自從WPA2曝出協議漏洞后,Wi-Fi安全再度成為焦點,不過無線加密協議的更新并不能確保企業WLAN的全面安全。實際上,如果能了解駭客攻擊企業無線網絡的慣用招式,進而將之封堵,才會做到事半功倍。
訪客網易被忽略成跳板
對于訪客Wi-Fi,很多人并不陌生。它是是一種專門為到訪者開放的Wi-Fi模式,甚至在家用無線路由器的功能界面中都能找到。不過由于訪客Wi-Fi功能生來僅是為了方便無線設備的連接,并不具備天然的安全屬性,因此有安全專家證實訪客Wi-Fi模式存在安全隱患,容易受到惡意攻擊進而導致數據泄漏。
而從駭客的角度來看,一些企業自以為通過訪客Wi-Fi正確配置了訪問控制,但實際上這樣的操作不僅為訪客提供了Wi-Fi連網的能力,也可能開放了一些企業內網的訪問權限,成為可以入侵企業核心數據的跳板。
利用虛假證書展開身份欺詐
現在大多數企業級WLAN都在使用WPA2-Enterprise進行最終用戶身份驗證,然而當WPA2的邏輯缺陷被公開后,其安全性還是受到了不小的質疑。而通過這種邏輯缺陷,一些駭客還找到利用虛假證書展開身份欺詐的攻擊法門,他們往往會偽造一套假的終端設備證書去試探接入企業WLAN。
因此,如何阻止非法外接設備借助假的客戶端證書進行偽裝,就成為企業WLAN的防護難點。這時就有必要采用多層次的身份驗證方式,比如將客戶端的mac標識與EAP-TLS身份驗證機制相結合等等,進一步強化終端設備的識別與驗證。
老舊預共享密鑰是目標
WPA2可分為兩種加密形式,其中一種是WPA2-Enterprise,利用IEEE802.1X對分配了用戶名和密碼的無線終端進行身份驗證。另一種則是WPA2-Personal,是使用預共享密鑰(PSK)對用戶或設備進行身份驗證。而大量中小企業由于仍在采用傳統AP,甚至家用級無線路由器,無意中會使用到WPA2-Personal加密,但這種模式下是需要定期變換PSK的,不然便會成為駭客的攻擊目標。
在駭客眼中,這些PSK普遍都是成年累月一直用,并不會被更換掉。隨著時間的推移,要掌握這些一成不變的PSK就相當簡單。而駭客攻擊PSK所需的時間在很大程度上取決于所用密碼的復雜性。PSK越長,越隨機,破解的時間就越長。
社會工程學屢試不爽
當我們在討論無線加密安全性的時候,很多駭客已坦承對企業WLAN安全的最大威脅往往并不是技術上的。相反,最大的風險是那些負責構建WLAN的配置人員或后續的管理人員。即便你企業WLAN再固若金湯,一旦通過社會工程學獲得相關人員的信任,掌握到企業WLAN密碼或權限,一切防護便成為浮云。
而對于駭客來說,毫無技術可言的社會工程學卻常常屢試不爽。這時,如果能對企業WLAN進行實時配置、監控、審計以及其他流程的實時把握,才能最終確保WLAN的安全性。
結語
所謂知己知彼,方能百戰不殆。當我們了解到駭客攻擊企業WLAN必用招式后,怎樣有效利用一系列安全工具去掃描無線環境并檢測安全異常,顯然應成為企業WLAN防護的日常操作。
