RSA安全报告-伦敦无线安全调查报告 - 图文

WEP 先进的 无

加密细分图——伦敦的家庭网络

WEP 先进的 无

加密细分图——伦敦的商业网络

在前一页的巴黎家庭和商业接入点两个详细细分图中，个人用户似乎处于领先的位置：在每个组中使用先进加密技术的比例相似，只有10%家庭网络根本没有使用任何加密技术，而商业网络则为让人惊讶的20%。 热点

无线热点在所有三个城市正变得愈来愈普遍。在2007年的调查中，我们在围绕巴黎的路线上检测到了93个，今年我们沿着相同的路线检测到了283个热点，增加了304％。

在巴黎的所有无线接入点中，热点占6％。巴黎的这个数字落后于纽约——在那里15％的接入点是公用的——但略高于伦敦，其百分比为5％。

热点通常会广播一个可识别的ESSID来广播它的存在，ESSID往往是热点所处位置的设施名称，或非常熟悉的供应商名称（寻找含有“Free”、“Guest”、“Hotel”、“Cafeteria”等的ESSID）。在相应位置会有明显的标记提醒客户存在着热点，在许多情况下是告诉你如何连接的传单。 一般来说，如果要求客户系统必须是加密密钥或证书的一方，正在使用的就不会是WEP或WPA。最后，同时支持DHCP（动态主机配置协议）和浏览器重定向，这样用户的系统应该会分配到一个IP地址，一旦完成后，热点的网页会出现。这个网页将包含如何购买接入的细节，或在已购买接入的情况下如果进行登录。

通常，只有在用户连接到热点的主页并进行注册或登陆后，才可以接入到服务中。然而，攻击者经常可以利用拒绝服务攻击来断开合法用户的连接，并通过欺骗MAC和IP地址来取代他或她的位置。这给网上身份伪装和隐藏提供了一个很好的途径。

热点可以以许多种方式对使用无线网络的企业造成严重的威胁。最初，他们负责更多的人搜索可接入的网络；不同于前几年的调查，今天如果你有无线局域网，它很可能被发现和使用。 其次——更多地集中于热点的移动商务用户——目前在网络层并没有正式承认热点所有者，也没有真正表明其合法性。该行业缺乏一种方法，用以确定某一特定热点属于持牌或注册的热点供应商。考虑到信息可以简单地通过在有效接入点附近安装非法热点（非法接入点被设计成与真正热点非常的相像，用来从用户处捕获重要的私人信息）的方式进行收集，这个风险必须予以高度重视。 非法热点

非法热点是一个看起来非常像真正热点的临时无线接入点，它用来捕获无意中登录该热点的用户的重要安全信息。非法热点能有效地利用客户端设备中使用的网络发现算法的安全漏洞，并提供各种假冒的强制门户网站，发起对客户端（通常是网页浏览器）的攻击。

对非法热点存在数量的估计及其困难——他们存在的时间相对较短，以防止被检测到，并且非常容易实施。同时没有必要对非法热点进行维护，因为它们总是非常快速地窃取有价值的信息。 最近证明，在笔记本电脑上建立一个测试系统用来模拟常见热点是可行的。在私有测试中，设备连接到了测试的“非法”热点，而不是真正的热点上，这是因为非法热点和真正热点之间无法进行有效地识别。这些假冒的热点甚至可以处理信用卡资料，并允许接入互联网。这个简单的配置可能会成为下一个身份盗窃的罪魁祸首，因为它比目前的钓鱼攻击具有更大的能力——并能得出

更准确的结果。使用类似的系统对身份进行盗用是可行的。 III．总结

可以非常有把握地说，无线技术已经在全球的大多数城市中被广泛采用和接受。在这7年中，这项调查见证了安全的波动和发展趋势：我们看到了许多新的安全问题提出，解决和取代。 与往常一样，在每个调查中似乎总会出现一个新的重大威胁或发展，我们现在所面临的主要安全问题就是，用户似乎在以下两个方面对安全性存在着误区： 1. 2.

