第11章 安全网络架构和组件(二)
11.11 微分网段
网络被分割或细分为更小的组织单元网络,而不是被配置为单个大型系统集合,这些较小的单元、分组、段或子网可用于改善网络的各个方面。
•提高性能。
网络分段可以通过组织体系来提高性能,在这种组织体系中,经常通信的系统位于同一分段中。
此外,广播域的划分可以显著提高大型网络的性能。
•减少通信问题。
网络分段可减少拥塞并抑制通信问题,如广播风暴。
•提供安全。
网络分段还可通过隔离通信流量和用户访问权限来提高安全性。
可以单独或组合使用基于交换机的VLAN、路由器或防火墙来创建分段。
专用LAN或内网、屏蔽子网和外联网都是网段的类型。
另一个经常被忽视的网络分段概念是带外路径的创建。
其目的通常是为流量创建一个独立或特定的网络结构,以免其干扰生产网络,或者如果它被放置在生产网络上,其本身可能会面临风险。
可以创建辅助(或附加)网络路径或网段,以支持数据存储(如使用SAN)、VoIP、数据备份、补丁分发和操作管理。
网络分段概念的演变是微分网段。
微分网段,将内部网络划分为多个子区域,这些子区域可能小到单个设备,例如高价值服务器,甚至客户端或端点设备。
每个区域通过内部分段防火墙(ISFW) 、子网、VLAN或其他虚拟网络解决方案和其他域分开。
域之间的所有通信都会经过过滤,可能需要进行身份认证,通常需要会话加密,并且可能受到允许列表和阻止列表的控制。
在某些情况下,与本地网段外部的实体进行通信时,必须封装通信以供转发。
这类似于使用VPN访问远程网络,微分网段是实现零信任的关键要素(参见第8章)。
虚拟可扩展LAN(VXLAN),VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)是一种封装协议,可使VLAN(见第12章)跨子网和地理距离扩展。
VLAN通常仅限于第2层网络域,并且不能包含来自其他网络的成员,这些网络只能通过路由器入口访问。
此外,VXLAN允许创建多达1600万个虚拟网络,而传统VLAN仅限于4096个。
VXLAN可用作实现微分网段的手段,而且不仅限于本地实体。
RFC 7348中定义了VXLAN。
11.12 无线网络
无线网络被广泛应用,因为它易于部署且成本较低。
与任何有线网络一样,无线网络也会遇到同样的漏洞、威胁和风险,此外,还有远程窃听以及新形式的DoS和入侵威胁。
802.11是用于无线网络通信的IEEE标准。
该标准的各种版本(技术上称为修订)已经在无线网络硬件中实现,包括:
802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax。
如表11.3所述,每种方法都提供了更好的吞吐量。
使用与早期版本相同频率的后续修订版都将保持向后兼容性。
—————————————————————————————————————————
提示:
802.11x有时用于将所有这些特定实现统称为一个组;
然而,802.11是首选,因为802.11x很容易与802.1X混淆,后者是一种独立于无线的身份认证技术。
—————————————————————————————————————————
表11.3 802.11无线网络协议
※ 802.11g主要特点: 使用与早期版本相同频率的后续修订版都将保持向后兼容性。
Wi-Fi可以在ad hoc模式(也称为点对点Wi-Fi)或基础设施模式下部署。
ad hoc模式,意味着任何两个无线网络设备都可以在没有集中控制权限(即基站或接入点)的情况下进行通信。
Wi-Fi直连是ad hoc模式的升级版本,可支持WPA2和WPA3(ad hoc仅支持WEP) 。
基础设施模式意味着需要无线接入点(WAP),并且强制执行无线网络访问限制。
WAP(Wireless Application Protocol):无线应用协议
基础架构模式包括几种变体,包括:独立、有线扩展、企业扩展和桥接。
•独立模式部署,是指使用WAP使无线客户端彼此连接但没有连接到任何有线资源(因此,WAP是独立的)。
•有线扩展模式部署,是指由WAP充当连接点,将无线客户端链接到有线网络。
•企业扩展模式部署,是指使用多个无线接入点(WAP)将大型物理区域连接到同一有线网络。
每个WAP都将使用相同的扩展服务集标识符(ESSID),以便客户端在保持网络连接的同时在该区域漫游,使无线NIC将关联从一个WAP更改到另一个WAP。
•桥接模式部署,是指无线连接被用于连接两个有线网络。
这通常使用专用无线网桥,并在有线网桥不方便时使用,例如在楼层或建筑物之间连接网络时。
Fat AP,是一个完全自主管理的无线系统基站,作为独立的无线解决方案运行。
Thin AP,只是一个无线发射机/接收机,必须从被称为无线控制器的独立外部集中管理控制台进行管理。
优缺点:
使用Thin AP的好处是,ThinAP只处理无线电信号,而管理、安全、路由、过滤等都集中在管理控制台上。
Fat AP需要逐个进行配置,因此对企业使用来说没有那么灵活。
基于控制器的WAP是由中央控制器管理的Thin AP。
