2009年11月10日 星期二

[專題] 無線網路入侵手法與防禦對策分析

隨著無線網路設備成本的降低以及相關無線應用服務的普及,許多企業都紛紛建置無線網路系統,藉由無線網路相互連結的方便性與行動優勢,來提升企業員工的工作效率。不過,也因為使用上的方便所造成的疏忽,加上先天上存在的一些弱點,使得無線網路容易被惡意駭客所利用,而產生了危害資訊安全的問題。

根據CSI/FBI 2005 Computer Crime and Security Survey的統計,在病毒、非法存取資訊、詐騙、偷竊等所有電腦犯罪行為中,無線網路的威脅傷害,是唯一每年都在持續增加的。而Gartner的研究也指出,在2006年仍有8成企業的無線網路系統,存在易受駭客入侵的弱點,這種未受安全防護的無線網路,等於是為駭客大開了一個方便之門,使企業花費大量金錢所投資建置的防火牆、入侵偵測系統和VPN等安全設備,完全處於無用武之地。

所以,若是啟用了一個沒有安全防護的無線網路,將會嚴重危害到整個企業的網路傳輸、資訊安全與營運持續狀態。

企業無線網路面臨的資安風險

過去,當無線網路一開始發展時,企業通常只會在特定的區域,像是在會議室、小型辦公室等地設置無線網路基地台,透過人工方式來管理設定一到數個無線網路設備,這其實是相當容易的,而且只要藉由IT人員設定好網路連線認證機制,僅允許已通過申請驗證的使用者才能使用無線網路,即可解決大部份無線網路的管理問題。如今,隨著無線網路擴充至整個企業,甚至是開放的公共空間來使用,面對這些數十到數百的無線網路基地台及連線設備,在安全管理上就會形成一個重大的問題,一不小心,很容易就會造成危害資訊安全的事件。

對企業而言,面對駭客日新月異的入侵攻擊手法,資訊安全所面臨的挑戰,已經不只侷限在如何管理合法的連線上,而是必須針對包括無線溢波問題、無線設備管制、惡意連線、意外連線、阻斷攻擊等問題,都需要一套有效的管理機制,才能確保無線網路的使用安全。

從技術與管理的角度來看,今日無線網路面臨的安全弱點,大致可分為以下幾點:
  1. 無線溢波問題 - 無線網路不像傳統有線網路需要透過實體線材傳輸資料,並且利用各項網路設備來層層把關監控,而是以無線電波訊號在空中傳輸,讓人看不到也摸不著,很難如同有線網路一般進行管理控制。尤其是隨著大功率天線的應用,所形成的溢波範圍都有可能成為惡意駭客的入侵點,駭客也藉此輕易地延長了可以攻擊的距離,往往令人防不勝防,使得無線網路也可能被用來作為入侵內部有線網路,作為駭客進行攻擊的跳板。

  2. 不當的無線網路設定 - 若管理者因為疏忽,而將無線網路設備一律使用出廠的預設值,或是未開啟無線加密設定,也就等於是打開大門歡迎駭客的光臨。舉例來說,像是每一個無線網路基地台,都需要提供一個網路服務職別名稱(SSID),使用者必須設定相同的SSID才能連線。但是許多的無線基地台,在出廠時即預設了default或any等名稱,若未經過更改,很容易會遭到入侵盜用。另外,一般無線基地台都會讓管理者透過Web介面來進行相關網路設定,若管理者在第一次登入設定畫面之後,沒有更改預設的密碼,也很容易會被以猜測密碼的方式來盜用。

  3. 駭客工具隨處可得 - 目前在網路上,只要在搜尋引擎中輸入「駭客工具」關鍵字,各種針對無線掃瞄、竊聽、WEP破解、Soft AP軟體工具幾乎唾手可得,許多非駭客級的惡意玩家,根本不必細心研究無線加密演算法或認證流程,只要應用這些工具,即可輕易入侵他人的無線網路。

  4. 意外連線問題 - 藉由安裝網路上下載的免費Soft AP軟體,任何一台筆記型電腦都可變成一台移動的無線基地台,並且支援Infrastructure和Ad-hoc連線模式,使用者稍一不慎,即有可能被引導連線至駭客偽裝的非法基地台,遭到騙取個人帳號和密碼,或是被偷窺側錄私人的通訊內容等。另外,在Windows XP中已內建了Ad-hoc無線點對點連線功能,可以讓筆記型電腦的使用者透過無線網路以點對點的連線方式,來分享或傳送檔案資訊。因此,利用這項弱點,惡意駭客還能夠透過病毒或木馬程式來修改相關設定,讓使用者在無意間啟動了Ad-hoc連線,不小心也就造成了個人資料外洩。
常見的無線網路入侵手法

