现在Wi-Fi6时代已经悄然来临,为高密海量无线接入提供支撑平台,但Wi-Fi的安全性依然不能掉以轻心.事实上,Wi-Fi接入点(AP)、路由器和热点通常是高度暴露的攻击面。用户一不小心,就可能步入黑客设置的Wi-Fi陷阱,造成信息泄露或企业经济损失。谨防高仿“双胞胎”有研究机构预测,到2022年,将有120亿台设备联网,其中Wi-Fi连接将占很大一部分。例如,美国74%的Android移动设备流量是通过Wi-Fi传输的,在我国这一比例更高。庞大的用户基数直接导致了恶意Wi-Fi技术的不断更新。例如,真假难辨的“恶意孪生AP”被用于钓鱼。是的,AP也能玩“流氓”。除了上面常见的“恶意双胞胎AP”钓鱼技术外,还有一种流氓AP(RogueAP)。流氓AP是指未经网络管理员明确授权,通过企业内网以太网口私接入企业网络的AP、无线路由器等非法私接入设备。这种私接流氓AP的情况,往往是企业内部员工的违规操作。他们私下将RogueAP连接到授权网络,蓄意的黑客可以利用RogueAP绕过企业网络的边界保护。畅行无阻。为了防止这种情况的发生,企业Wi-Fi系统必须具备相应的反私连检测能力。一旦检测到流氓设备,就必须阻止流氓AP访问LAN并阻止Wi-Fi客户端与其关联,直到它被删除。“邻居王”AP也需要保护。在了解了恶意孪生AP和流氓AP之后,其实还有一种邻居AP(NeighborAP)会对企业网络构成威胁。顾名思义,邻居AP是指那些部署在公司附近的餐厅和咖啡店的外部AP。不应连接相邻的AP。当员工使用企业授权的移动客户端连接到这些咖啡店网络的相邻AP时,自然可以绕过公司防火墙设置的边界安全和安全限制,轻松将威胁带入企业内网。而这实际上根本不需要任何黑客技能。为了防止此类问题,企业必须能够自动对公司管理的授权客户端设备进行分类和验证,防止它们连接到其他外部SSID,IT网络管理定义的除外。AP的错误配置非常糟糕。如果说恶意攻击难以防范,那么应该尽量避免网络管理员不小心误配置AP的问题。例如,如果忘记为公司的Wi-Fi设置无线加密,任何人都可以通过开放的SSID进入,这显然有可能将敏感信息暴露给攻击者。这时候就需要AP设备具备基础设备策略提醒功能,对此类未加密的人为事故进行有效提醒,防患于未然。结语当今企业在专注于应对零日恶意漏洞和勒索软件等应用攻击的同时,也需要注意小型无线AP设备也可能造成大型威胁。因此,对企事业单位了解Wi-Fi安全,深化和教育员工、合作伙伴和客户非常重要。-Fi”。