独立WAP是一个Fat AP, 可在本地掌控设备上的所有管理功能。
11.12.1 保护SSID
为无线网络分配SSID以将一个无线网络与另一个无线网络区分开。
从技术上讲,基础架构模式SSID有两种类型:扩展服务集标识符(ESSID)和基本服务集标识符(BSSID)。
扩展服务集标识符(ESSID),是使用WAP时无线网络的名称。
基本服务集标识符(BSSID),是基站的MAC地址,用于区分支持ESSID的多个基站。
独立服务集杠识符(ISSID), 由Wi-Fi直连或ad hoc模式使用。
SSID(Service Set Identifier,服务集标识)
如果无线客户端知道SSID,则可对其无线NIC进行配置,使其与关联的WAP进行通信。
但SSID并不总是允许接入,因为WAP可使用许多安全功能来阻止不必要的访问。
供应商默认定义SSID, 因此SSID是众所周知的。
标准安全实践规定在部署之前应将默认SSID更改为唯一的SSID。
WAP通过被称为信标帧的特殊传输来广播SSID。
信标帧允许其范围内的任何无线NIC看到无线网络并使连接尽可能简单。
应禁用此SSID的默认广播以保持无线网络的安全。
然而攻击者仍可通过无线嗅探器发现SSID, 因为SSID仍可用于连接的无线客户端和WAP之间的传输。
因此,禁用SSID广播的方案不是真正的安全机制。
因此,应该使用WPA2或WPA3, 这才是可靠的身份认证和加密解决方案。不应试图隐藏无线网络的存在。
11.12.2 无线信道
在无线信号的指定频率内对频率的细分被称为信道。可将信道视为同一条高速公路上的车道。
在2.4GHz频率范围内,美国有11个信道,欧洲有13个信道,日本有14个信道。
差异源于当地有关频率管理的法律(如联邦通信委员会的国际版本)。
当两个或更多个2.4 GHz接入点在物理上相对靠近彼此时,一个信道上的信号可能干扰另一个信道上的信号。
避免这种情况的一种方法是尽可能区别物理上靠近的接入点的信道,以最小化信道重叠干扰。
例如,如果建筑物有四个接入点沿着建筑物的长度排成一行,则信道设置可以是1、11、1和11。
但是,如果建筑物是方形的,并且每个角落都有一个接入点,则信道设置可能必须是1、4、8和11。
5GHz无线设计,旨在避免这种信道重叠和干扰问题。
2.4 GHz信道宽22MHz,间隔5MHz, 而5GHz信道宽20MHz,间隔20MHz。
因此,相邻的5GHz信道不会相互干扰。
此外,相邻的信道可以被组合到更大宽度的信道中以获得更快的吞吐量。
Wi-Fi频段/频率的选择应基于无线网络的用途及现有干扰水平。
2.4GHz通常是外部网络的首选,因为它可以在一定距离内提供良好的覆盖,但速度较慢;
5GHz通常是内部网络的首选,因为它提供了更高的吞吐最(但覆盖面积较小),而且不能穿透墙壁和家具等固体物体。
大多数mesh Wi-Fi选项基于5GHz, 使用三个或更多迷你WAP设备在整个家庭或办公室提供ML优化覆盖。
6GHz频谱所支持的160MHz带宽的信道,比5GHz频谱所支持的多7个。
因为6GHz频谱有连续的1.2 GHz频率范围,而5GHz 频谱中有多个非连续的频率范围。
相比于早期的Wi-Fi形式,这提供了更多的高速连接支持6GHz频谱的设备标有Wi-Fi6E(没有E的版本仅支持1~5GHz), 然而6GHz频谱更受障碍物和距离的限制。
11.12.3 进行现场调查
无线小区,是物理环境中无线设备可以连接到无线接入点的区域。
应该调整WAP的强度,以最大限度地增加授权用户的访问,并最大限度地减少外部入侵者的访问。
为实现这一点,可能需要特别的无线接入点、屏蔽和噪声传输的布置。
通常,WAP位置是通过执行现场调查并生成热图来确定的。
现场调查对于评估现有无线网络部署、规划当前部署的扩展以及规划未来部署都非常有用。
现场调查,是指使用射频信号检测器对无线信号强度、质量和干扰进行正式评估。
执行现场调查时,可将无线基站放置在所需位置,然后从整个区域收集信号测量值。
对这些测量值进行评估,以确定该位置在需要时是否存在足够的信号,同时尽量减少其他地方的信号。
如果调整了基站,则应再次进行现场调查。
现场调查的目标是最大限度地提高所需区域(如家庭或办公室)的性能,同时尽量减少外部区域未经授权的访问。
现场调查通常用于制作热图。
热图,是建筑物蓝图上的信号强度测量图。
热图有助于定位热点(信号过饱和)和冷点(信号不足),以指导WAP位置、天线类型、天线方向和信号强度的调整。
11.12.4 无线安全
Wi-Fi并不总是加密的,即使加密,加密也只在客户端设备和基站之间进行。
对于通信的端到端加密,在通过Wi-Fi传输通信之前,请使用VPN或加密通信应用程序对通信进行预加密。
有关基本加密的概念在第6章以及第7章。
原始的IEEE 802.11标准定义了两种方法,无线客户端可在无线链路上发生正常网络通信之前使用其中一种方法向WAP进行身份认证。
这两种方法分别是开放系统身份认证和共享密钥身份认证。
(1)开放系统身份认证(open system authentication, OSA),意味着不需要真正的身份认证。
