企業(yè)無(wú)線應(yīng)用潛藏Wi—Fi新威脅

軼名

今年的央視3.15晚會(huì)中，“網(wǎng)絡(luò)安全”這個(gè)聽(tīng)起來(lái)離我們挺遙遠(yuǎn)的詞兒，再次大喇喇地進(jìn)入公眾的視野。從國(guó)家層面到權(quán)威媒體機(jī)構(gòu)，一遍遍不厭其煩地提醒人們，看清楚虛幻的網(wǎng)絡(luò)世界中真實(shí)存在的種種危險(xiǎn)和罪惡?，F(xiàn)場(chǎng)再現(xiàn)免費(fèi)Wi-Fi環(huán)境下的信息泄露，只是冰山一角，卻已足夠令人震驚和后怕。

而事實(shí)上，有很多人有過(guò)類(lèi)似的操作，只是危險(xiǎn)還未降臨，或已經(jīng)發(fā)生但還未被察覺(jué)而已。

公共場(chǎng)合尚且如此，如果將場(chǎng)景延伸到企業(yè)網(wǎng)絡(luò)中，情況又將如何？

無(wú)線局域網(wǎng)（WLAN）基礎(chǔ)架構(gòu)的脆弱性，是目前企業(yè)網(wǎng)絡(luò)中最重要和直接的威脅之一。在企業(yè)環(huán)境中，使用智能手機(jī)和平板電腦的Wi-Fi需求與日俱增，這無(wú)意中侵犯了網(wǎng)絡(luò)安全的邊界，也使那些沒(méi)有部署無(wú)線的企業(yè)和組織面臨著不可估量的風(fēng)險(xiǎn)。

無(wú)線安全四大誤區(qū)

誤區(qū)1 ?沒(méi)有部署Wi-Fi，企業(yè)就是安全的

很多人仍然認(rèn)為，如果企業(yè)沒(méi)有部署Wi-Fi網(wǎng)絡(luò)，那么就不存在Wi-Fi安全問(wèn)題。然而，現(xiàn)實(shí)世界不可能是一個(gè)人人彼此信任的世界，也沒(méi)有人會(huì)天真地認(rèn)為絕不會(huì)有人違背“無(wú)Wi-Fi”部署策略。

無(wú)論有意或無(wú)意，安裝一個(gè)隱秘接入點(diǎn)（AP），就足以將企業(yè)的網(wǎng)絡(luò)暴露給無(wú)孔不入的攻擊者?，F(xiàn)在絕大多數(shù)的筆記本或上網(wǎng)本內(nèi)置的Wi-Fi網(wǎng)卡同樣可以構(gòu)成潛在的威脅源。甚至于內(nèi)嵌在筆記本或上網(wǎng)本中的無(wú)線技術(shù)，如藍(lán)牙等，也可能會(huì)產(chǎn)生嚴(yán)重的安全漏洞。以為“無(wú)Wi-Fi”部署便可保障企業(yè)網(wǎng)絡(luò)的安全無(wú)異于掩耳盜鈴。

誤區(qū)2 ?部署了傳統(tǒng)的防火墻、IPS等網(wǎng)關(guān)設(shè)備，企業(yè)就是安全的

過(guò)去我們所理解的企業(yè)邊界好比是一幢大樓，由企業(yè)內(nèi)網(wǎng)聯(lián)通各個(gè)房間。大樓的出口處有一道防盜門(mén)，也就是傳統(tǒng)的防火墻或者是UTM網(wǎng)關(guān)設(shè)備。由這道門(mén)實(shí)時(shí)審視進(jìn)出企業(yè)的全部流量，這是我們通常定義的企業(yè)邊界。

但是，隨著無(wú)線技術(shù)的快速發(fā)展和大量部署，大樓的原有邊界變得越發(fā)模糊，安全邊界的概念已經(jīng)發(fā)生巨大的變化。無(wú)線信號(hào)能夠傳播到企業(yè)的物理邊界之外，讓那些認(rèn)為大樓內(nèi)部安全無(wú)憂的傳統(tǒng)理念失去了說(shuō)服力。如Wi-Fi共享軟件、流氓AP、釣魚(yú)AP、用戶連接外部AP、Ad Hoc以及無(wú)線DoS攻擊等，都無(wú)時(shí)不在侵犯和挑戰(zhàn)傳統(tǒng)的安全邊界。

誤區(qū)3 ?強(qiáng)大的認(rèn)證與加密能夠提供全面的防護(hù)？

如果企業(yè)已經(jīng)部署了帶WPA2安全功能的Wi-Fi網(wǎng)絡(luò)，那肯定是一個(gè)不錯(cuò)的開(kāi)頭。WPA2可為企業(yè)的WLAN AP和客戶端提供更強(qiáng)大的密碼安全保護(hù)。但在較大規(guī)模的網(wǎng)絡(luò)部署中，確保全部設(shè)備沒(méi)有因疏忽而出現(xiàn)誤配置，不給攻擊者留下可乘之機(jī)，才是最重要的。

隨著Wi-Fi被用來(lái)承載越來(lái)越多的關(guān)鍵任務(wù)應(yīng)用，黑客和犯罪分子們也把重心轉(zhuǎn)移到了攻破Wi-Fi的安全措施上。研究人員最新發(fā)現(xiàn)，WPA-TKIP對(duì)于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，也已經(jīng)有報(bào)道提到，思科的WLAN控制器漏洞可以被用來(lái)“劫持”思科的LAP?？傊?，基于WPA2的WLAN部署不可能防范所有類(lèi)型的無(wú)線安全威脅。

