在企业的下一次会议召开之前,你的CEO也许正坐在咖啡厅里使用即时消息与他负责市场营销的副总裁谈话,同时还给财务总监发一封电子邮件询问有关下个月的财务结果。在咖啡厅的角落里,一个人坐在那里喝着咖啡,全神贯注地操作笔记本电脑。他不是在读新闻,而是阅读你的CEO的谈话。当他结束的时候,他将在你的CEO的笔记本电脑中安装一个木马程序。IT经理应该怎样做和做些什么来阻止这种事情发生呢?
Wi-Fi安全既是客户端的问题,也是服务器方面的问题。许多企业,特别是小企业,都没有对自己和网路加以保护。一个内部无线局域网是一种很好的提高生产效率的工具,像无线笔记本电脑一样。无线局域网创造了从漫游办公到无线IP电话的许多功能的潜力。但是,无线局域网也创造了许多严重安全漏洞。考虑到这种有针对性的攻击,这种威胁已经成为一种实际的威胁。据零售商TJX Group公司的报告称,这家零售商的网络上运行了几个月的恶意软件最初就是犯罪分子通过无线网络安装到这家公司的网络的。安全专家发表的一篇报告称,TJX公司认为,入侵者最初是通过在美国两家商店的无线局域网获得访问权。
即使一个公司自己的服务器有充分的保护措施足以应付攻击,允许任何人访问其无线网络将为犯罪分子入侵使用这家公司基础设施的其他用户系统提供机会。赛门铁克首席研究员Guy Bunker说,如果犯罪分子利用一家公司的网络发送垃圾邮件或者攻破其他人的计算机,这个网络的拥有者将陷入法律纠纷之中。这个事情将会让他头疼。许多这种事情都归结为声誉问题。这种问题不是你争辩你是否有错误的问题,而是你首先要防止这种事情发生。
与目前相比,早期保护无线局域网的选择措施是很有限的。WEP(无线等效协议)协议加密在空中传输的通讯,但我们不得不意识到这个协议是有漏洞的。WEP协议的概念并不坏,但协议的实施却导致这个协议出现漏洞。攻击者只需要让一台计算机运行几天开源软件无线网络嗅探软件就可以破解一个采用WEP协议的网络。
WEP协议被WPA(Wi-Fi保护接入)协议取代了,WPA是采用同一个概念的升级版本,但是,执行起来更有效。遗憾的是竞争性的标准化努力导致了不同缩写词的字母组合:WPA2、WPA PSK和WPA企业版。Potter说,这就导致了混乱。许多企业只好退回去使用WEP,尽管这个协议一直遭到反对。因此,许多加密的网络使用公开的软件就很容易破解。
如果使用正确,另一种称作“802.1x”的技术有助于进一步锁定网络。制定这个标准是为了把计算机的身份识别与计算机使用这个无线网络交换的数据的加密分开。一个802.1x网络要求一台计算机在加入这个网络之前对自己进行身份识别。这台计算机把自己的证书发送到接入点。这个接入点随后检查这个网络的身份识别服务器。如果这台计算机通过测试,就允许它进入这个网络。
安全研究人员表示,问题是许多公司没有正确地使用802.1x技术。这个技术应该在有线和无线基础设施上一起实施。否则,攻击者就有可能走进一个大楼在一个开放的以太网端口安装一个Wi-Fi接入点,使他们能够在隔壁的安全地方突破网络。大多数企业没有同时在有线和无线网络上安装802.1x设备。安全顾问公司Comsec Consulting的分析师Emma Leith称,我能够轻松绕过保安人员走进大楼安装一个假冒的接入点。
安全研究人员还介绍了一种更令人担心的情况:利用已经安装在企业网络上无线客户端设备。一般来说,笔记本电脑使用一种服务集标识符(SSID)连接到无线网络。播出“默认的”、“linksys”或者“T-Mobile”等通用的SSID通常能够让无线客户连接到你的网络。如果这些客户是在这个楼内并且连接到企业网络,这就提供了一种在空中感染这些客户设备的途径,或者利用这些客户设备攻破这些设备连接的企业网络其它部分。