只要可在客户端和WAP之间传输无线电信号,就可通信。
此外,使用OSA的无线网络通常以明文形式传输所有内容,因此不提供保密或安全性。
(2)使用共享密钥身份认证(shared key authentication, SKA)时,必须在网络通信发生前进行某种形式的身份认证。
802.11标准为SKA定义了一种被称为有线等效保密(WEP)的可选技术。
后来802.11标准增加了WPA、WPA2、WPA3和其他技术。
1. WEP
有线等效保密(Wired Equivalent Privacy, WEP) 由原始的IEEE 802.11标准定义。
WEP使用预定义的共享Rivest Cipher 4(RC4)密钥进行身份认证(即SKA)和加密;
不幸的是,共享密钥是静态的,并在WAP和客户端之间共享。
由于RC4的实施存在缺陷,WEP很弱,几乎一发布就被破解了。
今天,攻击者可在不到一分钟的时间内破解WEP, 幸运的是,你可以使用WEP的替代方案。
2. WPA
Wi-Fi 受保护访问(Wi-Fi Protected Access, WPA)被设计为WEP的替代品;
在新的802.11i版本发布前,这是个临时版本。
WPA是对WEP的一个重大改进,因为它不使用相同的静态密钥来加密所有通信。
相反,它与每个主机协商一个唯一的密钥集。此外,它将身份认证与加密分离。
WPA借用了当时还在起草的802.11i的认证选项。
WPA使用RC4算法,并采用临时密钥完整性协议(TKIP)或Cisco替代品——轻量级可扩展身份认证协议(LEAP)。
然而,WPA已不再安全。
针对WPA的攻击(即coWPAtty和基于GPU的破解工具)使得WPA的安全性不可靠。
大多数设备支持更新和更安全的WPA2/802.11i,但WPA仍可能被部署以支持EOSL或传统设备(尽管这是一个非常差的安全选项)。
————————————————————————————————————————
提示:
临时密钥完整性协议(TKIP)被设计为一种临时措施,以确保在不需要更换传统无线硬件的情况下支持WPA功能。
2004年,TKIP和WPA被WPA2正式取代。2012年,TKIP被正式弃用,不再被认为是安全的。
————————————————————————————————————————
3. WPA2
IEEE 802.11i或Wi-Fi受保护访问2(Wi-Fi Protected Access 2, WPA2)取代了WEP和WPA。
它实现了AES-CCMP,而不是RC4。迄今为止,还没有针对AES-CCMP加密的攻击成功。
但也有人利用WPA2密钥交换过程。
如果感兴趣的话,可以研究KRACK(密钥重新安装攻击)和Dragonblood攻击。
※WPA2取代了WPA和WEP。
————————————————————————————————————————
提示:
计数器模式和密码分组链接消息认证码协议(CCMP)(计数器模式/CBC-MAC协议)是两种分组密码模式的组合,通过分组算法实现流传输。
CCMP可用于许多分组密码。
AES-CCMP实现被定义为WPA2的一部分,它取代了WEP和WPA,并在WPA3中用作首选的无线加密方式。
————————————————————————————————————————
WPA2/802.11i 定义了两个“新“身份认证选项:
预共享密钥(PSK)或个人(PER)模式和IEEE802.1X 或企业(ENT)模式。
它们在WPA中也得到了支持,但在IEEE 802.11i 最终定稿之前,它们是从草案中借来使用的。
PSK使用静态固定密码进行身份认证。ENT支持利用现有AAA服务(如RADIUS或TACACS+)进行身份认证。
※
※增强WLAN(wireless localarea network,无线局域网)最好的方式是使用WPA2加密。
解析:
使用WPA2加密是增强WLAN安全性的最佳方式,因为它提供了强大的加密保护,确保数据在无线网络传输过程中的安全性。
WPA2(Wi-Fi Protected Access 2)是一种无线网络安全标准,它采用了更为复杂的加密算法,相比之前的WEP(Wired Equivalent Privacy)和WPA(Wi-Fi Protected Access),WPA2提供了更高级别的安全保护,能够有效防止未经授权的用户接入网络,从而保护网络免受潜在的攻击和数据泄露风险。
此外,WPA2还支持身份验证和加密的更新,进一步增强了无线网络的安全性1。
除了加密方式的选择,还有其他一些实践可以帮助增强WLAN的信号覆盖和稳定性,例如:
将路由器放置在家庭或办公空间的中心位置,确保信号能够均匀覆盖到各个角落。
避免将路由器放置在墙角、柜子或金属物品附近,以减少信号干扰。
定期清理路由器上的灰尘和定期重启路由器,以保持其最佳性能。
使用双频路由器,同时支持2.4GHz和5GHz频段,以提高网络速度并减少干扰。
调整路由器的天线方向,确保其朝向需要覆盖的区域。
