BYOD時代來臨,在互聯互通的世界里,企業WLAN(無線局域網)面臨著員工終端設備接入的不確定性,讓企業信息安全在無線網絡中時刻有被侵襲的威脅。而伴隨首屆國家網絡安全宣傳周的到來,企業WLAN的安全問題再次引發網絡運維人員的廣泛關注。那么,在部署了一些網絡安全設備之后,企業的WLAN就會受到保護,變得更加安全了嗎?在無線安全方面,是否存在認識誤區呢?下面一起來了解下。
強大的認證與加密能全面防護?
通過了解不難發現,單單依靠網絡安全設備,并不能完全解決企業的WLAN安全問題。而憑借強大的認證與加密,雖然在大部分情況下,能夠為WLAN的安全性進行升級。但如果無線管理員過度依賴加密,則有可能陷入麻煩之中。
其中,使用WPA2與PEAP(受保護的EAP)加密與認證是一個明顯的例子。使用WPA2-PEAP時,可基于802.1x(活動目錄或Radius)協議進行認證,安全性按理說是較高的。可是,如果管理員配置了無線設備,例如員工筆記本電腦、平板電腦或者智能手機,但并未驗證證書的話,這時就會造成明顯的安全漏洞了。
因為,黑客可以使用被稱為FreeRadius-WPE的工具,或者更新版的Hostapd-WPE,來創建無線蜜罐,散播與公司WPA2-PEAP設置相同的SSID。隨后,攻擊者對該信息進行離線破解。而如果使用了MSCHAPv2,黑客則更可能會獲得用戶名與密碼。此外,EAP-TTLS與EAP-FAST還容易受到此類偽裝攻擊的影響。所以,雖然強大的加密與認證是無線安全的關鍵部分,但對于WLAN安全還需采取分層防護的措施,同時提高員工的防范意識。
有MAC地址過濾能萬無一失?
有人會認為,使用MAC(介質訪問控制)地址過濾呢?任何一種可用的無線解決方案都會提供MAC地址過濾功能。那么開啟這個功能,只有經過許可的MAC地址才能連接到企業WLAN,是不是就能保證無線網絡的安全了呢?
(企業級無線路由器)MAC地址過濾界面
雖然這聽起來可能是一種有效的安全方法,但實際上卻并非如此。對于黑客而言,在幾乎任意一種操作系統中欺騙MAC地址都出人意料地簡單。黑客可將欺騙的MAC地址用于多類攻擊,包括WEP (有線等效保密) 回放、解除認證、解除關聯以及偽裝攻擊(設備可搭載通過客戶認證的訪客網絡進行攻擊)。
無線漏洞只有專業黑客才能利用么?
很不幸這已經是多年之前的情況了,現在發起黑客攻擊的門檻很低,黑客工具可以輕易獲取,使用也更加簡便。
潛在黑客無需再考慮使用與Linux操作系統兼容與否的源代碼黑客工具編寫代碼;他們現在可以選擇各種Linux軟件,這些軟件預裝了黑客所需的、即開即用的全部安全/黑客工具。這些軟件一般都是小型操作系統,黑客可以將其安裝于筆記本電腦、便攜式USB或者虛擬機上。更糟糕的是,互聯網上充斥著大量黑客的指南與教程以及詳細步驟說明。
無線黑客攻擊需要昂貴和專業設備?
黑客使用的工具很貴嗎?通常都不貴。無線黑客完成攻擊所需要的主要工具包括現成的無線適配器、云存儲軟件、記憶棒、基本指令和一臺筆記本電腦。
除了筆記本電腦之外,所有這些物品的成本不超過100美元(約600人民幣)。另外,網上購物讓上述設備的購買變得前所未有的簡便,他們僅需花費99美元(約600人民幣)就能在線購得WiFi Pineapple,而其他所有工具的售價不超過50美元(約300人民幣)。
老舊的攻擊方法不再有效?
今天的無線網絡可以防范之前老舊的攻擊手段么?實際上,大部分老套的無線攻擊在今天仍然活躍且具有關聯性。無論是“解除認證”與“蜜罐”攻擊,還是Karma與Radius偽裝攻擊(802.1x蜜罐)都非常活躍而且有效。
雖然這些攻擊方法已存在多年,但在通過無線基礎設施瞄準無線設備時仍然有效。而大部分Wi-Fi用戶只因為沒有看到關于新攻擊方式的新聞報道而對無線安全掉以輕心,可是大大不妙。同時,無線管理員應始終保持警惕,嚴密監控任何老式或新型無線攻擊。
綜上可見,對于企業WLAN安全的誤區以及對網絡安全防護的錯誤認識,和攻擊本身一樣充滿危險。隨著現代科技與連通性的不斷發展,對于企業WLAN的認知和防護也必須時俱進,積極查找出無線安全威脅及潛在漏洞。在新威脅、漏洞不斷曝出的今天,其重要性也更加凸顯。
京公網安備 11010502049343號