無線網絡安全威脅無處不在
無線網絡已經進入了普及化階段,從此而來就出現了無線網絡安全問題,它并不是一個獨立的問題,并且許多威脅是無線網絡所獨有的,下面我們來介紹一下:
插入攻擊:插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同,這是很危險的。
漫游攻擊:攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為"wardriving" ;走在大街上或通過企業網站執行同樣的任務,這稱為"warwalking".
竊取資源:有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
無線劫持:正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
攔截數據:網絡黑客通過Wi-Fi進行數據截取的現象已經日益普遍。不過幸運的是,目前所有支持Wi-Fi認證的產品均支持AES-CCMP數據加密協議,但仍然存在一些早期推出的產品被用戶使用,這些產品僅僅支持TKIP,而TKIP由于存在安全漏洞,很容易被網絡黑客進行信號盜取。因此,使用者應當盡快升級至AES-CCMP.
服務拒絕:無線局域網很容易遭受DoS攻擊,不過利好消息同樣存在,隨著越來越多的用戶開始使用802.11n標準,他們開始使用并不擁擠的5 GHz頻段,從而減少了DOS的發生。即使是這樣,仍然有一些DOS攻擊現象存在。目前,最新推出的產品已經開始支持802.11w這一管理機制,很好的避免了這一現象的發生。
非法接入:一些存在僥幸心理的網絡用戶往往會利用未經授權的接入點進行網絡接入,這是非常危險的。幸運的是,大部分企業都會對接入點設置進行掃描,從而避免了非法接入點的出現。對于個人用戶來說,應當采取追蹤、攔截等措施去阻止非法接入點的使用。
無線入侵:對于這一問題,AirMagnet企業版8.5.1能夠主動防御WLAN非法設備入侵和其他攻擊的多層自動防御系統。使用者可以預先設定策略,通過多種方式自動記錄如物理位置、Mac地址、硬件廠商、信道、SSID、802.11(a/b/g/n)等信息。非法設備和安全威脅能夠被追蹤并通過無線鎖定,或者鎖定交換機端口。您也可以在平面圖上看到非法設備準確的物理位置已確定您所處無線環境內的所有可能存在的安全威脅。
錯誤配置:大多數企業WLAN是集中管理,并且使用定期更新設置,以減少總體成本,提高可靠性,并降低風險。但802.11n相對增加了一系列復雜的配置選項,同時,優先級事項和multi-media進一步復雜化配置。對于個人用戶來說,應當采用集中管理的方式,盡可能減少操作錯誤。
偽裝接入:802.11a/b/g和802.11n AP能夠使用802.1X在拒絕陌生接入的同時連接認證用戶。然而802.11n仍不能阻止入侵者發送偽造的管理幀,這是一種斷開合法用戶或偽裝成"evil twin"APS的攻擊方式。新的802.11n網絡必須對無線攻擊保持警惕性。很小的WLANs仍然用周期性的掃描來探測欺詐APS,同時商業WLAN應該使用完整的無線入侵防御體系來阻止欺詐、意外連接、未授權的ad hocs和其他Wi-Fi攻擊。
設備缺陷:例如,網件公司(Netgear)型號為WN802T的無線接入點(AP)的早期版本不能正確解析長度為零(null)的SSID(WVE-2008-0010)。還有,Atheros公司用在新的802.11n無線接入點設備(如Linksys公司的WRT350N)上的驅動程序不能正確地處理某些管理幀信息單元(WVE-2008-0008)。這類的漏洞并不罕見;WLAN的管理人員只需要保持對安全公告的關注,并及時更新固件和驅動。
全新架構:其中的一個架構被發現是具有可開發性的。使802.11n用模塊確認確保幾個數據幀的收到,為流媒體應用提供了有效支持。Dos攻擊可以通過發送偽造的模塊確認到接收器(WVE-2008-0006)破壞802.11nWLAN.一個802.11n WIPS可以檢測到攻擊,但避免攻擊的唯一方法是停止使用Add Block-ACK (ADDBA)功能。
欺詐接入:所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開公司已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
惡性攻擊:這種攻擊有時也被稱為"無線釣魚",雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