这些措施可以与WPA2加密结合使用,以达到最佳的WLAN增强效果23。
————————————————————————————————————————
提示:
不要忘记与普通AAA服务相关的端口:RADIUS的UDP 1812和TACACS+的TCP 49。
————————————————————————————————————————
4. WPA3
Wi-Fi受保护访问3(Wi-Fi Protected Access 3, WPA3)于2018年1月最终确定。
WPA3-ENT使用192位AES CCMP加密, WPA3-PER保持128位AES CCMP。
WPA3-PER 将预共享密钥身份认证替换为对等同步身份认证。
一些802.11ac/Wi-Fi 5设备率先支持或采用了WPA3。
对等同步身份认证(Simultaneous Authentication of Equals, SAE)仍然使用密码,但它不再加密并通过连接发送该密码以执行身份认证。
相反,SAE执行被称为蜻蜓密钥交换(Dragonfly Key Exchange)的零知识证明过程,该过程本身就是Diffie-Hellman的衍生物。
该过程使用预设密码以及客户端和AP的MAC地址来执行身份认证和会话密钥交换。
WPA3还实现了IEEE 802.11w-2009管理帧保护,因此大多数网络管理操作都具有保密性、完整性、源身份认证和重播保护。
5. 802.1X/EAP
WPA、WPA2和WPA3都支持被称为802.1X/EAP的企业(ENT)身份认证,这是一种基于端口的标准网络访问控制,可确保客户端在进行正确身份认证之前无法与资源通信。
实际上802.1X是一种切换系统,允许无线网络利用现有网络基础设施的身份认证服务。
通过使用802.1X,可将其他技术和解决方案(如RADIUS、TACACS、证书、智能卡、令牌设备和生物识别技术)集成到无线网络中以提供相互身份认证和多因素身份认证。
可扩展身份认证协议(EAP)不是特定的身份认证机制;相反,它是一个身份认证框架。
实际上,EAP允许新的身份认证技术与现有的无线或点对点连接技术兼容。
有关EAP和802.1X的更多信息,请参阅第12章。
EAP初始握手使用了EAP-请求/响应消息类型。
在扩展认证协议(EAP)的初始阶段,客户端和服务器之间的通信通过特定的消息类型进行,以确保安全地建立连接并进行身份验证。
在EAP的初始握手过程中,使用的消息类型是EAP-请求/响应,这是EAP协议中用于启动和维持通信的基本机制。
通过这种消息交换,客户端和服务器能够确认彼此的身份,并建立起安全通信的基础。
EAP支持多种身份验证方法,包括MD5-Challenge和EAP-TLS,这些方法在后续的握手过程中可能会被用到,但初始的握手过程主要是通过EAP-请求和EAP-响应消息类型来完成的。
6. LEAP
轻量级可扩展身份认证协议(Lightweight Extensible Authentication Protocol, LEAP)是针对WPA的TKIP的Cisco专有替代方案。
这是为了解决在802.11i/WPA2系统成为标准之前TKIP中存在的缺陷。
2004年发布的一种名为Asleap的攻击工具可利用LEAP提供的最终弱保护。
应尽可能避免使用LEAP;建议改用EAP-TLS, 但如果你使用LEAP, 强烈建议使用复杂密码。
7. PEAP
受保护的可扩展身份认证协议(Protected Extensible Authentication Protocol, PEAP)将EAP方法封装在提供身份认证和可能加密的TLS隧道中。
因为EAP 最初被设计用于物理隔离通道,所以被假定为安全通道,因此,EAP通常不加密。PEAP可为EAP方法提供加密。
※PEAP将EAP方法封装在提供身份认证和可能加密的TLS隧道中。
11.12.5 Wi-Fi 保护设置
Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。
它旨在减少将新客户端添加到无线网络的工作量。
WPS触发时,它通过自动连接和自动对第一个新的无线客户端进行身份认证来初始化网络连接。
WPS可通过WAP上的按钮或可远程发送到基站的代码或PIN启动。
这允许了暴力猜测攻击,使得黑客能在6小时内猜测到WPS代码,这反过来又使黑客能将自己的未授权系统连接到无线网络。
————————————————————————————————————————
注意:
PIN码由两个四位数段组成,可一次猜测一个段,并得到每段基站的确认。
————————————————————————————————————————
WPS是大多数WAP默认启用的功能,因为它是设备Wi-Fi联盟认证的必要条件。
在以安全为中心的预部署过程中,有必要禁用它。
如果设备无法关闭WPS(或配置关闭开关不起作用),请升级基站固件版本或更换整个基站。
11.12.6 无线MAC过滤器
MAC过滤器可被用在WAP上以限制对已知或经批准设备的访问。
