信息來源:51cto
如今Wi-Fi 6時代悄然到來����,為高密海量無線接入提供了“以一當十”的支撐平臺���,不過對于Wi-Fi的安全卻依舊不能掉以輕心。實際上,Wi-Fi接入點(AP)�����、路由器和熱點常常是高度暴露的攻擊面�����。用戶一不小心就有可能踏進攻擊者設(shè)置的Wi-Fi陷阱���,為企業(yè)造成信息泄露或經(jīng)濟損失���。
小心高仿“雙胞胎”
有調(diào)研機構(gòu)預(yù)測,到2022年將有120億臺設(shè)備連接到互聯(lián)網(wǎng)�,其中通過Wi-Fi的連接將占到較大一部分。比如現(xiàn)在美國有74%的Android移動設(shè)備流量是通過Wi-Fi傳輸?shù)?��,而這個比例在我國則更高�����。
龐大用戶群直接導(dǎo)致了惡意Wi-Fi攻擊的手法不斷翻新��。例如�����,讓人難分真假的“惡意雙胞胎AP”來釣魚���。使用此種手法的攻擊AP,往往在SSID(網(wǎng)絡(luò)名稱)上做手腳��,其會采用模仿合法AP的SSID����,設(shè)置一個高仿SSID,就像下圖所示一樣���。一旦用戶沒注意連到假冒的惡意AP上�,攻擊者就可以發(fā)動中間人(MitM)攻擊進而攔截流量�,竊取證書,將惡意代碼注入受害者瀏覽器�,甚至可把受害者重定向到惡意網(wǎng)站等操作。
對����,AP也能耍“流氓”
除了上面常見的“惡意雙胞胎AP”釣魚手法��,還有一種被稱為流氓AP(Rogue AP)的存在。流氓AP是指那些未經(jīng)網(wǎng)管明確授權(quán)����,卻私自通過企業(yè)內(nèi)網(wǎng)的以太網(wǎng)口連接進企業(yè)網(wǎng)絡(luò)的AP、無線路由等非法私接設(shè)備��。
私接的流氓AP
出現(xiàn)此種情況常常是企業(yè)內(nèi)部員工的違規(guī)操作�����,私自將Rogue AP連接到授權(quán)網(wǎng)絡(luò)上�����,而有心的攻擊者則正可通過Rogue AP繞過企業(yè)網(wǎng)絡(luò)的邊界防護�����,在內(nèi)網(wǎng)中暢行無阻����。為了防止此種情況出現(xiàn),企業(yè)Wi-Fi系統(tǒng)必須具備相應(yīng)的防私接檢測能力�。一旦偵測到私接設(shè)備,要能夠阻止Rogue AP獲得對LAN的訪問�,同時阻斷Wi-Fi客戶端與其關(guān)聯(lián)�,直至將之移除掉才行�����。
“隔壁老王”的AP也得防
在了解了惡意雙胞胎AP�、流氓AP攻擊后,實際還有一種鄰居AP(Neighbor AP)會給企業(yè)網(wǎng)絡(luò)帶來威脅����。顧名思義�,鄰居AP就是指那些在公司旁的餐館、咖啡店內(nèi)部署的外部AP����。
鄰居AP不要連
當員工使用企業(yè)授權(quán)過的移動客戶端連接到這些咖啡店網(wǎng)絡(luò)的鄰居AP時,自然能夠繞過公司防火墻設(shè)置的邊界安全和安全限制�����,將威脅輕松帶進企業(yè)內(nèi)網(wǎng)����。而這實際上是根本不需要什么黑客技巧的。而為了防止此種問題出現(xiàn)����,企業(yè)必須能夠自動對公司管理的授權(quán)客戶端設(shè)備進行分類認證�����,阻止其連到其他外部SSID上��,除非那些IT網(wǎng)管定義過的����。
AP配置錯誤太恐怖
如果說惡意攻擊防不勝防的話���,那么網(wǎng)管不小心將AP配置錯誤這種問題則應(yīng)該盡量地避免了��。比如忘給公司W(wǎng)i-Fi設(shè)置無線加密���,任何人都能通過開放SSID進入,顯然可能會將敏感信息暴露給攻擊者�����。
這時就需要AP設(shè)備具備基本的設(shè)備策略提醒���,對此類未加密的人為事故進行有效提示�����,來防范于未然��。
結(jié)語
當現(xiàn)在的企業(yè)都專注于應(yīng)對零日惡意漏洞和勒索軟件等應(yīng)用程序攻擊之時�,也需要注意到小小的無線AP設(shè)備同樣能夠引發(fā)大的攻擊威脅。因此對于企事業(yè)單位來說���,了解Wi-Fi安全性�,加深并教育員工�����、合作伙伴和客戶認知度就變得相當重要���,同時希望每家企業(yè)都能夠擁有可抵御上述威脅的“可信Wi-Fi”。
