無線網路的方便性與移動性,不需要辛苦的佈線,成為企業採用的主要考量,然而在安全性的疑慮之下,許多企業有所遲疑,有限度的開放或不開放無線的使用。但 不管開放與禁止,無線網路對於企業的安全防線,已衍生出相關的安全議題。而這些問題,企業的資安人員,該如何來診斷?或是在駭客發動攻擊之前,先自我來做 個攻防演練。
的確,無線網路不管企業開放與否,都應該要有相對應的防護策略,同時,在企業懂得開始對有線網路做弱點評估、滲透測試的同時,針對無線網路,也應該要能夠定期做好弱點評估,或是滲透測試,確保防護策略確實有效。
企業無線網路潛藏的風險
選擇開放無線網路的企業,必須針對如何鞏固無線網路的防線,不使未授權的使用者輕易的連線使用,以及在通訊時的資料加密,不致讓企業的機密 外洩。而選擇禁止使用的企業,考量的重點是如何確認企業內部不會有私架的無線基地台,或是企業的員工不會不小心或故意連線到附近的無線網路,使得駭客可以 利用這些通道,直接繞過企業防火牆的阻擋,長趨直入企業的內部網路。這些安全的弱點,也是駭客們尋找的攻擊目標,而到底企業的無線網路裡,潛藏了多少安全 的危機,以下針對企業的無線網路,從駭客的角度來做一番檢視。
企業無線網路的弱點,包含了以下幾個常見的項目:
• 私架的無線基地台,使得企業的無線網路門戶洞開
• 不安全的無線網路設定,駭客可輕易破解
• 易於遭受攻擊的端點,成為駭客利用的跳板
• 阻斷式攻擊,造成網路的不穩定
私架無線基地台
企業無線網路裡,最大的安全漏洞,是私架的無線網路基地台。許多員工為了一時的方便,自己帶了一個無線基地台到公司使用,而這些基地台往往 是簡單的基地台,沒有進階的安全設定,或是員工根本也不知怎麼做安全設定,成為企業網路的一個缺口,讓一般人輕易的可以連線,進入企業的內部網路。這些開 放的網路,常常使用基地台出廠的預設設定,使用預設的網路名稱 (SSID),例如:default,沒有加密的通訊,以及沒有任何連線控管,一般人都可以直接利用 Windows 內建的網路工具連線使用,更遑論有心人士,進入了企業網路之後,可能進行惡意的攻擊。
不安全的無線網路設定
許多企業目前在無線網路的安全防護,還是停留在只用基本的安全設定,例如:WEP 加密,或是 MAC Address 安全控管,甚至只是把 DHCP 關掉,讓連上基地台的人自已去設正確的網路 IP 的相關設定後才能連線,但這些基本的防護,對於一個有決心的駭客,卻可以輕易的破解。
駭客常見的攻擊方式,可能針對沒有加密的無線網路,監聽無線網路裡的資訊,伺機竊取重要的資訊 (帳號,密碼,郵件內容、即時通訊聊天內容,瀏覽的網頁資訊)。或是使用 MAC Spoofing 的方式,更改自己的無線網卡的 MAC Address,以突破 MAC Address 連線控制。也可能針對 WEP / WPA 加密機制,進行加密金鑰的破解,以進入企業的無線網路。
易遭攻擊的無線網路端點
無線網路的端點,也就是這些無線網路的使用者,近來已成為新興的攻擊目標,攻擊者利用這些端點電腦上的系統弱點,例如,無線網路卡驅動程式 的漏洞,進行漏洞攻擊,以取得這些電腦的控制權限,進而利用這些電腦,當成進入企業無線網路的跳板。另外,駭客也可以利用無線網路釣魚的方式,假冒企業的 認證網頁,騙取登入網路的帳號及密碼。
目前已經發現的無線網卡驅動程式有弱點的,包含了:
• D-Link DWL-G132 ASAGU.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• NetGear WG111v2 Wireless Driver Long Beacon Buffer Overflow Vulnerability
• NetGear WG311v1 Wireless Driver SSID Heap Buffer Overflow Vulnerability
• NetGear MA521 Wireless Driver Long Beacon Probe Buffer Overflow Vulnerability
• Broadcom BCMWL5.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• MADWiFi Linux Kernel Device Driver Multiple Remote Buffer Overflow Vulnerabilities