對於有線網路的安全,企業通常都能採取有效的實體防護措施,以及使用各種網路設備來進行監控管理,但是一旦企業內部建置了無線網路系統,隨著無線網路基地台的啟動,若是缺少適當的入侵防禦措施,也就形同是將實體大樓的牆壁拆除,讓惡意駭客得以輕鬆而入。

因此,針對以上提到的無線網路所面臨的安全弱點,經常被惡意駭客用來入侵無線網路的攻擊手法有以下幾種:
  1. 封包竊聽(Sniffing) - 只要是在無線網路涵蓋的訊號或是溢波範圍之內,駭客就可以利用一些偵察工具,啟用雜亂模式(Promiscuous mode)來監聽無線網路的封包,接收所有傳送的資料。若管理者未啟用無線網路加密機制,那麼從這些沒有加密的封包中,駭客即可輕鬆獲得像是SSID、來源及目的IP Address,甚至是帳號密碼,或是MSN等即時通訊的傳輸內容。

  2. 偽冒基地台攻擊(Rogue AP & Evil twin) - 一般公開的無線網路連線程序是,當電腦開機之後,會透過無線網路卡發送Probe的連線請求,當週遭存在可用的無線基地台時,即會回應BEACONS給使用者的電腦,而系統就會根據最佳的訊號強度、品質、干擾程度等條件來連接至最佳的無線基地台。因此,惡意駭客可以架設高功率的無線基地台,冒用相同的SSID名稱,來誘導使用者連線至偽冒的基地台,偷取使用者的登入帳號及密碼。另外,駭客還可以透過軟體將筆記型電腦模擬成軟體的無線基地台(Soft AP),發送回應給發出連線請求的使用者,讓使用者的電腦被引導連線至惡意駭客的偽冒無線基地台,竊取使用者的個人資訊。

  3. MAC偽冒攻擊(MAC Address Spoofing) - 目前無線網路的安全機制上,可以藉由管制使用者網路卡的MAC Address來過濾合法及非法的使用者,但是,惡意駭客可以透過駭客工具,以監聽無線網路封包的方式,來取得合法使用者的MAC Address,然後再修改其網路卡的MAC address,冒充成合法使用者來騙過AP,達到成功連線的目的。因此,透過鎖住特定MAC address來限制連線,已經不是很安全的管理方式。

  4. 無線網路阻斷服務攻擊(WLAN DOS) - 既然有線網路會遭遇阻斷式攻擊,無線網路也是難以避免,無線網路的阻斷攻擊,通常可分為以下三類:(1) 攻擊無線基地台:對基地台發動封包攻擊或發送反認證封包,阻止其他無線使用者與無線基地台進行連線。(2) 攻擊使用者電腦:阻斷特定使用者的電腦,使其無法與其他無線網路設備連線。(3) 攻擊無線網路頻道:針對所使用的無線通訊頻道,進行癱瘓攻擊(RF Jamming),造成所有使用此一頻道的無線網路設備皆無法順利連線。

  5. 中間人攔截攻擊(Man in the Middle Attack) - 所謂中間人攔截攻擊其實是結合偽冒基地台以及阻斷服務攻擊的方式,指攻擊者冒充無線基地台,對於目前使用者發送中斷連線和反認證封包,藉此來中斷使用者和無線基地台之間的連線。然後,攻擊者重新再和使用者建立連線,並且另一邊也同時和合法無線基地台連線,扮演著使用者和無線基地台的中間人,趁機從中攔截並竊取傳輸的資訊。
無線網路防禦的對策分析

面對在任何時間及地點都可能發生的駭客入侵事件,企業想要安心地使用無線網路並確保無線網路的使用安全,建議可以從「作好無線網路的風險管理」、「列管所有無線網路設備」、「部署無線網路入侵偵測防禦系統」等三項對策來著手。

首先,針對無線網路的風險管理,我們可以把握住以下原則,來檢視評估企業面臨了哪些可能的無線網路風險,藉此來導入相關的風險控制措施,即可防止大部份的竊聽及偽冒攻擊:
  • Who - 無線網路誰可以連結使用,是否經過身份認證?有哪些裝置連結了無線網路?
  • What - 使用者連線允許連線至哪個無線設備?具有什麼連結權限?可供無線網路連結使用的系統或服務是什麼?
  • When - 何時能使用無線網路?連線的時間多久?
  • Where - 從哪個地點來連結無線網路?
  • Why - 企業為何需要使用無線網路?
  • How - 使用者如何連結無線網路?使用無線網路上傳及下載了多少資料?
第二項對策是,企業必須要列管所有的無線網路設備,針對這些設備制訂出對應的管理政策(Policy),以確保使用無線網路的裝置,在進入企業時都已受到良好的防護,應該列入控管的設備包括了:
  • 硬體無線基地台(Hardware AP)
  • 軟體無線基地台(Soft AP)
  • 特殊無線裝置:例如無線條碼掃瞄器
  • 裝置無線網路卡的PC及筆記型電腦
  • 內建無線網路的手機、PDA、Pocket PC
這一部份除了採取人工列管之外,也可以利用無線網路入侵偵測防禦系統來自動識別各項裝置,透過安全政策(Policy)的設定,可阻止不當裝置的連線使用。