MAC过滤器是授权无线客户端接口MAC地址的列表,WAP使用该MAC地址来阻止对所有未授权设备的访问。
虽然这是一个潜在的有用功能,但它可能很难管理,并且往往只在小型静态环境中使用。
然而,即使使用WPA2或WPA3, 以太网报头仍以明文形式存在,这使得黑客能够嗅探和欺骗授权的MAC地址。
11.12.7 无线天线管理
各种天线类型可用于无线客户端和基站。
许多设备可将其标准天线替换为更强的天线(即信号增强)。
标准直线或极天线是全向天线,是在大多数基站和一些客户端设备上采用的天线类型。
这种类型的天线有时也被称为基础天线或橡胶鸭天线(由于大多数天线被柔性橡胶涂层覆盖)。
大多数其他类型的天线是定向的,这意味着它们将发送和接收能力集中在一个主要方向上。
定向天线的一些示例包括:
八木天线、卡特纳天线、平板天线和抛物线天线。
•八木天线 的结构类似于传统的屋顶电视天线,由一根直杆和几根横杆组成。
•卡特纳天线 由一个一端密封的管构成。
•平板天线 是扁平设备,仅从面板的一例聚焦。
•抛物线天线 用于聚仕来自极长距离或弱源的信号。
在寻求最佳天线放置时,请考虑以下准则:
•使用中心位置。
•避免固体物理障碍。
•避免反光或其他扁平金属表面。
•避免电气设备。
如果基站具有外部全向天线,则通常应将它们垂直向上定位。
如果使用定向天线,请将焦点指向所需的区域。
请记住,无线信号会受到干扰、距离和障碍物的影响。
一些WAP提供天线功率电平的物理或逻辑调整。
功率电平控制通常由制造商设置为适合大多数情况的值。
在进行现场勘测后,如果无线信号仍然不能令人满意,则可能需要进行功率电平调整。
在提高连接可靠性方面,通常更需要改变通道,避免反射和信号散射面,以及减少干扰。
调整功率级别时,请进行微调,而不是尝试最大化或最小化设置。
另外,请记下初始/默认设置,以便你根据需要回退到默认设置。
每次调整功率级别后,重启WAP, 然后重新进行现场勘测和质量测试。
有时降低功率水平可以提高性能。
某些WAP能够提供超出当地法规允许范围的功率水平。
11.12.8 使用强制门户
强制门户,是一种身份认证技术,可将新连接的客户端重定向到基于Web的门户网站访问控制页面。
门户页面可能要求用户输入支付信息,提供登录凭证或输入访问代码。
强制门户还用于向用户显示可接受的使用策略、隐私策略和跟踪策略。
用户必须先同意策略才能通过网络进行通信。
强制门户通常位于为公共用途实施的无线网络上,例如酒店、餐馆、酒吧、机场、图书馆等。
但它们也可用于有线以太网连接。
强制门户可用于业主或管理员希望限制授权实体(可能包括付费客户、过夜客人、已知访客或同意安全策略或服务条款的人)访问的场景。
11.12.9 一般Wi-Fi 安全程序
以下是部署Wi-Fi网络时要遵循的一般指南或步骤。
这些步骤按照规划和应用(安装)的顺序进行。
(1) 更新固件。
(2) 将默认管理员密码更改为独特复杂的密码。
(3) 启用WPA2或WPA3加密。
(4) 用长而复杂的密码启用ENT身份认证或PSK/SAE。
(5) 更改SSID(默认值通常为供应商名称)。
(6) 更改无线MAC地址(以隐藏默认MAC地址的OUI和设备品牌/型号编码)。
(7) 根据部署要求决定是否禁用SSID广播(即使这不会增加安全性)。
(8) 如果无线客户端数量很少(通常小于20),启动MAC地址过滤并使用静态IP地址。
(9) 考虑使用静态IP地址,或使用预留设置配置DHCP(仅适用于小型部署)。
(10) 将无线视为外部或远程访问,并使用防火墙将WAP与有线网络分开。
(11) 将无线视为攻击者的入口点,并使用NIDS监控所有WAP到有线网络的通信。
(12) 部署无线入侵检测系统(WIDS)和无线入侵预防系统(WIPS)。
(13) 考虑在Wi-Fi链路上使用VPN。
(14) 部署强制门户。
(15) 跟踪/记录所有无线活动和事件。
11.12.10 无线通信
1. 通用无线概念
无线通信使用无线电波在一定距离上传输信号。无线电频谱使用频率区分。
频率是特定时间内波震荡次数的测量值,使用单位赫兹(Hz)或每秒振荡来表示。
无线电波的频率在3Hz和300GHz之间。
为管理有限的无线电频率的同时使用,人们开发了几种频谱使用技术,包括:扩频、FHSS、DSSS和OFDM。
————————————————————————————————————————
注意:
大多数设备在一小部分频率内运行,而不是在所有可用频率内运行。
这是因为频率使用规定(如美国的FCC) ,以及预计出现的功耗和干扰。
————————————————————————————————————————
•扩频(Spread Spectrum)意味着通信在多个频率上发生。
因此,消息被分成几部分,并且每个部分同时发送但使用不同的频率。
实际上,这是并行通信,而不是串行通信。
•跳频扩频(Frequency Hopping Spread Spectrum, FHSS)是扩频概念的早期实现。
FHSS在一个频率范围内串行传输数据,但一次只使用一个频率。
