(wù)進(jìn)行交互。攻擊者會(huì)將自己偽裝成是合法的用戶(hù),從而攔截敏感信息并轉(zhuǎn)發(fā)信息。
07DoS攻擊
DoS攻擊可以阻止合法用戶(hù)正常連接到無(wú)線網(wǎng)絡(luò),一般發(fā)生在惡意分子用大量流量阻塞網(wǎng)絡(luò)時(shí),從而使網(wǎng)絡(luò)不堪重負(fù),并使合法用戶(hù)無(wú)法正常訪問(wèn)。
08無(wú)線干擾攻擊
與DoS攻擊一樣,無(wú)線網(wǎng)絡(luò)干擾攻擊也會(huì)使網(wǎng)絡(luò)系統(tǒng)不堪重負(fù),這樣很多合法用戶(hù)將無(wú)法連接到網(wǎng)絡(luò)。無(wú)線干擾攻擊的一個(gè)典型做法就是向某個(gè)網(wǎng)絡(luò)接入點(diǎn)發(fā)送大量流量,以“阻塞”其合法連接。
09無(wú)線搜尋攻擊
無(wú)線搜尋又叫接入點(diǎn)映射,不法分子帶著無(wú)線設(shè)備(通常是電腦或移動(dòng)設(shè)備)四處搜尋,查找那些可以自由連接的開(kāi)放式無(wú)線網(wǎng)絡(luò)。很多企業(yè)的無(wú)線網(wǎng)絡(luò)由于疏忽等原因,未設(shè)置完善的安全措施,這樣就讓攻擊者可以趁虛而入。
10戰(zhàn)艦式攻擊
戰(zhàn)艦式攻擊指攻擊者蓄意向企業(yè)組織投寄針對(duì)無(wú)線網(wǎng)絡(luò)的物理監(jiān)視設(shè)備,這類(lèi)設(shè)備一旦進(jìn)入企業(yè)組織內(nèi)部,就會(huì)自動(dòng)連接到目標(biāo)無(wú)線網(wǎng)絡(luò),并采集外發(fā)敏感數(shù)據(jù)。這種攻擊需要特定的攻擊設(shè)備來(lái)配合,并且攻擊的目的性會(huì)非常明確。一旦設(shè)備進(jìn)入受害企業(yè)無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋范圍,就會(huì)伺機(jī)攻擊網(wǎng)絡(luò)。
11盜竊和篡改
攻擊者可以竊取或破壞無(wú)線接入點(diǎn)和路由器,從而對(duì)無(wú)線網(wǎng)絡(luò)發(fā)動(dòng)物理攻擊。這些攻擊不僅阻止用戶(hù)訪問(wèn)網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)運(yùn)行異常,從而導(dǎo)致業(yè)務(wù)中斷和收入損失,還會(huì)使受害企業(yè)蒙受無(wú)線網(wǎng)絡(luò)系統(tǒng)維修的經(jīng)濟(jì)損失。
12默認(rèn)密碼漏洞
企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)應(yīng)用是絕不應(yīng)該使用默認(rèn)密碼和SSID的,這將使攻擊者能夠輕易發(fā)現(xiàn)員工使用的路由器,進(jìn)而發(fā)現(xiàn)該路由器所含有的潛在威脅漏洞。默認(rèn)密碼和廠商提供的密碼常常記錄在消費(fèi)級(jí)路由器的使用說(shuō)明中,安全管理人員應(yīng)及時(shí)修改密碼,防止未經(jīng)授權(quán)的用戶(hù)看到和使用。無(wú)線網(wǎng)絡(luò)應(yīng)用應(yīng)該遵循密碼安全管理的最佳實(shí)踐,比如不要使用容易猜到的弱密碼、定期維護(hù)修改密碼。
無(wú)線網(wǎng)絡(luò)安全防護(hù)建議
企業(yè)組織可以按照以下建議加強(qiáng)無(wú)線網(wǎng)絡(luò)應(yīng)用的安全防護(hù),其中基本性的安全措施包括:
1.如果接入點(diǎn)和客戶(hù)端設(shè)備能夠支持WPA3,請(qǐng)盡快使用這種最新的無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。WPA2仍然也是不錯(cuò)的選擇,但是WPA3可以提供的防護(hù)能力將更加可靠和完善。
2.為每個(gè)無(wú)線網(wǎng)絡(luò)接入點(diǎn)設(shè)置一個(gè)獨(dú)特的、難以猜到的強(qiáng)密碼。
3.確保所有網(wǎng)絡(luò)組件版本及時(shí)更新并合理配置,最大限度地減少可利用的漏洞。
4.盡量減少或禁止接入點(diǎn)的遠(yuǎn)程訪問(wèn),始終將默認(rèn)接入點(diǎn)密碼改為獨(dú)特的、難以破解的密碼。這可以阻止隨意性的攻擊者通過(guò)互聯(lián)網(wǎng)連接到接入點(diǎn),并輕松獲得控制權(quán)。
除了這些基礎(chǔ)無(wú)線安全措施外,有條件的企業(yè)組織還應(yīng)該為其無(wú)線網(wǎng)絡(luò)實(shí)施以下安全控制措施:
將無(wú)線網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)區(qū)分開(kāi)。這常??梢允褂梅阑饓Α⑻摂M局域網(wǎng)或其他網(wǎng)絡(luò)邊界執(zhí)行技術(shù)來(lái)實(shí)現(xiàn),同時(shí)執(zhí)行限制流量進(jìn)出的安全策略。
部署無(wú)線網(wǎng)絡(luò)特有的安全技術(shù)。這包括無(wú)線入侵防御系統(tǒng)(用于查找攻擊和可疑活動(dòng))以及無(wú)線網(wǎng)絡(luò)安全控制器(用于管理和監(jiān)控整個(gè)企業(yè)的接入點(diǎn))。
應(yīng)定期開(kāi)展安全意識(shí)培訓(xùn)活動(dòng),向員工宣講無(wú)線網(wǎng)絡(luò)攻擊和安全最佳實(shí)踐。建議員工避免使用開(kāi)放網(wǎng)絡(luò)。