信息化觀察網(wǎng)

本文來(lái)自安全牛，作者/安全牛綜合編譯。

無(wú)線網(wǎng)絡(luò)應(yīng)用已經(jīng)無(wú)所不在，企業(yè)組織是時(shí)候重視無(wú)線網(wǎng)絡(luò)的應(yīng)用安全了！

盡管知道開放的無(wú)線網(wǎng)絡(luò)并不安全，但很多企業(yè)和個(gè)人還是高度依賴于使用這種網(wǎng)絡(luò)模式，甚至明明知道會(huì)有被攻擊的風(fēng)險(xiǎn)，但還是會(huì)連接。因此，企業(yè)安全團(tuán)隊(duì)必須盡力保障無(wú)線網(wǎng)絡(luò)的安全性，以保護(hù)使用它們的用戶、設(shè)備和服務(wù)系統(tǒng)。而做好保護(hù)的前提是，要讓用戶了解可能出現(xiàn)的無(wú)線網(wǎng)絡(luò)攻擊主要有哪些類型，應(yīng)該采取哪些適當(dāng)?shù)谋Ｗo(hù)措施。

無(wú)線網(wǎng)絡(luò)攻擊的類型

從攻擊形態(tài)上看，無(wú)線網(wǎng)絡(luò)攻擊主要可以分為三個(gè)大類：被動(dòng)型攻擊、主動(dòng)型攻擊以及針對(duì)網(wǎng)絡(luò)組件的攻擊：

被動(dòng)攻擊一般發(fā)生在攻擊者處于無(wú)線網(wǎng)絡(luò)范圍內(nèi)并可以監(jiān)視無(wú)線通信內(nèi)容時(shí)，最常見的被動(dòng)攻擊是數(shù)據(jù)包嗅探。由于被動(dòng)攻擊者只是監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，而不是傳輸數(shù)據(jù)，因此被動(dòng)攻擊通常檢測(cè)不到。

主動(dòng)攻擊是指攻擊者部署非法無(wú)線接入點(diǎn)，誘騙人們錯(cuò)誤連接上去。由于主動(dòng)攻擊可以攔截、監(jiān)視和改變通信內(nèi)容，它們常常用于執(zhí)行中間人（MitM）攻擊等活動(dòng)。

針對(duì)網(wǎng)絡(luò)組件的攻擊指攻擊者通過(guò)攻擊無(wú)線網(wǎng)絡(luò)的某個(gè)組件，比如利用接入點(diǎn)未打補(bǔ)丁的固件或使用接入點(diǎn)的默認(rèn)密碼，非法獲得無(wú)線網(wǎng)絡(luò)的管理訪問(wèn)權(quán)限。

按照這三種大類，我們可以梳理出一些更具體的無(wú)線網(wǎng)絡(luò)攻擊形態(tài)，主要包括：

01數(shù)據(jù)包嗅探攻擊

數(shù)據(jù)包嗅探是指獲取無(wú)線網(wǎng)絡(luò)中原始流量的行為。在日常網(wǎng)絡(luò)管理中，管理員需要通過(guò)Wireshark等數(shù)據(jù)包嗅探器檢測(cè)、監(jiān)控和收集網(wǎng)絡(luò)數(shù)據(jù)包，以了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，這是一種合法的監(jiān)控活動(dòng)，但數(shù)據(jù)包嗅探器也可以被攻擊者非法使用，用來(lái)違規(guī)獲取網(wǎng)絡(luò)流量。

02非法接入攻擊

非法接入攻擊是指攻擊者將任何未經(jīng)授權(quán)的接入點(diǎn)連接到網(wǎng)絡(luò)。如果企業(yè)的無(wú)線網(wǎng)絡(luò)中被攻擊者成功放置了非法接入點(diǎn)，那么網(wǎng)絡(luò)中的應(yīng)用和數(shù)據(jù)將不再安全，因?yàn)楣粽唠S時(shí)可以訪問(wèn)它所連接的網(wǎng)絡(luò)。

03雙面惡魔攻擊

無(wú)線網(wǎng)絡(luò)釣魚是指惡意分子創(chuàng)建模仿合法的網(wǎng)絡(luò)接入點(diǎn)，誘騙合法用戶連接。雙面惡魔是一種常見的用于Wi-Fi網(wǎng)絡(luò)釣魚的攻擊手法。它模仿成是合法的已授權(quán)接入點(diǎn)，并使用授權(quán)接入點(diǎn)的SSID來(lái)誘騙用戶連接上去。有時(shí)，攻擊者還會(huì)禁用授權(quán)接入點(diǎn)來(lái)破壞整個(gè)網(wǎng)絡(luò)。即使授權(quán)接入點(diǎn)沒有被禁用，雙面惡魔仍然能夠獲取一些有價(jià)值的網(wǎng)絡(luò)流量。