安全咨询和入侵测试公司SecureTest的总经理Ken Munro称,如果公司内部设置错误的网络和无线客户端设备能够引起无线安全漏洞的话,在公共无线环境中错误地处理客户计算机可能造成更大的破坏。例如,用户经常容易犯的错误是在公共Wi-Fi网络登录到基于网络的服务。
许多网络邮件系统使用安全的、加密的SSL进程进行口令交换。然而,只要用户被允许访问这个网络服务,这个口令交换进程就会恢复到不加密的状态。一个雇员会通过网络邮件泄露敏感的信息,甚至把SMTP(简单邮件传输协议)电子邮件发送到在这个地区使用无线网络嗅探器的任何人。网络上有这种软件。
专门在Wi-Fi网络上做广告的公司JiWire负责市场营销的高级副总裁David Blumenfeld说,你不知道你是在Wi-Fi网络上被攻破的,还是在其它地方做交易时被攻破的。Wi-Fi网络破解已经成一种专家的活动变成了业余者的活动。有许多免费的嗅探软件可以用来侦察一个热点发送和接收的信息。这种软件不仅能够截获电子邮件,而且还能截获目前许多企业通讯使用的即时消息信息。
解决这个问题的方法之一是使用一个VPN(虚拟专用网)穿过无线网络。VPN能够在笔记本电脑和后台服务器之间建立一个安全的隧道。JiWire还为小企业提供一种没有自己的VPN设置的加密服务。这项服务加密Wi-Fi网络上服务器与客户机之间交换的信息,就像互联网上的代理服务器一样。其它缓解这个问题的技术还包括使用SSL加密的电子邮件服务和使用加密的企业版即时消息软件。但是,单独使用哪一种技术都不能阻止有人观察你的CEO在公共Wi-Fi热点上网的情况。
对无线网络客户机实施攻击的其它可能的方法还包括“evil twin”(双面恶魔攻击)。这种方法就是黑客使用自己的笔记本电脑和一些特别的软件建立一个假冒的Wi-Fi热点。在机场的用户看到这个假冒的SSID之后就与它连接,然后,攻击者就模仿那个用户访问其网络和文件系统。
Munro说,有些双面恶魔攻击甚至更有攻击性。一个攻击者发现一个公共Wi-Fi热点之后能够使用一种工具把无线用户从网络上踢出去,攻击者发送一个“解除关联”的数据包迫使用户断开连接。然而,攻击者使用自己的软件复制这个无线接入点,用自己的笔记本电脑假冒那个无线接入点。保证自己的笔记本电脑发出的信号比较强(也许坐在比接入点距受害人更近的地方),从而使受害者的电脑重新连接到攻击者的笔记本电脑。
除了使用VPN之外,防御这种攻击的主要方法是依靠常识。警告员工不要连接任何不明的Wi-Fi接入点,或者留心复制的SSID,这有助于减少这种攻击获得成功的可能性。审查你的公司范围内的Wi-Fi接入点,并且在有线和无线基础设施上都安装802.1x身份识别设备(或者至少监视连接到以太网端口的设备)将有助于避开假冒的接入点的问题。使用强大的口令或者口令短语将减少加密的网络被破解的机会。
在公司认为有必要运行一个公共Wi-Fi系统的地方,如为来访者或者承包商提供这种网络,必须要把这个公共Wi-Fi网络放在与企业主要网络完全隔离开的地方。那个网络上的通讯流量分析硬件要阻止可疑的通讯,阻止为SMTP电子邮件服务的端口发送大量的数据,这些措施有助于阻止有人把这个网络用于恶意目的。
在设计中应用一些安全常识和最佳做法之后,无线网络对于一家公司来说是非常有用的。如果做错了,这家公司就会发现其数据泄漏了。在这种情况下,安全专业人员和用户的意见是一样的。