今年315晚会上一个有关黑Wi-Fi陷阱的演示,让人们最为直观的认识到了无线安全问题的严峻性。当人们的手机型号系统、朋友圈分享的自拍照片、电子邮箱密码,甚至是个人网银账号都显示在现场演示大屏幕上时,震惊!而这一切都源自于现场的诱饵Wi-Fi。
这是怎么回事儿?人们的信息是如何泄露的?不安全的无线Wi-Fi都能造成哪些危害?有些人认为,无线安全问题主要在于移动终端上,与无线Wi-Fi并无多大关联。可如果这是一个假冒的“黑Wi-Fi”那么问题就来了。无线Wi-Fi信号是移动终端和服务端进行数据交互的通道,一旦用于数据传输的无线Wi-Fi信号被假冒顶替,那就意味着传输通道里的所有数据实际上都暴露在了诱饵“黑Wi-Fi”的设置者面前,如果这些数据没有被加密或者加密简单,那就只能用“欲取欲求”来形容这些数据所可能面临的悲惨遭遇了。
中国最大的互联网安全公司360下属的360UnicornTeam自主研发了一套完全独立的无线入侵防御系统“360天巡”,通过无线热点传感器发现并监控区域内的所有无线热点,帮助企业解决无线网络的边界安全问题。
令人堪忧的移动世界安全
细说起来,移动世界里从智能移动终端、无线信号到服务器端都存在着各类安全问题。在移动互联网快速发展起来之前,无线网络大多仅在有限区域内使用,比如在企业有线网络的基础上搭建的无线网络,最终数据还是要通过有线网络传输到服务器端。由于有线网络已经搭建起成熟的安全防御体系,所以无线网络往往不会采取任何安全防护措施,加之传统网络边界被打破,种种因素使得无线网络的安全防护极度脆弱,甚至是无从下手。
移动终端的操作系统许多都是安卓,而安卓系统的开放性,使其在安全方面很薄弱。即便是安全性较高的苹果iOS操作系统,由于“越狱”行为的大量存在,也被从外界突破了安全防线。至于运行在移动终端里的各类APP应用的安全性就更无从谈起了,漏洞、输入法劫持、二次打包……应用的安全问题在愈发凸显。随着越来越多的数据存储在云端,云中数据的安全问题也在成为人们关注的焦点。但唯独对于无线Wi-Fi的安全问题却总是被人们所忽视。
无线Wi-Fi惊人的安全隐患
无线网络大多基于802.11标准,而802.11标准在保证易用性的同时,在安全方面却存在诸多隐患。比如,DSSS安全缺陷使得无线电信号容易被截取解析,而自从2001年7月WEP中的RC4加密技术被破解后,即便是采用128位密钥的WEP也会被专业黑客在2、3个小时内破解,还有ESSID安全缺陷、共享密钥认证安全缺陷、访问控制列表安全缺陷、密钥管理安全缺陷等等。看,无线Wi-Fi的背后存在着如此之多的安全隐患,而恶意攻击者们正在利用这些安全缺陷设计、发起各类攻击。
在公共场所里,许多貌似免费、没有接入密码的Wi-Fi信号恰恰是黑客所伪造的钓鱼黑Wi-Fi。而且这些黑Wi-Fi还大多会伪装成运营商的无线网络连接ID名称,例如“ChinaUnicom001”。一旦接入,那么用户传输的所有数据信息都会暴露在恶意攻击者面前。
而企业的有线网络虽然已经采取了严密的安全防护措施,但那些没有设置密码的企业无线Wi-Fi使得恶意攻击者无需物理接触,就可以藉此轻松渗透进入企业内部网络。而员工所私建的无线热点,则相当于在企业内部网络上开了一个大口子,恶意攻击者可以借用这些无线热点作为攻击企业内网的跳板。实际上,企业在无线热点的建立大多还存在着“无序”的问题,这也为无线安全管理增加了难度。
抓住“黑Wi-Fi”给无线热点套上缰绳
一些对安全性要求高的企业用户已经在考虑如何解决无线安全问题、移动安全问题。比如对移动设备进行管理,对移动应用进行管理,对移动应用进行安全加固,对接入无线网络的人员进行身份认证、权限设置等等。不过能够对无线信号、无线热点进行安全管理的产品还是不多。
目前对无线网络的安全解决方法主要是在企业级AP中增加WIPS模块,由于这类解决方案通常采用混杂模式网卡,在对异常无线热点做阻断操作时企业无法进行正常业务,这就使得无线网络安全防护在实时性和效率上大打折扣。而且由于其往往需要控制经过网关的所有流量,对于数据保密性要求很高的用户就不大适用了。
360天巡由中控服务器、APP管理端、Windows准入客户端和无线热点传感器组成,属于软硬件相结合的综合性解决方案。其采用B/S架构,能够根据企业规模和部署要求,配置相应性能的天巡服务器和相应数量的传感器,无线热点传感器可以被分布式的部署在企业办公环境中,而每个传感器在空旷环境下的物理空间覆盖范围可达300平米。
在这套解决方案里,无线热点传感器能够监听其覆盖范围内的无线数据包,并将其发送至中控服务器进行分析,中控服务器负责对接收到的无线数据包进行入侵检测、入侵者定位、安全等级评估和攻击告警等操作,管理员则可以通过Web管理平台了解企业内部无线网络的实时拓扑、运行状态、安全和风险级别等信息,进而发现私建热点、伪造热点等无线攻击行为,最终定位、阻断可疑热点,抓到“黑Wi-Fi”,为无线网络环境建立起第一道安全防护网。
360天巡内置的热点白名单,可以使得管理人员快速发现违规和伪造热点。而根据360UnicornTeam团队自身无线攻防经验制定的无线攻击指纹库,能够实现对无线攻击行为的快速识别,进而根据预设方案实施阻断。360天巡设备本身不具备无线上网功能,且独立于企业内网,这意味着用户无需对其现有网络系统进行过多调整。
解决无线安全问题,从无线网络入口——无线Wi-Fi着手,能够有效剔除“黑Wi-Fi”,建立起抵御恶意无线攻击的第一道防线。