誤區(qū)4 ?使用地址綁定策略，只有經(jīng)過(guò)許可的MAC地址才能連接

任何一種可用無(wú)線解決方案都可提供MAC（介質(zhì)訪問(wèn)控制）地址過(guò)濾。消費(fèi)級(jí)與企業(yè)級(jí)無(wú)線實(shí)施方案都擁有該選項(xiàng)，以便應(yīng)用一定等級(jí)的MAC地址過(guò)濾。這聽(tīng)起來(lái)是一種有效的安全方法，但實(shí)際上卻并非如此。

對(duì)于黑客而言，在幾乎任意一種操作系統(tǒng)中欺騙MAC地址都出人意料的簡(jiǎn)單。黑客可將欺騙的MAC地址用于多類(lèi)攻擊，包括WEP （有線等效保密）？回放、解除認(rèn)證、解除關(guān)聯(lián)以及偽裝攻擊（設(shè)備可搭載通過(guò)客戶認(rèn)證的訪客網(wǎng)絡(luò)進(jìn)行攻擊）等。

守護(hù)安全新邊界

對(duì)于企業(yè)部署Wi-Fi帶來(lái)的無(wú)線應(yīng)用安全隱患，一些本土安全企業(yè)提出了針對(duì)性的解決方案。

終端守護(hù) ?智能設(shè)備分類(lèi)和安全的BYOD策略執(zhí)行

東軟無(wú)線安全解決方案中的NetEye WIPS模塊，能夠自動(dòng)分析嘗試接入公司網(wǎng)絡(luò)的智能手機(jī)和平板電腦的類(lèi)型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根據(jù)策略劃分準(zhǔn)入及拒絕接入的類(lèi)別。同時(shí)，通過(guò)提供的API，可以輕松地與幾乎所有移動(dòng)設(shè)備管理系統(tǒng)（MDM）進(jìn)行整合。

頻段守護(hù) ?無(wú)線威脅防御

大多數(shù)的無(wú)線入侵檢測(cè)/防御系統(tǒng)，常常會(huì)不正確地?cái)_亂自己或者鄰近的Wi-Fi網(wǎng)絡(luò)。東軟無(wú)線安全解決方案能夠正確區(qū)分威脅是否來(lái)自鄰近的無(wú)線Wi-Fi設(shè)備，有效防范濫用Wi-Fi或違反企業(yè)安全策略的威脅。同時(shí)，能夠智能判斷各種類(lèi)型的無(wú)線網(wǎng)絡(luò)威脅，并在2.4 GHz和？5 GHz頻段的多種渠道上，同時(shí)阻止多種安全威脅。

策略守護(hù) ?針對(duì)無(wú)線網(wǎng)絡(luò)準(zhǔn)入的控制手段

無(wú)線網(wǎng)絡(luò)準(zhǔn)入控制的目的就在于基于策略控制對(duì)無(wú)線網(wǎng)絡(luò)的接入，它包括預(yù)準(zhǔn)入端點(diǎn)安全策略檢查（以確定誰(shuí)可以接入網(wǎng)絡(luò)）。另外，無(wú)線網(wǎng)絡(luò)準(zhǔn)入控制解決方案還包括某些主機(jī)檢查（如在主機(jī)上運(yùn)行的操作系統(tǒng)和服務(wù)等），可防范欺騙AP作為路由器或NAT的功能。

傳輸守護(hù) ?多重的安全無(wú)線傳輸保障

雖然在企業(yè)的無(wú)線安全方案部署中可以通過(guò)802.11i、WPA2或者WPA加強(qiáng)傳輸?shù)陌踩?，但還是會(huì)有無(wú)法使用這些加密和身份驗(yàn)證類(lèi)型的情況發(fā)生。在這種情況下，VPN可以作為保護(hù)無(wú)線客戶端連接的備用解決方案。通過(guò)使用VPN，以及利用多個(gè)SSID和VLAN進(jìn)行網(wǎng)絡(luò)分段，為擁有多種不同客戶端的網(wǎng)絡(luò)提供強(qiáng)大的解決方案。IP安全（IPSec）和SSL VPN可以提供與802.11i和WPA類(lèi)似的安全等級(jí)。

相關(guān)鏈接

四大Wi-Fi安全威脅

1.數(shù)據(jù)截取：目前所有支持Wi-Fi認(rèn)證的產(chǎn)品均支持AES-CCMP數(shù)據(jù)加密協(xié)議。但一些早期的產(chǎn)品僅支持TKIP，而TKIP由于存在安全漏洞，很容易被網(wǎng)絡(luò)黑客進(jìn)行信號(hào)盜取。

2.非法接入點(diǎn)：心存僥幸的網(wǎng)絡(luò)用戶會(huì)利用未經(jīng)授權(quán)的接入點(diǎn)進(jìn)行網(wǎng)絡(luò)接入，這點(diǎn)非常危險(xiǎn)。一般企業(yè)都會(huì)對(duì)接入點(diǎn)設(shè)置進(jìn)行掃描，避免非法接入點(diǎn)出現(xiàn)。而個(gè)人用戶應(yīng)采取追蹤、攔截等措施去阻止非法接入點(diǎn)使用。

3.錯(cuò)誤配置接入點(diǎn)：相對(duì)而言，802.11n增加了一系列復(fù)雜的配置選項(xiàng)，同時(shí)，優(yōu)先級(jí)事項(xiàng)和multi-media進(jìn)一步復(fù)雜化配置。個(gè)人用戶應(yīng)采用集中管理的方式，盡可能減少操作錯(cuò)誤。

4. 雙面惡魔攻擊：這種攻擊有時(shí)也被稱(chēng)為“無(wú)線釣魚(yú)”，雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱(chēng)隱藏起來(lái)的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn)，然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。