1.企业无线安全概述

在无线网络快速发展过程中,很大一部分企业并没有对无线网络的安全给予足够的重视,只是随着对无线网络需求的出现,逐步组建起了无线网络。目前,无线网络事实上已经成为了企业移动化办公的重要基础设施,但由于普遍缺乏有效的管理,部署与使用人员的安全意识和专业知识的不足,导致AP分布混乱,设备安全性脆弱,无线网络也越来越多的成为黑客入侵企业内网系统的突破口,由此给企业带来新的安全威胁。

比如近年来由无线网络引发的多起企业安全事件:

– 2014年,某留学中介Wi-Fi安全导致数据库泄露;

– 2015年3月,由于某公司内部存在开放的Wi-Fi网络,导致超级计算机天河一号被入侵,大量敏感信息疑遭泄漏;

– 2015年5月,有用户在T1航站楼使用登机牌登录Wi-Fi网络时,发现由于机场Wi-Fi提供商的服务器安全设施不足和代码漏洞,可导致服务器中的用户隐私数据被泄漏及登机人信息被窃取;

– 2016年,某手机售后中心Wi-Fi安全导致内网漫游;

– 2017年,国内某航空公司Wi-Fi安全导致内网漫游。

企业无线热点类型

企业内部存在的热点大概可以分为这几类:

1.  企业自建热点

为了满足自身业务需要或方便员工网络访问需求,大部分企业都开始在内部组建无线网络。这种企业有规划的搭建的热点,称为合法热点。

2. 非企业自建热点

除企业自建热点外的所有热点,又可分为以下几类。

外部热点

由于无线网络的穿透性和边界不确定性,在某些邻近的企业,无线网络可能会互相覆盖,也就是说在A企业可能会找到B企业的热点,在B企业也可能会找到A企业的热点。

员工私建热点

如今随身Wi-Fi产品种类越来越多,使用越来越方便,只要插到有网络的电脑设备上即可分享一个跟此网络连通的无线网络;在自身有无线网卡的设备上还可以通过应用程序直接创建无线网络。

恶意热点

一些攻击者还可能会故意在企业周围建立恶意热点,采用与企业热点相同或类似的名称,使企业员工的终端在有意或者无意间尝试连接该热点。随后攻击者通过对热点中的流量进行分析或者通过钓鱼的方式,从而获取员工敏感信息,获取内网登录凭证,进而入侵企业内网。

综上所述,在企业内可能出现很多种热点,这些热点有企业内部合法建立的,也有因为其他原因客观存在于企业内部的私建热点等,各种热点都存在不同的安全隐患和问题。我们将在本文中了解针对企业级无线环境的渗透测试方式。

2. 802.1X热点

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81516708.png

802.1X 最初是为有线接入而设计,由于连接需要物理接触,并没有太多安全方面的考虑。而无线网络的出现使设备接入变得十分容易,因此需要对802.1X的安全性进行加强,即增强EAP协议的安全性。除了热点验证用户身份的需求外,用户也需要确保正在连接的热点是合法热点,也即双向认证的需求。基于 IETF 的 TLS 标准就可以较好的实现这两点需求,之后三种基于TLS的EAP协议就被研制了出来:EAP-TLS、EAP-TTLS、EAP-PEAP。

由于PEAP与Windows操作系统具有良好的协调性,其可以通过Windows组策略进行管理使得PEAP在部署时极其简单。同时,由于PEAP兼容几乎大部分厂商的设备,因此大多数企业在部署无线网络时一般都会选择采用PEAP-MSCHAP v2、AD认证(域账户)的架构。

PEAP通过类似SSL机制为认证提供传输层的安全,需要企业去向CA购买证书或者自建PKI系统来签署用于无线网络的证书,同时将根证书部署到每个客户端。“将根证书部署到每个客户端”这个要求显然是存在极大的运营成本,许多企业都选择直接忽视,而用户可能会面对未经认证的证书,如下图:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/80787994.png

这就导致一些问题:

未认证的证书显示效果都是相似的,所以任何人都可伪造出显示效果类似的钓鱼热点;
用户对于“是否信任”等对话框会习惯性点击接受;
许多客户端(Android)不对服务端证书验证。

攻击PEAP热点

针对采用此类不安全配置的PEAP网络,攻击流程如下:

1. 建立伪造热点和RADIUS服务器。

2. 在客户端与伪造热点连接并建立TLS隧道后,记录用户与伪造Radius服务器认证交互时传递的凭证信息(Challenge/Response)。

3. 通过字典攻击破解密码。

其中第1,2步可使用hostapd-wpe工具,其通过为hostapd提供补丁程序的形式使其支持对 PEAP/MSCHAPv2、EAP-TTLS/MSCHAPv2等认证类型的攻击。在最新的Kali Linux系统软件仓库中可以通过命令“`apt install hostapd-wpe“`自动安装并配置证书等。默认的网络配置文件为“`/etc/hostapd-wpe/hostapd-wpe.conf“`,可以在该文件中修改网络接口、网络名称、信道、证书文件目录等,如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81701388.png

我们可以自定义证书信息,修改certs目录中ca.cnf,server.cnf,client.cnf三个文件的以下字段:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81742778.png

并生成新的证书文件:

cd /etc/hostapd-wpe/certs

rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* //删除原有证书文件

make clean

./bootstrap

make install

证书生成完成后,通过命令hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf即可建立该钓鱼网络。我们通过终端对该热点进行连接,可以看到的证书信息如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81783598.png

一旦信任证书并输入账号密码后,便能在控制台观察到被记录的hash值(Challenge/Response),日志同时也会保存在hostapd-wpe.log文件中。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81888252.png