• Intel PRO/Wireless Network Connection Drivers Remote Code Execution Vulnerabilities
• Apple Mac OS X Airport Wireless Driver Multiple Buffer Overflow Vulnerabilities
而這些弱點,除了最後兩個還沒有公開的攻擊程式之外,其餘的都已經有相對應的攻擊程式可輕易的在網路上找到。
阻斷式攻擊癱瘓無線網路
駭客想要干擾企業無線網路的服務,或者是嘗試了多種的攻擊後徒勞無功,此時也許會想來個同歸於盡,癱瘓整個無線網路。或者針對某一個使用者 的連線,讓他無法連線,於是使用『阻斷式攻擊』。在無線網路裡,阻斷式的攻擊主要有兩種方式:Radio Frequency Jamming (RF Jamming),利用干擾頻道的方式,使正常的通訊在這個頻道裡無法進行溝通,以眾多的雜訊來干擾正常的通訊,而另一種則為 De-Authentication 攻擊,利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點,以假冒的 De-Association 及 De-Authentication 的訊框,迫使連線中的使用者斷線。
常見的攻防測試工具
以上的這些弱點,在網路上都可以找到相對應的工具來做攻擊。甚至有 Open Source 的計畫,將許多好用的工具,做成了可開機光碟 (Live CD),這些光碟可以在網路上下載,許多的企業資安或稽核人員,也都是利用這些光碟來執行安全評估、或滲透測試。目前常用的光碟,也是新一代的主流工具- BackTrack CD (http://www.remote-exploit.org/backtrack.html) 而它的前身是知名的 Auditor Security Collection Live CD,集合了三百多種以上的網路安全工具。
而企業資安人員,可以做的攻防測試,以及它相對應的工具,介紹如下。
網路偵察
Kismet (http://www.kismetwireless.net/)
在無線網路攻擊裡,要能夠先搜尋無線網路的所在,然後針對無線網路裡的設備,一一蒐集資訊。舉凡無線基地台的 SSID 、使用頻道、安全設定,以及訊號強弱,這些都是極為重要的資訊。
Kistmet 是一個 802.11 Layer 2 的無線網路偵測、監聽、以及入侵偵測系統 (IDS),能夠監聽 802.11b、802.11a、以及 802.11g 的資料。而 Kismet 的監聽技術,主要是利用被動 (Passive) 模式,收集無線網路的封包,偵測標準的開放網路、隱藏網路,藉由資料封包的分析,還能夠偵測到將一些關閉 Beacon 基地台的隱藏無線網路。
資安人員可利用這個工具,在企業內部尋找是否有私接的基地台,以及偵測企業內部員工可能連線的基地台。
圖一:利用 Kismet 偵察無線網路
WEP/WPA 加密破解
AirCrack-NG Suite (http://www.aircrack-ng.org/)
AirCrack-NG 是一個相當完整的無線網路攻擊工具組,不但可以利用來做 WEP 加密金鑰的破解,也可以做 WPA-PSK 金鑰的字典攻擊。AirCrack-NG 不但有 Linux 版本,還有 Windows 版本,另外也有人寫了Windows AirCrack 的 GUI 程式,叫做 WinAirCrack,搭配 AirCrack-NG的使用。Linux 版的 AirCrack-NG 提供的工具較為完整,包含了以下的幾個程式:
• Airodump-ng:802.11 封包截取程式
• Aireplay-ng:802.11 封包注入程式
• Aircrack-ng:WEP 及 WPA-PSK key 破解主程式
• Airdecap-ng:WEP/WPA 封包解密程式
• Airmon-ng:802.11 網路監聽程式
• Packetforge-ng:802.11 封包製造程式
• Airtun-ng:802.11 加密封包蒐集及封包注入程式
• Tools:其他相關工具