至於第三項對策,則是部署「無線網路入侵偵測防禦系統」,從使用者端的無線安全防護,到無線網路設備連線的集中式安全監控,能夠阻絕像是封包竊聽、偽冒MAC位址、偽冒基地台、阻斷服務攻擊和中間人攔截攻擊等各式駭客攻擊手法,同時還可針對非法外部裝置的企圖連線,以及避免使用者因為意外連線至鄰近公司等問題,皆能加以有效防範。

目前針對無線網路的偵測監控,主要可以分為「行動式監控」與「固定式監控」兩種,所謂行動監控是指透過在筆記型電腦或Pocket PC上安裝無線網路偵測軟體,由管理者攜帶至企業各個角落遊走,來找出在偵測範圍內是否有非法訊號的出現。使用行動監控的優勢是可以藉由手持裝置四處巡邏,找出妨礙無線訊號的死角,以及躲在安全角落的非法無線設備,但缺點則為無線網路卡本身的功率太小,涵蓋範圍不足,很有可能發生掛一漏萬的狀況。

固定式監控則是透過安裝訊號感應器(Sensor),採取24小時持續不斷地監控所有無線網路設備與無線訊號,並將各個感應器偵測所得的資料回傳給主控端伺服器,由伺服器來進行裝置識別、連線封包分析,並且根據使用者或預設的安全政策來鎖定非法裝置或進行無線訊號阻斷,讓非法裝置無所遁形,最後還會自動產生資安事件報告以供管理者參考。即使企業有多個分散據點,同樣只要在使用無線網路的分點來佈署感應器,就可以透過主控端來統一監控,並且針對整個企業的無線網路,隨時作出診斷分析,判斷哪些地點容易遭受攻擊、可能攻擊手法類型及建議的反制措施。

此外,在使用者的電腦上,還可以個別安裝無線個人防護系統,透過常駐軟體程式,集中監控Windows PC/Notebook的無線網路設定與連線活動,並且偵測與反制違規使用行為及安全威脅。

所以,從管理者的角度而言,佈署集中控管的無線網路入侵防禦系統,能夠大幅減輕管理者的工作負擔,並且能夠時時清楚掌控目前企業無線網路的使用狀態,因此建議企業在選擇一個有效的無線網路入侵偵測防禦系統時,必須考慮能夠保護以下三個面向:
  • 能夠識別並確保無線裝置的安全,像是無線基地台、筆記型電腦、無線條碼掃瞄器、PDA等。
  • 能夠監控通訊連線的安全,包括安全的加密與身份驗證,並且阻斷非法連線。
  • 能提供24x7即時監控,提供管理者安全政策的佈署及營運上的支援報告。
採取適當防護即可降低風險

或許有人會認為,既然無線網路存在著入侵風險,那企業乾脆不要使用就好,但是其實無論有線、無線,使用網路本身就存在著一定風險,實在不必因噎廢食。尤其無線網路的應用,已是世界各國在為提升科技服務而努力的目標,而企業朝向行動工作化的目的,也是為了提升更高的工作效率與品質,因此對於無線網路安全的議題,只要做好適當的資安防護工作,就能將可能的資安風險降至最低。

在傳統有線網路的管理上,網路管理者可以透過路由器、交換器等流量管制設備,或是IDS入侵偵測系統來偵測監控網路上異常的流量,雖然目前也有針對無線網路的集中式交換器,可以控管所有的無線網路基地台,並且進行使用者身份驗證和監控流量,但是對無線網路而言,當訊號在離開基地台之後,是經由空中傳遞到連結的使用者,這時像是無線溢波等可能發生的入侵問題,光憑有線的網路設備是絕對無法偵測預防的。

因此,面對可能的無線網路入侵攻擊,企業必須思考除了管理合法的連線之外,仍必須搭配佈署24小時持續不中斷,能夠針對來自空中的訊號予以監控的無線網路入侵偵測防禦解決方案。但是,如果一個所謂的入侵偵測防禦系統,只能週期性或短暫性地偵測監控,無法即時反應來阻絕非法連線,那也絕對稱不上是一套安全的入侵偵測防禦系統,所以,企業所部署的無線網路入侵偵測防禦系統,還必須能夠即時判別連線或關連的產生、鎖定非法無線裝置的位置,以及評估資料交換與可能損害大小,如此才能有效防範各種危害無線網路安全的行為發生。(本文刊載於2007年iThome資安專刊)

沒有留言: