你在这里

无线网络常见的安全问题

无线网络已经被越来越多的企业和个人所接受:它不但提供了极大的便利性,并且其成本也在不断下降。但由于国际 WIFI 组织在制定 IEEE802.11 标准时对安全性问题考虑过少,在目前的 IEEE802.11a/b/g 无线网络标准中,安全性存在着一些先天的缺陷,因此一直备受非议。以至于许多企业级用户不敢将关键业务部署到无线网络平台上来,而大多数无线网络仅仅是为了方便员工登陆互联网。

目前无线网络的安全方面主要存在以下几大问题,分别介绍如下:

威胁1:员工私接无线路由器(AP)

无线局域网接入点(WLAN APs)是那么便宜﹑容易安装﹑小巧而容易携带。非法的 WLAN APs 可以无意地或者在 IT 管理人员无法察觉的情况下恶意地接入到企业网络,只需要把一个小巧的 WLAN APs 带到企业内部,然后连接到以太网接口上就行了。

私接无线 AP 是员工为了获得快速方便的无线接入而采用的典型方式,他们安装的 AP 几乎没有任何安全控制(例如:接入控制列表﹑Wire Equivalent 协议﹑802.1X, 802.11i等)。由于这些 AP 可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如Wi-Fi 交换机和防火墙)。私接 AP 的无线电覆盖无法被企业所在建筑物所完全屏蔽,非法用户这时就可以通过这些私接 AP 溢出的无线电覆盖连接到企业网络。不可见的电磁场使得管制这种意外活动变得很困难,即使察觉到他们的存在,找到他们同样很困难。

威胁2:设置不严谨或错误的无线路由器(AP)

WLAN AP 支持多种安全特性和设置。许多时候,IT 管理人员都会让合法的 AP 仍旧保持出厂时的默认设置或者没有恰当的对它进行设置。这会使 AP 在没有加密或在弱加密(如WEP)的条件下工作。也有些时候,一个 AP 在没有设置任何口令的情况下与客户端连接,于是整个企业网络就都在没有任何口令保护下建立了无线连接。

不当设置的 AP 会导致一系列安全威胁。例如:攻击者可以窃听企业无线网络中不当设置的合法 AP 与合法用户间的无线通信。攻击者也可以读取弱加密的通信。如果AP没有设定口令,非法用户就可以通过这个 AP 与企业网络建立连接。最近一个被称为 "war-driving“ 的沿街扫描工具,就在利用因特网上下载的免费工具来发现那些泄露信号到公共场所的 AP。许多勘查工具如:Netstumbler﹑Wellenreiter和其他工具都可以在因特网上自由下载。

威胁3:用户端不当连接

用户端不当连接就是企业内合法用户与外部 AP 建立连接,这又是怎么发生的呢?一些部署在你工作区周围的AP 可能没有做任何安全控制,企业内的合法用户的 Wi-Fi 卡就可能与这些外部 AP 建立连接。一旦这个客户端连接到外部 AP,企业内可信赖的网络就置身风险之中:外部不安全的连接通过这个客户端就接入到了你的网络。考虑到无线网络的安全状况,我们要防止在不知情的状况下发生:合法用户与外部 AP 建立连接,进而导致内部信息外露的情况。

 

威胁4:非法连接

非法连接是指企业外的人员与企业内合法的 AP 建立连接。这通常发生在无线空间没有安全控制的情况下。如果一个非法用户与合法 AP 建立连接,就意味着我们的网络向外部开放了,这会导致重要数据和信息外泄。

威胁5:直连网络(Ad hoc)

802.11 WLAN 标准提供一种在无线客户端间建立点对点(Ad hoc)无线连接的方式。无线客户端之间可以借此建立一个直连网络(Ad hoc)。但是,这种直连网络带来了安全漏洞,例如:一个藏在街边﹑停车场里﹑或隔壁的攻击者可以与企业内一个合法的笔记本建立无线连接。这个攻击者此时就可以通过这台笔记本发动攻击。比如:如果这台笔记本与其他合法用户间共享了某些资源(文件或目录等),攻击者也可以通过直接连接获得这些资源。

 

威胁6:MAC 地址伪造

无线局域网中的 AP 通过传送 beacon(或者probe responses) 宣示他们的存在。这些 beacon 中包含了 AP的 MAC 地址(这是它的身份标识)和 SSID (它所支持网络中的身份标志)。无线客户端收听附近不同 AP 发出的 beacon。客户端通常与那个具有预期的 SSID 并且 beacon 信号很强的 AP 建立连接。市场上有相当数量的 WLAN AP 的MAC 地址和 SSID 是允许被用户修改的。这样的 AP 和软件工具很容易获得,他们都允许将 AP 的 MAC 地址和 SSID 修改成任何值。

通过伪造 MAC,攻击者可以让一个 AP 发送与遭复制的 AP 相同的身份信息。经过伪造 MAC 的 AP 也可以发动诸如:packet dropping 和 packet corruption and modification 等破坏性攻击。一个经伪造 MAC 的 AP 甚至可以连接到企业的有线网络,作为私接 AP 和逃避普通搜索工具的侦测。甚至一个伪造 MAC 的 AP 可以诱惑企业无线局域网中的合法无线客户端与其建立连接从而骗取其机密信息。 它可以在合法的通讯中扮演中间人的角色,从而使合法用户难以察觉。

威胁7:蜜罐AP

多个无线网络可以并存在同一个空间里,用户可以连接到任何可用的无线网络,而不必在乎他加入的是自己所属的网络还是附近其他无线电覆盖过大的网络。攻击者建立一个信号比企业无线网更强的非法无线网络,就可以利用这一特性进行入侵。它需要在企业的无线网络附近(街上或停车场)开启一个AP。这些AP可以通过发送更强的 beacon 信号和伪造的 MAC 地址来吸引合法的企业用户与其建立连接。 这些 AP 被称为蜜罐 AP(Honeypot AP) 或恶魔双胞胎(Evil Twins)。一个合法用户无意中与蜜罐 AP 建立了连接,导致的安全漏洞会泄露敏感信息—如身份认证信息给蜜罐 AP。攻击者也可以为使用蜜罐 AP 的合法用户充当通讯中间人。

企业无线局域网中的合法无线客户端也会偶尔连接到附近并无恶意的 AP (被称为“客户端不当连接”)。然而因此造成的安全漏洞会使无线网络客户端无意地向这些 AP 发送机密信息。这往往是由客户端或邻近 AP 不当的设置造成的。这与蜜罐 AP 的区别在于是否是被连接的 AP 是否是有意设置的。

威胁8:拒绝服务攻击(DoS)

无线局域网逐渐被赋予传送重要应用的任务,这些应用包括:数据库接入、VOIP、email、web和会议。这些应用会被 DoS 攻击所破坏,造成网络瘫痪,阻挠用户接入并大幅降低系统性能。

无线局域网传输作为开放的传输介质,很容易被用来发动 DoS 攻击。此外,802.11 MAC 协议中的 soft spots 也是被用来作为发动 DoS 攻击的漏洞。例如以下的 DoS 攻击:authentication、association、de-authentication 或 disassociation flood、NAV attack、CTS flood、EAP and EAPOL message floods,这类就可以轻易发动而造成整个企业无线局域网络瘫痪。不幸的是,从因特网上可以轻易获得各种 DoS 工具,如:AirJack、FataJack、Void11、Fake AP等等。