•直接序列扩频(Direct Sequence Spread Spectrum,DSSS) 同时并行使用频率。
DSSS使用被称为码片编码的特殊编码机制,即使信号的某些部分因干扰而失真,也允许接收机重建数据。
•正交频分复用(Orthogonal Frequency-Division Multiplexing, OFDM)采用数字多载波调制方案,允许更紧凑的传输。
调制信号是垂直的(正交的),因此不会相互干扰。
最终OFDM需要更小的频率集(即信道频带),但可提供更大的数据吞吐量。
2. 蓝牙(802.15)
蓝牙在IEEE 802.15中定义,使用2.4 GHz频率。
在大多数实现中,蓝牙默认为传送纯文本,但可以使用专用发射机和外围设备对其进行加密。
蓝牙在已配对的设备之间运行,这些设备通常使用默认的配对代码,如0000或1234。
蓝牙通常是一种短距离通信方法(用于创建个人局域网络),但该距离取决于配对设备天线的相对强度。
蓝牙的标准或官方使用范围可达100米。
蓝牙低能耗设备(蓝牙LE、BLE、蓝牙智能)是标准蓝牙的低功耗衍生产品。
BLE 被设计用于物联网、边缘/雾设备、移动设备、医疗设备和计步器。
它使用更低的功率,同时保持与标准蓝牙类似的传输范围。
iBeacon 是Apple公司基于BLE开发的位置跟踪技术。
通过iBeacon, 商店可以在顾客购物时跟踪他们,顾客也可将它用作室内定位系统来导航到室内位置。
标准蓝牙和BLE不兼容,但它们可以在同一设备上共存。
蓝牙易受多种攻击:
•蓝牙嗅探(bluesniffing) 是以蓝牙为中心的网络数据包捕获。
•蓝牙攻击(bluesmacking) 是针对蓝牙设备的DoS攻击,可以通过传输垃圾流量或干扰信号来实现。
•蓝牙劫持(bluejacking) 涉及在未经所有者/用户许可的情况下向支持蓝牙功能的设备发送未经请求的消息。
这些信息可能会自动出现在设备屏幕上,但许多现代设备会提示是否显示或丢弃这些信息。
•蓝牙侵吞(bluesnarfing) 是通过蓝牙连接对数据进行未经授权的访问。
有时,术语蓝牙劫持被错误地用来描述或标记蓝牙侵吞的活动。
蓝牙侵吞通常发生在黑客系统和目标设备之间的成对链路上。
但是,如果不可发现设备的蓝牙MAC地址已知,则蓝牙侵吞也可以用于不可发现设备,而且可以使用蓝牙嗅探收集信息。
•蓝牙窃听(bluebugging) 允许攻击者通过监牙连接远程控制设备的硬件和软件。
该攻击启用受损系统上的麦克风,以将其用作远程无线缺陷,并因此而得名。
所有蓝牙设备都容易受到蓝牙嗅探、蓝牙攻击和蓝牙劫持的攻击。
只有少数设备被发现易受蓝牙侵吞或蓝牙窃听攻击。
蓝牙威胁的防御措施:
都是尽量减少蓝牙的使用,尤其是在公共场所,不使用蓝牙时应将其完全关闭。
3. RFID
射频识别(Radio Frequency Identification, RFID)是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术(图11.7)。
RFID可从相当远的距离(可能数百米)触发/供电和读取。
RFID可以连接到设备和部件或被集成到其结构中。
可进行快速的资产库存跟踪,而不必直接接近物理设备。
只需要携带RFID读取器,黑客就可以收集该区域内芯片传输的信息。
图11.7 RFID 天线
有人担心RFID可能是一种侵犯隐私的技术。
如果你拥有带RFID芯片的设备,那么任何拥有RFID阅读器的人都可记录芯片上的信号。
当RFID芯片靠近读取器时会被唤醒并响应,芯片(也称为RFID 标签)发送唯一的代码或序列号。
如果没有将数字与特定对象(或人)相关联的相应数据库,那么这个唯一的数字是没有意义的。
但是,如果你是周围唯一的人并且有人检测到你的RFID芯片代码,则其可将你和你的设备与该代码相关联,以便将来检测相同的代码。
4. NFC
近场通信(near-field communication, NFC) 是在非常接近的设各之间建立无线电通信的标准(如无源RFID的几英寸与英尺)。
它允许你通过使设备相互接触或将它们放在彼此相距几厘米的范围内来执行设备之间的自动同步和关联。
NFC可以被用作现场供电或现场触发设备。
NFC是RFID的衍生技术,其本身就是一种现场供电或手动触发设备。
NFC通常出现在智能手机和许多移动设备上。
它通常用于与WAP链接,执行设备到设备数据交换,建立直接通信或访问更复杂的服务,如WPA2/WPA3加密无线网络。
许多非接触式支付系统都基于NFC。
NFC可以像RFID一样工作(例如使用NFC卡片或贴纸时),或者支持更复杂的交互。
NFC芯片可以支持挑战—响应对话,甚至可以使用公钥基础设施(PKI)加密解决方案。
针对NFC的攻击包括路径攻击、窃听、数据操纵和重放攻击等。
因此,虽然一些NFC实现支持可靠的身份认证和加密,但并非所有NFC实现都支持。
最好的做法是在需要使用NFC功能之前将其禁用。
11.12.11 无线攻击
1. Wi-Fi 扫描器
战争驾驶(war driving) 是某些人使用检测工具寻找无线网络信号的行为。
他们通常无权访问这些无线网络。
