如今Wi-Fi 6時(shí)代悄然到來(lái)，為高密海量無(wú)線接入提供了“以一當(dāng)十”的支撐平臺(tái)，不過(guò)對(duì)于Wi-Fi的安全卻依舊不能掉以輕心。

實(shí)際上，Wi-Fi接入點(diǎn)（AP）、路由器和熱點(diǎn)常常是高度暴露的攻擊面。用戶一不小心就有可能踏進(jìn)攻擊者設(shè)置的Wi-Fi陷阱，為企業(yè)造成信息泄露或經(jīng)濟(jì)損失。

小心高仿“雙胞胎”

有調(diào)研機(jī)構(gòu)預(yù)測(cè)，到2022年將有120億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)，其中通過(guò)Wi-Fi的連接將占到較大一部分。比如現(xiàn)在美國(guó)有74%的Android移動(dòng)設(shè)備流量是通過(guò)Wi-Fi傳輸?shù)?，而這個(gè)比例在我國(guó)則更高。

龐大用戶群直接導(dǎo)致了惡意Wi-Fi攻擊的手法不斷翻新。例如，讓人難分真假的“惡意雙胞胎AP”來(lái)釣魚。使用此種手法的攻擊AP，往往在SSID（網(wǎng)絡(luò)名稱）上做手腳，其會(huì)采用模仿合法AP的SSID，設(shè)置一個(gè)高仿SSID，就像下圖所示一樣。

一旦用戶沒(méi)注意連到假冒的惡意AP上，攻擊者就可以發(fā)動(dòng)中間人（MitM）攻擊進(jìn)而攔截流量，竊取證書，將惡意代碼注入受害者瀏覽器，甚至可把受害者重定向到惡意網(wǎng)站等操作。

對(duì)，AP也能耍“流氓”

除了上面常見(jiàn)的“惡意雙胞胎AP”釣魚手法，還有一種被稱為流氓AP（Rogue AP）的存在。流氓AP是指那些未經(jīng)網(wǎng)管明確授權(quán)，卻私自通過(guò)企業(yè)內(nèi)網(wǎng)的以太網(wǎng)口連接進(jìn)企業(yè)網(wǎng)絡(luò)的AP、無(wú)線路由等非法私接設(shè)備。

出現(xiàn)此種情況常常是企業(yè)內(nèi)部員工的違規(guī)操作，私自將Rogue AP連接到授權(quán)網(wǎng)絡(luò)上，而有心的攻擊者則正可通過(guò)Rogue AP繞過(guò)企業(yè)網(wǎng)絡(luò)的邊界防護(hù)，在內(nèi)網(wǎng)中暢行無(wú)阻。

為了防止此種情況出現(xiàn)，企業(yè)Wi-Fi系統(tǒng)必須具備相應(yīng)的防私接檢測(cè)能力。一旦偵測(cè)到私接設(shè)備，要能夠阻止Rogue AP獲得對(duì)LAN的訪問(wèn)，同時(shí)阻斷Wi-Fi客戶端與其關(guān)聯(lián)，直至將之移除掉才行。

“隔壁老王”的AP也得防

在了解了惡意雙胞胎AP、流氓AP攻擊后，實(shí)際還有一種鄰居AP（Neighbor AP）會(huì)給企業(yè)網(wǎng)絡(luò)帶來(lái)威脅。顧名思義，鄰居AP就是指那些在公司旁的餐館、咖啡店內(nèi)部署的外部AP。

當(dāng)員工使用企業(yè)授權(quán)過(guò)的移動(dòng)客戶端連接到這些咖啡店網(wǎng)絡(luò)的鄰居AP時(shí)，自然能夠繞過(guò)公司防火墻設(shè)置的邊界安全和安全限制，將威脅輕松帶進(jìn)企業(yè)內(nèi)網(wǎng)。

而這實(shí)際上是根本不需要什么黑客技巧的。而為了防止此種問(wèn)題出現(xiàn)，企業(yè)必須能夠自動(dòng)對(duì)公司管理的授權(quán)客戶端設(shè)備進(jìn)行分類認(rèn)證，阻止其連到其他外部SSID上，除非那些IT網(wǎng)管定義過(guò)的。

AP配置錯(cuò)誤太恐怖

如果說(shuō)惡意攻擊防不勝防的話，那么網(wǎng)管不小心將AP配置錯(cuò)誤這種問(wèn)題則應(yīng)該盡量地避免了。比如忘給公司W(wǎng)i-Fi設(shè)置無(wú)線加密，任何人都能通過(guò)開(kāi)放SSID進(jìn)入，顯然可能會(huì)將敏感信息暴露給攻擊者。

這時(shí)就需要AP設(shè)備具備基本的設(shè)備策略提醒，對(duì)此類未加密的人為事故進(jìn)行有效提示，來(lái)防范于未然。