认为不管什么类型的加密技术都是有效的 人们认为先进的加密技术是无懈可击的

不管采用任何手段，WEP都是不安全的，如果要用来提供高等级的安全，在SOHO和企业中配置的WPA1和WPA2必须适当地进行设置和维护。

现在网络媒体更加的安全了，重点转移到了客户端系统以及如何可以“轻松”地破坏他们。客户端的破坏可能会导致更多的对企业环境的侧面攻击，因为它更难检测；它可以执行更长的时间；通常，它拥有更多的“许可”以在目标网络中流窜，因为它是做为一个授权用户接入到网络中的！大多数发起的客户端侧攻击都使用特别配置的非法接入点来吸引，连接并利用易受攻击的客户端设备。这种可利用的漏洞包括接入点搜索算法，薄弱的客户端设备安全设置，甚至是无线客户端设备驱动程序中缓冲区和输入验证漏洞。

客户端攻击的许多对策都是管理上的，而不是技术上的，需要政策和执行方面大量的工作，例如，客户主机只能连接到高度安全的网络，并且它们的无线配置文件也要定期清理。还必须辅之以部署分布式无线入侵检测系统/入侵防御系统对无限频道进行监控以发现恶意接入点，并确保客户端设备的驱动程序进行了完整地更新并打上了补丁。旧的格言——“纵深防御”或“层次化的安全”——以往任何时候都更加重要。使用某种类型双因素强认证的客户端VPN（所有无保护VPN流量都被禁止）应该能够反击许多针对客户端的攻击。

我们已经拉起了吊桥，并控制了城堡的塔楼，但我们却留下骑兵飞速奔向堡垒，这在一定程度上有点暴露，而我们却坐在里面感觉安全！与此同时，该骑兵通常还有主要大门的钥匙。

附录A 建议WLAN安全政策

此无线局域网安全策略取自行业最佳实践和信息安全常识。

- -

连接到公司网络的所有无线接入点/基站都应当经过计算机安全部门的批准

所有在公司笔记本电脑或台式电脑中使用的无线客户端设备都必须在计算机安全小组注册，在可以接入的地方对接入点使用MAC地址控制

- -

丢失或被盗支持无线上网的电脑应当立即报告

所有无线局域网的接入都必须使用公司认可的供应商产品和安全配置

必须使用WPA企业以保护公司的网络。小型公司可以使用WPA SOHO，但必须定期生成和更改强共享密钥。用WEP保护无线连接必须明确禁止。

-

- 如果要使用强密码保护的客户端主机证书，那么EAP-TLS是最安全的EAP类型，它可以作为基于WPA企业的防御计划的一部分。您需要部署行业级的认证机构（CA）以有效地创建、分发和管理这些证书。同时，还需要配置终端主机以验证证书，并只连接到批准的认证服务器。

- 不要使用EAP-FAST的EAP-MD5、EAP-LEAP和“匿名模式”。用EAP-PEAP和EAP-TTLS使用MS-CHAPv2强密码。

- 在高度安全的环境中，所有具有无线LAN设备的计算机都应利用公司批准的虚拟专用网络（V PN）在无线连接上进行通信。除了基于WPA的防御措施，虚拟专用网还将对用户身份进行认证，并加密所有的网络流量。终端主机必须配置成不能在不受VPN保护的连接上发送流量，从而消除许多无线客户端侧攻击的风险。

- 如果使用了VPN，必须部署无线接入点以使所有的无线流量在进入公司网络之前都通过VPN设备进行了定向。VPN设备必须配置成丢弃所有未通过认证和未加密的流量

- -

无线扩展服务集标识符（ESSID）应当是不明确的，并由安全部门定义

-建筑物周边（如靠近外墙或顶楼）的接入点/基站的发送功率应当调低。另外，这些区域内的无线系统可以使用定向天线以控制信号的发射。

- 应当定期审查无线环境。这特别适用于那些不使用无线并希望保持这种环境的公司。对该区域进行监控，以发现未经授权的接入点和客户端设备（包括特设节点），无线入侵企图和拒绝服务（DoS）攻击。

- 确保所有的移动用户都受过使用公共无线局域网（热点）的相关教育，特别是连接非法热