04欺騙攻擊

欺騙攻擊指攻擊者假裝是合法用戶或服務(wù)來(lái)進(jìn)行網(wǎng)絡(luò)訪問(wèn)或數(shù)據(jù)傳輸活動(dòng)。欺騙攻擊包括以下幾種類型：

MAC地址欺騙，主要發(fā)生在攻擊者檢測(cè)到授權(quán)設(shè)備上的網(wǎng)絡(luò)適配器MAC地址，企圖冒充授權(quán)設(shè)備建立新連接。

幀欺騙（又叫幀注入），發(fā)生在攻擊者發(fā)送看似來(lái)自合法發(fā)送者的惡意數(shù)據(jù)幀時(shí)。

IP欺騙，發(fā)生在攻擊者使用篡改過(guò)的IP數(shù)據(jù)包來(lái)隱藏?cái)?shù)據(jù)包的真實(shí)來(lái)源時(shí)。

數(shù)據(jù)重放，發(fā)生在攻擊者捕獲無(wú)線傳輸?shù)臄?shù)據(jù)，篡改傳輸內(nèi)容，并將篡改后的內(nèi)容重新傳輸給目標(biāo)系統(tǒng)時(shí)。

身份驗(yàn)證重放，發(fā)生在攻擊者捕獲用戶之間的身份驗(yàn)證交換內(nèi)容，并在攻擊中重新使用這些交換內(nèi)容時(shí)。

05加密破解攻擊

許多過(guò)時(shí)的無(wú)線網(wǎng)絡(luò)安全協(xié)議也會(huì)很容易受到攻擊，包括有線等效隱私（WEP）和Wi-Fi受保護(hù)訪問(wèn)（WPA）等，其中，2003年推出的WPA比WEP更有效。它使用比WEP更強(qiáng)大的加密和更好的身份驗(yàn)證。然而，WPA也容易受到攻擊，目前也不應(yīng)該繼續(xù)使用。后續(xù)推出的WPA2于2004年正式取代了WEP，它包含了AES加密技術(shù)。而2018年推出的WPA3則提供了比WPA2更強(qiáng)大的加密能力。

06MitM中間人攻擊

MitM攻擊是一種第三方冒充合法通信方的竊聽攻擊，主要發(fā)生在網(wǎng)絡(luò)犯罪分子竊聽兩個(gè)合法用戶（應(yīng)用）之間的通信內(nèi)容時(shí)，比如兩個(gè)用戶相互通信，或者一個(gè)用戶與應(yīng)用程序或服務(wù)進(jìn)行交互。攻擊者會(huì)將自己偽裝成是合法的用戶，從而攔截敏感信息并轉(zhuǎn)發(fā)信息。

07DoS攻擊

DoS攻擊可以阻止合法用戶正常連接到無(wú)線網(wǎng)絡(luò)，一般發(fā)生在惡意分子用大量流量阻塞網(wǎng)絡(luò)時(shí)，從而使網(wǎng)絡(luò)不堪重負(fù)，并使合法用戶無(wú)法正常訪問(wèn)。

08無(wú)線干擾攻擊

與DoS攻擊一樣，無(wú)線網(wǎng)絡(luò)干擾攻擊也會(huì)使網(wǎng)絡(luò)系統(tǒng)不堪重負(fù)，這樣很多合法用戶將無(wú)法連接到網(wǎng)絡(luò)。無(wú)線干擾攻擊的一個(gè)典型做法就是向某個(gè)網(wǎng)絡(luò)接入點(diǎn)發(fā)送大量流量，以“阻塞”其合法連接。

09無(wú)線搜尋攻擊

無(wú)線搜尋又叫接入點(diǎn)映射，不法分子帶著無(wú)線設(shè)備（通常是電腦或移動(dòng)設(shè)備）四處搜尋，查找那些可以自由連接的開放式無(wú)線網(wǎng)絡(luò)。很多企業(yè)的無(wú)線網(wǎng)絡(luò)由于疏忽等原因，未設(shè)置完善的安全措施，這樣就讓攻擊者可以趁虛而入。

