我们可以为安全问题争论一整天。我们做的每一个动作——从呼吸到过马路,再到通过无线网络发送信用卡数据——都包含着一定的风险。我们不断地在我们刚刚接受的生活事实和那些我们认为足够重要,可以积极尝试减轻的风险之间划一条心理线。
具体到无线局域网行业,有些人的工作是找出可能被利用的漏洞,而当前基于标准的技术可能无法解决这些漏洞。当然,他们工作的一个原因是自私自利的:为他们的公司寻找机会,建立和销售安全产品,以弥补漏洞。
“Wi-Fi WPA2漏洞常见问题”//m.banksfrench.com/news/2010/072810-wif --wpa2-vulnerability-faq.html]
但是安全专家(至少是那些站在法律正确一边的人)往往也有利他的本性。大多数人希望让公众知道,这样漏洞就不会因为无线局域网操作员的无知而被利用。
AirTight网络公司的Md Sohail Ahmad就是这样一个例子WPA2脆弱性本周在拉斯维加斯举行的两场安全会议上。该漏洞被他的公司称为“196洞”,在1200页的Wi-Fi标准文件中被附带记录下来。从这个意义上说,这是一个已知的弱点,所以持不同意见的人认为这没什么新鲜的。
新的是注意语言的人,弄清楚如何利用它,并表明人们可能想要了解它。就个人而言,我认为这是对行业的积极服务。显然,Black Hat和Def Con 18的会议组织者所以邀请艾哈迈德举办了196场比赛的活动。
毕竟,有多少企业意识到这种脆弱性,并且在我们说话时,气密一直在展示的人的中间漏洞可能正在发生?我正在走出肢体,猜测并不多的WLAN管理员已经阅读了Word的1200页标准字,即使他们已经做过了广播,共享关键的冗长和其含义。
当然,Wlan供应商在武器中,因为他们不希望人们认为Wi-Fi被打破。事实上,暗示它是并且天空落下的是夸张。WPA2的基于AES的加密尚未破解。
那么你应该担心吗?
我不会暂停您的WLAN部署,但是,根据您的安全风险概况,您可能希望在构建Wi-Fi安全环境时考虑到这个问题。
为了帮助决定哪些策略,如果有的话,请在这里有一些防守陈述,你可能会听到或阅读关于洞196的洞和一些你应该了解的事情:
反驳1:“同样类型的ARP中毒攻击也会发生在以太局域网上。每个人都知道。”
重新反驳:这是真的。不同之处在于,今天在有线网络上运行的侵入检测和保护系统(IDS / IPS)检测和偏转这些攻击。孔196仅包含在网络的无线部分上。根据802.11标准,组键,名为Group Temporal Keys(GTK)并用于根据定义加密/解密广播数据包无法检测到地址欺骗和数据伪造。无线ID / IPS将弄清楚在不久的将来检测它们的方法吗?大概。
* Rebuttal 2:“客户端隔离过滤器今天存在于Wi-Fi网络中,并将偏转孔196漏洞。”
Re-rebuttal:部分正确。AirTight同意客户端隔离(防止两个客户端设备通过AP直接相互通信)是修复两步钻洞196开发过程中的第二步的好方法,即当AP进入图像时。然而,在漏洞的第一步中,客户端直接与其他客户端对话,绕过AP。客户端隔离在这方面没有帮助。
AirTight的无线架构师Kaustubh Phanse说:“其他的黑客攻击可能只需要一步就会出现。”
重要说明:客户端隔离不是802.11标准的一部分;它是由几个WLAN供应商支持的专有功能。并不是每个企业都必须启用这些功能,因为它们确实会带来一些额外的开销。但事实上,如果你有,你担心196洞,打开它们。
*反驳3:“只有授权用户可以利用漏洞,他们可以与公司网络造成严重破坏。”
反驳:可能是对的,也可能不是,这取决于您的安全设置。事实上,这是一个授权用户将利用196洞。但是,内部黑客检测和预防的重要性不应被低估。CSO 2010年1月的网络安全观察调查显示,虽然前15名安全政策和程序中的大多数都旨在防止内部攻击,但51%的受访者在经历过网络安全事件后仍然是内部攻击的受害者。
“公司内部的人可以做出最大的经济损失,”承认无线大师马太加斯特。
Gast是Wi-Fi联盟安全技术任务小组的主席,同时也是Aerohive Networks的产品管理总监。他说,在196号洞的案例中,用于广播通信的共享GTK的保密程度取决于你对内部员工的信任程度。
Gast说,在Hole 196漏洞利用期间,AP实际上似乎正在接收来自自身的帧。“这是一个很容易探测到的异常事件,”他说。
不过,如今的Wi-Fi ap无法检测到这类事件。
“但是因为这对我们的客户很重要,Aeropive将生产一个软件修复程序,以便向管理员可以了解这次攻击是否在其网络上发生并自动采取行动,”Gast说。“我不相信这将是独一无二的。整个行业可能会做点什么。”
这是个好消息。这取决于您或您的首席安全官,以决定是否有记录的漏洞值得失眠。与此同时,尽量不要射杀信使。