该名称来自战争拨号的传统攻击概念,用于通过拨打前缀或区号中的所有数字来发现活动的计算机调制解调器。
可使用专用手持式探测器,使用带有Wi-Fi功能的移动设备,或使用带有无线网卡的笔记本电脑甚至无人机来进行战争驾驶。
它可以使用操作系统的本机功能或使用专们的扫描和检测工具(即无线扫描仪)来执行。
无线扫描仪用于检测无线网络的存在。
由于基站将发射无线电波,即使是禁用SSID广播的基站,也可以检测到任何未封装在法拉第笼中的活动的无线网络。
无线扫描仪能够确定该区域是否存在无线网络、使用的频率和信道、SSID以及使用的加密类型(如果有)。
无线破解可以用来破解WEP和WPA网络的加密。
如果设备自2017年以来未更新,WPA2网络可能容易受到密钥重装攻击(KRACK)。
2. 恶意接入点
为方便起见,员工可种植流氓WAP, 也可由物理入侵者在内部安装,或由攻击者在外部操作。
此类未经授权的访问点通常未做安全配置,或者未能与组织合法的访问点保持一致的安全配置。
应该发现和删除流氓WAP, 以消除不受监管的指向安全网络的访问路径。
外部攻击者也可针对你现有的无线客户端或未来访问的无线客户端,部署流氓WAP或错误WAP。
对现有无线客户端的攻击要求对流氓WAP进行配置,以复制有效WAP的SSID、MAC地址和无线信道,但以更高的额定功率运行。
这可能导致保存无线配置文件的客户无意中选择或倾向于连接到流氓WAP, 而不是有效的原始WAP。
第二种使用流氓WAP的方法侧重于吸引新的访问无线客户端。
通过将SSID设置为看起来和原始有效SSID一样合法的备用名称,这种类型的流氓WAP配置有社会工程技巧。
流氓WAP不需要克隆原始WAP的MAC地址和信道。
为防御流氓WAP, 可操作WIDS来监视无线信号滥用,例如新出现的WAP, 尤其是那些使用模仿的SSID和MAC操作的WAP。
管理员或安全团队成员可以尝试通过使用无线扫描仪和定向天线进行三角测量来定位恶意WAP。
一旦找到恶意设备,就可以转而调查它是如何到达那早的以及谁对此负责。
对于客户端,最好的选择是连接无线链路时使用VPN,并且只有成功建立VPN连接时,才应使用无线链路。
可以在专用网络中为本地无线客户端设置VPN, 也可在连接到公共无线网络时使用公共VPN提供商。
3. Evil Twin
Evil Twin是种攻击,其中黑客操作虚假接入点,该接入点将根据客户端设备的连接请求自动克隆(或孪生)接入点的身份。
每当典型设备成功连接到无线网络时,它都会保留无线网络配置文件。
当设备处于相关基站的范围内时,可用这些无线配置文件自动重新连接到网络。
每次在设备上启用无线适配器时,都会在其无线配置文件历史记录中向每个网络发送重新连接请求。
这些重新连接请求包括原始基站的MAC地址和网络的SSID。
Evil Twin攻击系统窃听这些重新连接请求的无线信号。
一旦Evil Twin看到重新连接请求,它就用这些参数伪造它的身份,并提供与客户端的明文连接。
客户端接受请求并与虚假Evil Twin基站建立连接。
这使得黑客能通过路径攻击窃听通信,这可能导致会话劫持、数据操纵凭证被盗和身份盗用。
此攻击之所以有效,是因为身份认证和加密由基站管理,而不是由客户端强制执行。
因此,即使客户端的无线配置文件将包括认证凭证和加密信息,客户端也将接受基站提供的任何类型的连接,包括纯文本。
为了防御Evil Twin攻击,请注意设备连接的无线网络。
如果你的设备连接到一个已知不在附近的无线网络,则可能表示你受到了攻击。
请断开连接并连接其他可信的网络。
你还应该从历史记录列表中删除不必要的旧无线配置文件,以便为攻击者提供更少的目标选项。
你很容易被愚弄,以为自己连接到了正确有效的基站,或者连接到了错误的基站。
在大多数系统上,你可以检查当前是否正在使用通信安全(即加密)。
如果你的网络连接不安全,你可以断开连接并转到其他位置,或者连接到VPN。
即使你的网络属性显示有效的安全类型,我们仍然建议你在使用无线连接时尝试连接VPN。
4. 解除关联
解除关联(disassociation) 是许多类型的无线管理帧之一。
当客户端连接到同一ESSID网络覆盖区域中的另一个WAP时,解除关联帧用于断开客户端与一个WAP的连接。
如果它被恶意使用,客户端将丢失其无线连接。
类似的攻击可以使用取消身份认证数据包执行。
此数据包通常在客户端启动WAP身份认证后立即使用,但无法提供正确的凭证。
但是,如果在连接会话期间发送,客户端会立即断开连接,就像身份认证失败一祥。
这些管理帧可用于多种形式的无线攻击,包括:
•对于具有隐藏SSID的网络,将MAC地址伪造为WAP地址们解除关联数据包并将其发送到连接的客户端,
导致客户端失去连接,然后发送重新关联请求数据包(尝试重新建立连接),其中包括已清除的SSID。
•攻击可以向客户端发送重复的解除关联帧以防止重新关联,从而导致拒绝服务。
•会话劫持事件可以通过使用解除关联帧来启动,以使客户端保持断开连接的状态,同时攻击者模拟客户端并通过WAP接管其无线会话。
•通过使用解除关联帧断开客户端连接,可以实现路径攻击。