不同於早期被動的收集封包,AirCrack-NG 在 WEP 加密金鑰的破解,可以採取更『主動』的封包注入的方式,製造偽造的 ARP Request 的封包,使得 AP 回應這樣的請求,而發出 ARP Reply 的封包,而當 AP 發出回應封包時,駭客就可以收集更多的『 IV 值』,加速 WEP 加密金鑰的破解,以一個 128 Bits 的Key,可能在三十分鐘之內被破解。
資安人員可以利用這個工具,針對企業的加密機制,驗證是否可能被駭客破解。
圖二:利用 AirCrack 於 30 分鐘破解 WEP 加密金鑰
無線網路釣魚
Airsnarf (http://airsnarf.shmoo.com/)
Airsnarf 是一個結合了軟體驅動的基地台技術、DNS Server 設定、以及防火牆的 HTTP 重導技術,建立一個假冒的認證登入網頁,讓使用者連上基地台之後,自動取得 IP 位置,啟動瀏覽器時,會自動導向 Airsnarf 設計的首頁,當使用者輸入帳號密碼之後,這些資訊可以被攻擊者記錄下來。當然,攻擊者不會用Airsnarf 這個網頁讓使用者輸入帳號密碼,而會建立一個假冒的企業網路登入的網頁,來置換 Airsnarf 的這個網頁,於是在不知不覺中,企業的使用者已經被騙取了帳號密碼。
資安人員可以利用這個工具,進行企業內部的無線網路釣魚測試。
圖三:無線網路釣魚示意圖
阻斷式攻擊
void11 (http://www.wirelessdefence.org/Contents/Void11Main.htm)
假冒 De-Association 及 De-Authentication 訊框攻擊,是最常使用的阻斷攻擊,
利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點,以假冒的 De-Association 及 De-Authentication 的訊框,迫使連線中的使用者斷線,雖然使用者會自動的再發出連線及認證的請求,但攻擊者若是持續的發送這些訊框,將使得使用者一直連線斷線,無法正常使用 網路。
不過目前已經有許多基地台,針對這樣的弱點做改進,因此企業的資安人員,可以利用這個或相關工具,測試企業使用的基地台是否有受到阻斷式攻擊的可能。
偽冒 MAC 位址
SMAC (http://www.klcconsulting.net/smac/)
偽冒 MAC 位址的工具有很多,而這個工具有簡單的操作畫面,能夠讓你迅速找到想要更改的 MAC 位址。因此,資安人員,利用像 Kismet 的偵察工具,找到正在與基地台連線的網卡的 MAC 位址,變更自己的 MAC 位址,來嘗試是否可以突破MAC Address 控管而取得連線。
封包監聽 / 分析
Wireshark (http://www.wireshark.org/)
Wireshark 的名字大家比較陌生,不過若是提到 Ethereal,相信很多人都曾使用過。Wireshark 是 延續 Ethereal 的免費封包分析工具,可以即時分析封包,或是將載入利用 Kismet 或 Airodump 截取的封包,分析封包裡的資料。
因此,資安人員在做無線網路的攻防測試時,也常常需要用到它來做輔助工具。
弱點攻擊
MetaSploit Framework (http://www.metasploit.com/)
完整的無線網路攻擊工具,當然還要包括弱點攻擊的工具,尤其是針對無線網卡驅動程式的弱點,已經有人提供 MetaSploit 的攻擊程式。在做攻防測試時,若是有發現有員工使用的是前面所列的無線網卡,則可利用 MetaSploit 的攻擊程式,嘗試取得這些電腦的控制權,進而找到進入企業無線網路的跳板。
結語
以上的這些工具,大部份都可以在 BackTrack 或是 Auditor CD 裡找到,使用者不需要自己再編譯或是安裝工具,只要利用這些光碟開機,即可進行攻防測試。另外,無線網路的安全工具相當多,同一種用途也有不同的工具,以 上只介紹常用的知名工具,其他更多的工具,可以參考相關書籍或是網路上論壇的介紹。
無線網路攻防演練的目的,在於找出企業無線網路的弱點,進而在駭客攻擊之前,能夠消弭可能被駭客入侵的安全漏洞。所謂「知己知彼,百戰 不殆」,資安人員除了應用相對應的安全防護之外,了解駭客可能的攻擊手法,並定期的實施無線網路弱點評估或滲透測試,可以防患未然,並適時適當的調整無線 安全防護策略。
作者簡介:
| 莊添發 (Thomas Chuang) |
|