10戰(zhàn)艦式攻擊

戰(zhàn)艦式攻擊指攻擊者蓄意向企業(yè)組織投寄針對(duì)無(wú)線網(wǎng)絡(luò)的物理監(jiān)視設(shè)備，這類設(shè)備一旦進(jìn)入企業(yè)組織內(nèi)部，就會(huì)自動(dòng)連接到目標(biāo)無(wú)線網(wǎng)絡(luò)，并采集外發(fā)敏感數(shù)據(jù)。這種攻擊需要特定的攻擊設(shè)備來(lái)配合，并且攻擊的目的性會(huì)非常明確。一旦設(shè)備進(jìn)入受害企業(yè)無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋范圍，就會(huì)伺機(jī)攻擊網(wǎng)絡(luò)。

11盜竊和篡改

攻擊者可以竊取或破壞無(wú)線接入點(diǎn)和路由器，從而對(duì)無(wú)線網(wǎng)絡(luò)發(fā)動(dòng)物理攻擊。這些攻擊不僅阻止用戶訪問(wèn)網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)運(yùn)行異常，從而導(dǎo)致業(yè)務(wù)中斷和收入損失，還會(huì)使受害企業(yè)蒙受無(wú)線網(wǎng)絡(luò)系統(tǒng)維修的經(jīng)濟(jì)損失。

12默認(rèn)密碼漏洞

企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)應(yīng)用是絕不應(yīng)該使用默認(rèn)密碼和SSID的，這將使攻擊者能夠輕易發(fā)現(xiàn)員工使用的路由器，進(jìn)而發(fā)現(xiàn)該路由器所含有的潛在威脅漏洞。默認(rèn)密碼和廠商提供的密碼常常記錄在消費(fèi)級(jí)路由器的使用說(shuō)明中，安全管理人員應(yīng)及時(shí)修改密碼，防止未經(jīng)授權(quán)的用戶看到和使用。無(wú)線網(wǎng)絡(luò)應(yīng)用應(yīng)該遵循密碼安全管理的最佳實(shí)踐，比如不要使用容易猜到的弱密碼、定期維護(hù)修改密碼。

無(wú)線網(wǎng)絡(luò)安全防護(hù)建議

企業(yè)組織可以按照以下建議加強(qiáng)無(wú)線網(wǎng)絡(luò)應(yīng)用的安全防護(hù)，其中基本性的安全措施包括：

1.如果接入點(diǎn)和客戶端設(shè)備能夠支持WPA3，請(qǐng)盡快使用這種最新的無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。WPA2仍然也是不錯(cuò)的選擇，但是WPA3可以提供的防護(hù)能力將更加可靠和完善。

2.為每個(gè)無(wú)線網(wǎng)絡(luò)接入點(diǎn)設(shè)置一個(gè)獨(dú)特的、難以猜到的強(qiáng)密碼。

3.確保所有網(wǎng)絡(luò)組件版本及時(shí)更新并合理配置，最大限度地減少可利用的漏洞。

4.盡量減少或禁止接入點(diǎn)的遠(yuǎn)程訪問(wèn)，始終將默認(rèn)接入點(diǎn)密碼改為獨(dú)特的、難以破解的密碼。這可以阻止隨意性的攻擊者通過(guò)互聯(lián)網(wǎng)連接到接入點(diǎn)，并輕松獲得控制權(quán)。

除了這些基礎(chǔ)無(wú)線安全措施外，有條件的企業(yè)組織還應(yīng)該為其無(wú)線網(wǎng)絡(luò)實(shí)施以下安全控制措施：

將無(wú)線網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)區(qū)分開。這常常可以使用防火墻、虛擬局域網(wǎng)或其他網(wǎng)絡(luò)邊界執(zhí)行技術(shù)來(lái)實(shí)現(xiàn)，同時(shí)執(zhí)行限制流量進(jìn)出的安全策略。

部署無(wú)線網(wǎng)絡(luò)特有的安全技術(shù)。這包括無(wú)線入侵防御系統(tǒng)（用于查找攻擊和可疑活動(dòng)）以及無(wú)線網(wǎng)絡(luò)安全控制器（用于管理和監(jiān)控整個(gè)企業(yè)的接入點(diǎn)）。

應(yīng)定期開展安全意識(shí)培訓(xùn)活動(dòng)，向員工宣講無(wú)線網(wǎng)絡(luò)攻擊和安全最佳實(shí)踐。建議員工避免使用開放網(wǎng)絡(luò)。