【TechTarget中国原创】Evil Twins在公共和私人无线局域网中,对于无线用户而言,是一种明显的威胁。在本文中,TechTarget中国的特约专家描述了保护用户、防御这种了解较少的攻击的步骤。可以了解SSL或者SSH可能不足以保护用户,以及802.1X相互认证如何帮助防御虚假接入点的情况。
Evil Twins如何工作
Evil Twins是一个虚假的无线访问点,可以通过宣传无线局域网或者扩展服务集标识符(SSID),假冒为合法的接入点或者。Evil Twin可以使用热点追踪器查看常用的扩展服务集标识符,并使用其中之一作为自己的标识符。热点追踪器是一款监控工作站探测器的攻击工具。或者Evil Twin可以和家用的SSIL(例如,linksys)、热点SSID(例如,Wayport_Access)或者特定公司的无线局域网配置在一起。甚至在无线电台不发送SSID的接入点都可以成为目标,只要合法用户可以用Ethereal、Kismet或者另一种无线局域网分析器监测到。
为什么使用别人的SSID的接入点很危险?无线工作站通常不和具体的接入点连接;他们和拥有制定SSID和最好的信号的任何接入点连接。更糟的是,很多工作站都自动的和过去使用的任何SSID重新连接。只要在商务用户的旁边放置一个Evil Twin,就足以欺骗他们的无线设备和虚假的接入点连接。没有耐心等待用户漫游到Evil Twin的攻击者可以使用AirJack来证明每个人都是有效的,并强制立即进行再连接。
一旦连接了,Evil Twin可以使用它的优势发动很多种其它攻击。例如,一部笔记本可以运行HostAP和Airsnarf创建一个Evil Twin,进而呈现一种虚假的登录页面来收集用户名称、密码或者信用卡号码。任何Web请求都可以通过DNS欺骗,被转向到本地主机。Airpwn等工具可以把恶意回应返回给用户,例如包含植入病毒或者特洛伊木马的Web页面。当受害者检查电子邮件或者下载文件的时候,Cain等破解工具可以从通用的应用协议中提取密码。Dsiff等人在中间(Man-in-the-middle)工具甚至可以通过作为目标服务器,攻击SSL或者SSH,然后把客户的请求转到合法的服务器上。简而言之,Evil Twin是一个完美的平台,从这里可以对可信任的用户发起攻击。
阻止这些攻击
从让用户了解Evil Twin的风险开始。很多用户很容易和任意的接入点连接来获得免费的互联网访问,而不考虑说可能拥有者写接入点或者这些接入点可能如何欺骗他们显示敏感信息。教育用户避免混乱的无线行为——例如,向他们演示如何关闭自动连接和用户非默认家庭无线局域网SSID。解释为什么他们永远不能盲目地接受SSH公共密钥或者SSL服务器新人状,并解释这么做可能的后果。
了解情况的用户作出良好选择的可能性很大,但是任何公司都不能信赖行为端正的用户。向你的用户提供工具,可以监测——或者更好,防御——未授权无线连接。例如:
- 使用无线入侵检测来辨认或者阻止缺乏策略的联合。Network WIDS products可以为内部无线局域网提供这些服务。主机常驻代理可以把WIDS扩展到你自己的无线局域网之外,监控在家里或在路上连接到无限的用户。例如,查看AirDefense Personal和 RFprotect Endpoint。
- 中央管理的无线设备配置来避免错误并阻止用户增加不安全的无线网络。例如,Wavelink Avalanche或者Windows Active Directory Group Policy Objects可以用于管理WinsowsPC上的802.11和208.1X参数。
- 为你自己的无线局域网请求802.1X,使用提供相互认证的EAP类型,并总是验证服务器的新人状。虽然这实际上可以证明RADIUS服务器的身份,但是服务器证明RADIUS机密的接入点的有效性,使Evil Twin不能成功地伪装成合法的接入点。
- 向移动工作人员提供安全热点客户端来避免Web页面的登录。例如,当连接到“提高的WPA网络”时,T-Mobile的连接管理员使用EAP-TTLS 的802.1X。因为连接管理员自动检查T-Mobile服务器的信任状,用户不能以外连接到Evil Twin,只要用户永远都不接受如何连接到其它SSID(包括旧的“tmobile”SSID)的选择。
- 最后,教育遥控工作者关于在家庭无线局域网中使用802.1X的选择。例如,查看为小企业和TinyPEAP的 Witopia SecureMyWiFi、McAfee Wireless Security。
虽然有很多可以用以回避Evil Twin的步骤,但是它可能不能排除所有的风险。例如,当在家里工作的时候,你不可能强制用户采用802.1X或者当没有802.1X支持的时候,你可能需要支持无线设备。为了得到最好的结果,需要把802.1X服务器认证和无线客户端监控结合起来。