攻击者使用的SSID和MAC与原始WAP的相同,而且其流氓/假WAP提供更强的信号;
一旦客户端连接到错误的WAP, 攻击者就会连接到有效的WAP。
针对这些攻击的主要防御措施:是运行WIDS 以监控无线滥用。
5 阻塞
阻塞(jamming)是指通过降低有效信噪来故意阻止或干扰通信的无线电信号传输。
为了避免或尽量减少干扰和阻塞,首先要调整设备的物理位置。
接下来,检查是否有使用相同频率或信道的设备(即信号配置)。
如果存在冲突,则更改可控制设备上使用的频率或频道。
如果发生干扰攻击,请尝试对攻击源进行三角定位,并采取适当步骤解决问题,即,如果问题源在你的实际位置以外,请联系执法部门处理。
6. 初始化向量滥用
初始化向量(initialization vector, IV)是随机数的数学和加密术语。
大多数现代加密功能使用IV来降低可预测性和可重复性,从而提高其安全性。
当IV过短,以明文交换或选择不当时,IV会成为弱点。
IV攻击的一个例子是使用aircrack-ng套件中的wesside-ng工具破解WEP加密。
7. 重放
重放攻击(replay attack)是指重传捕获的通信,以期获得对目标系统的访问。
重放攻击试图通过对系统重播(即重新传输)捕获的通信量来重新建立通信会话。
这使攻击者在不拥有账户的实际凭证情况下授予对方访问账户的权限。
重放攻击概念还用于对付不包含时间保护的加密算法。
在这种攻击中,恶意的个人拦截双方之间的加密消息(通常是身份认证请求),然后“重放”捕获的消息以打开新会话。
目前存在许多无线重放攻击变体,包括捕获典型客户端的新连接请求,然后重放该连接请求,以欺骗基站进行响应,就像启动了一个新的客户端连接请求一样。
无线重放攻击还可通过重新发送基站的连接请求或资源请求来关注DoS, 以使其专注于管理新连接,而不是维护现有连接并为其提供服务。
防御措施:
可通过保持基站的固件更新来减轻无线重放攻击。
WIDS将能检测到此类滥用情况,并及时通知管理员有关情况。
其他防御措施包括:
使用一次性身份认证机制,每条消息包含时间戳和过期期限,使用基于挑战—响应的身份认证以及使用顺序会话标识。
11.13 其他通信协议
除了通用和标准以太网和无线解决方案之外,还有许多其他通信协议选项,可对其进行考虑和评估以供使用。
LiFi(Light Fidelity) 是一种利用光进行无线通信的技术。
它用于在设备之间传输数据和位置信息。
它使用可见光、红外线和紫外线光谱来支持数字传输。它的理论传输速率为100Gbps。
LiFi有潜力用于基于无线解决方案但存在电磁辐射干扰问题的领域。
设备之间的直接视线提供了最佳吞吐量,但信号也可通过反射面传输,以保持最低程度的数据传输(通常约70Mbps) 。
然而,即使具备这些潜力,LiFi仍然没有在市场上站稳脚跟。
LiFi 被限制在比无线电信号更小的范围内,不被认为是一种可靠的传输方式,并且仍然比Wi-Fi 解决方案昂贵得多。
卫星通信(satellite communications) 主要基于地面位置和在轨人造卫星之间的无线电波传输。
卫星用于支持电话、电视、广播、互联网和军事通信。
卫星可以定位在三个主要轨道上:
近地轨道(LE0)160~2000千米、中地轨道(ME0)2000~35786千米和地球同步轨道(GE0)35786千米。
•近地轨道卫星,通常比其他轨道具有更强的信号,但它们对应地球的位置不同,因此必须使用多个设备来保持覆盖范围。
Starlink(来自SpaceX)是基于近地轨道卫星的互联网服务的一个例子。
Starlink 计划部署一个由40000多颗卫星组成的星座,通过太空服务提供互联网全球覆盖。
•中地轨道卫星,在相同地面位置上空的时间比近地轨道卫星长。
单个中地轨道卫星通常也比近地轨道卫星具有更大的传输面积(其发射器/接收器覆盖的地球面积)。
然而,由于轨道较高,中地轨道卫星会有额外的延迟和较弱的信号。
•地球同步轨道卫星,在天空中似乎没有运动,因为它们以与地球自转相同的角速度围绕地球旋转。
因此,地球同步轨道卫星在地面位置上方保持固定位置。
地球同步轨道卫星的传输面积比中地轨道卫星的更大,但延迟也更高。
但是,地球同步轨道卫星不需要地面站跟踪卫星在天空中的移动,而对于近地轨道和中地轨道卫星来说这是必要的,因此地球同步轨道地面站可以使用固定天线。
窄带无线通信(narrow-band wireless) 技术被SCADA系统广泛用于在电缆或传统无线无效或不合适的距离或地理空间进行通信。
应监控和加密窄带无线通信。
Zigbee是一种基于蓝牙的物联网设备通信的概念。
Zigbee具有低功耗和低吞吐率,并且需要接近设备。
Zigbee通信使用128位对称算法加密。
—————————————————————————————————————————
注意:
基带无线电是指将无线电波用作单一通信的载体。Wi-Fi和蓝牙是基带无线电的例子。
所有基带无线电的使用都应该被识别、监控和加密。
—————————————————————————————————————————