无线网络应用无处不在,企业组织是时候重视无线网络的应用安全了!虽然知道开放的无线网络并不安全,但很多企业和个人仍然非常依赖使用这种网络方式,甚至明知道会有被攻击的风险,但还是会连接。因此,企业安全团队必须尽最大努力保护无线网络,以保护使用它们的用户、设备和服务。做好防护的前提是让用户了解可能受到的无线网络攻击的主要类型以及应采取哪些适当的防护措施。无线网络攻击类型从攻击形式来看,无线网络攻击可分为被动攻击、主动攻击和针对网络组件的三大类:被动攻击一般发生在攻击者处于无线网络范围内,当可以监视无线通信的内容时,最常见的被动攻击是数据包嗅探。由于被动攻击者正在监听网络数据而不是传输数据,因此被动攻击通常无法检测到。主动攻击是指攻击者部署流氓无线接入点并诱使人们错误地连接到它。由于主动攻击可以拦截、监视和更改通信,因此它们通常用于执行中间人(MitM)攻击等活动。对网络组件的攻击是指攻击者通过攻击无线网络的组件(例如利用接入点未打补丁的固件或使用接入点的默认密码)来非法获得对无线网络的管理访问权。根据这三类,我们可以梳理出一些更具体的无线网络攻击形式,主要包括:01.数据包嗅探攻击数据包嗅探是指在无线网络中获取原始流量的行为。在日常的网络管理中,管理员需要使用Wireshark等数据包嗅探器来检测、监控、收集网络数据包,以了解网络系统的运行情况。这是一种合法的监控活动,但数据包嗅探器也可能被攻击者非法使用,非法获取网络流量。02.非法访问攻击非法访问攻击是指攻击者将任何未经授权的访问点连接到网络。如果攻击者成功地在企业的无线网络中放置了一个流氓接入点,网络上的应用程序和数据将不再安全,因为攻击者可以随时访问它所连接的网络。03.双面魔鬼攻击无线网络钓鱼是指恶意分子创建并模仿合法的网络接入点,诱使合法用户连接。双恶魔是Wi-Fi网络钓鱼中常用的攻击手段。它冒充合法的授权访问点并使用授权访问点的SSID来诱骗用户连接到它。有时,攻击者还会禁用授权接入点以危害整个网络。即使未禁用授权访问点,双面恶魔仍然能够捕获一些有价值的网络流量。04.欺骗攻击欺骗攻击是指攻击者冒充合法用户或服务进行网络访问或数据传输活动。欺骗攻击包括以下几种类型:MAC地址欺骗,主要发生在攻击者检测到授权设备上网卡的MAC地址,并试图以授权设备的身份建立新的连接时。当攻击者发送看似来自合法发件人的恶意数据帧时,就会发生帧欺骗,也称为帧注入。当攻击者使用篡改的IP数据包来隐藏数据包的真实来源时,就会发生IP欺骗。当攻击者捕获无线传输的数据,篡改传输并将篡改的内容重新传输到目标系统时,就会发生数据重放。身份验证重放,当攻击者捕获用户之间的身份验证交换并在攻击中重用这些交换时发生。05.加密破解攻击许多过时的无线网络安全协议也容易受到攻击,包括有线等效保密(WEP)和Wi-Fi保护访问(WPA),其中2003年推出的WPA比WEP更有效。它使用比WEP更强的加密和更好的身份验证。但是,WPA也容易受到攻击,此时不应使用。随后的WPA2于2004年正式取代WEP,其中包括AES加密。WPA3于2018年推出,提供比WPA2更强的加密能力。06.MitM中间人攻击MitM攻击是一种第三方伪装成合法通信方的窃听攻击。主要发生在网络犯罪分子窃听两个合法用户(应用程序)之间的通信内容时,例如两个用户相互通信,或者一个用户与应用程序或服务进行交互。攻击者会将自己伪装成合法用户,从而拦截敏感信息并转发信息。07.DoS攻击DoS攻击可以阻止合法用户正常连接无线网络。通常发生在恶意分子以大量流量阻塞网络,使网络不堪重负,合法用户无法正常访问时。08.无线干扰攻击与DoS攻击一样,无线网络干扰攻击也会使网络系统不堪重负,使许多合法用户无法连接到网络。无线干扰攻击的一个典型示例是用流量淹没网络接入点以“干扰”其合法连接。09.无线搜索攻击无线搜索也称为接入点映射。犯罪分子使用无线设备(通常是计算机或移动设备)四处搜索,寻找可以自由连接的开放无线网络。由于疏忽等原因,很多企业的无线网络没有设置完善的安全措施,这让攻击者有机可乘。10.战舰攻击战舰攻击是指攻击者故意向企业组织部署无线网络的物理监控设备。一旦此类设备进入企业组织,它们将自动连接到目标无线网络并收集传出的敏感数据。这种攻击需要特定攻击设备的配合,攻击的目的会很明确。一旦设备进入受害企业的无线网络信号范围内,就会伺机攻击网络。11.盗窃和篡改攻击者可以窃取或破坏无线接入点和路由器,对无线网络发起物理攻击。这些攻击不仅使用户无法访问网络,导致网络行为异常,造成业务中断和收入损失,还会使受害企业在维护无线网络系统时蒙受经济损失。12.默认密码漏洞企业级无线网络应用程序不应该使用默认密码和SSID。这将使攻击者很容易发现员工使用的路由器,进而发现路由器中包含的潜在威胁漏洞。消费级路由器的使用说明中,往往会记录默认密码和厂家提供的密码。安全管理人员应及时修改密码,防止未授权用户看到和使用。无线网络应用应遵循密码安全管理的最佳实践,例如不使用容易被猜到的弱密码,并定期维护和更改密码。无线网络安全防护建议企业组织可根据以下建议加强无线网络应用的安全防护,基本安全措施包括:1.如果接入点和客户端设备可以支持WPA3,请使用最新的无线网络作为尽快安全达标。WPA2仍然是一个不错的选择,但WPA3可以提供的保护将更加可靠和完整。2.为每个无线网络接入点设置一个独特的、难以猜到的强密码。3.确保所有网络组件都是最新的并正确配置,以最大限度地减少可利用的漏洞。4.尽量减少或禁用对接入点的远程访问,并始终将默认接入点密码更改为唯一的、难以破解的密码。这可以防止偶然的攻击者通过Internet连接到接入点并轻松获得控制权。除了这些基本的无线安全措施外,合格的企业组织还应该对其无线网络实施以下安全控制:将无线网络与其他网络系统分开。这通常可以通过使用防火墙、VLAN或其他网络边界实施技术来实现,同时实施限制流量进出的安全策略。部署无线网络独有的安全技术。这包括无线入侵防御系统(寻找攻击和可疑活动)和无线网络安全控制器(管理和监控整个企业的接入点)。应定期开展安全意识培训活动,让员工了解无线网络攻击和安全最佳实践。建议员工避免使用开放网络。