接下来我们需要对获取到的hash进行破解运算,可以使用Asleap、John the Ripper、hashcat等工具。在hostapd-wpe的日志中同时生成了NETNTLM格式的hash,该格式可以直接被John the Ripper和hashcat使用。这里以asleap工具为例:

asleap -C Challenge值 -R Response值 -W 字典文件

破解成功后效果如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81920321.png

通过上述方法,我们利用虚假热点获取用户传输的凭证Hash,在破解成功后即可利用用户凭证进入网络。

3. Captive Portal热点

Captive Portal认证通常也称为WEB认证,其经常部署在大型的公共无线网络或企业无线网络中,如商店、机场、会议、银行等等。当未认证用户连接时,会强制用户跳转到指定页面,具体的实施方式不止一种,例如HTTP 重定向、ICMP 重定向、DNS 重定向等。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82122614.png

Captive Portal认证通常被部署于开放式网络中,往往会存在几个攻击点:

3.1 被动窃听

在开放式网络中,802.11数据帧在传输时未对上层数据进行加密,这意味着采用空口抓包的方式即可发现所有无线客户端与该热点交互的明文数据流。比如用户访问网站时产生的HTTP数据等,其中具体内容可被黑客直接通过被动嗅探的方式得到,如下图:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82336364.png

在2018年6月5日,Wi-Fi 联盟推出了Wi-Fi CERTIFIED Enhanced Open(增强型开放式网络)。其针对被动窃听攻击,对开放式网络提供了保护。Wi-Fi Enhanced Open基于OWE(Opportunistic Wireless Encryption),为每位用户提供单独的加密方式,以保证设备与Wi-Fi接入点之间的网络信道安全。

Wi-Fi Enhanced Open 采用过渡式的模式部署,以在不干扰用户或运营商情况下,逐步从开放式网络迁移到Wi-Fi Enhanced Open网络。不过这也意味着在Enhanced Open被广泛应用前,绝大部分的无线设备依旧会受该缺陷的影响。

3.2 攻击Captive Portal服务器

前面提到,Captive Portal实际上是一个Web认证,这实际上就引入了Web方面的安全威胁。

笔者大学期间,校园无线网络便使用了Portal认证,该认证系统默认使用了学号同时作为用户名及初始密码。于是笔者通过爆破攻击(Bruce force)的方式,在Portal登录页面对全校所有学生学号进行了尝试,通过页面返回长度来判断是否登录成功,最后笔者得到了数千个有效的上网账号。这便是利用了Web应用的弱密码缺陷及无防暴力破解缺陷而实施的一种组合攻击。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83830771.png

处于内网的应用系统往往还具有一个特点,它们往往使用着较老版本的系统,比如我们发现许多的企业的Portal服务使用了Struts2框架进行构建,而该框架曾经被爆出过大量的远程代码执行漏洞,导致我们往往能通过现成的利用工具进行远程代码执行。

3.3 伪造MAC地址绕过认证

Captive Portal认证基于MAC地址来区分不同客户端,这意味着伪造成已通过认证客户端的MAC地址就能绕过认证。

macchanger -m xx:xx:xx:xx:xx:xx wlan0

3.4 钓鱼热点

无线客户端会尝试自动重连相同名称相同加密方式的热点,比如当你从回家时你的手机会自动连上家里的Wi-Fi而不用再手动输入密码进行连接。而如果你之前连接过一个无密码的开放式热点,攻击者就只需要将名称设为相同就能满足条件,并吸引你的无线设备自动连入钓鱼热点了。

通过钓鱼热点获取用户敏感信息的文章网上已有很多,这里不再赘述。除了使用hostpad配合dnsmasq来搭建钓鱼热点外,也可以使用Wifiphisher等工具来一键建立。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82883711.png

3.5 ACL配置错误

在我们做渗透测试时发现一些网络存在ACL配置错误的情况。虽然没有通过认证无法访问互联网资源,但是内网的资源都可以直接访问,对于渗透测试者来说,不能访问互联网没有关系,只要可以访问内网资源就可以了。

4. 私建热点

在Wi-Fi技术流行以前,企业内网中的电脑都是通过有线方式进行连接的,企业网络的拓扑结构和网络边界通常也是固定的。但是,自从Wi-Fi技术普及以来,企业的内网边界正在变得越来越模糊。特别是私搭乱建的Wi-Fi网络,给企业的内网安全造成了极大的隐患。为了减少网络数据费用,企业员工更倾向于将他们的无线设备连入企业网络。如果企业并未提供这样满足上网需求的热点,员工往往会尝试通过私接路由器或者利用USB无线网卡的方式来建立无线热点。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83500093.png
在大多数企业中,私建热点已成了一种普遍现象。这些私建的Wi-Fi网络实际上是在已得到准入授权的设备上开放了一个新的入口,使得未经授权的设备可以通过这个入口不受限制的接入内网系统,而且管理员很难发现。同时它们往往都没采用安全的加密模式及高强度的密码,极易遭到黑客攻击。其中较著名的一次事件,2015年,一个初中生通过一个开放式热点网络连入了企业内网,通过ssh弱口令登陆到了天河一号超级计算机的节点。

更糟的是,中国有许许多多的Wi-Fi密码分享应用,上面提供了大量共享的Wi-Fi热点可供用户连接。为什么会有这么多共享的热点呢,这是因为它们往往会诱导用户将用户自己的密码分享出去,比如安装时默认勾选自动分享Wi-Fi,一旦你使用这个软件连接自己的家庭Wi-Fi网络,你的密码就会被上传并公开。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83164041.png

但对于渗透测试人员而言,这无疑是一个密码宝库。在我们实际的渗透测试中,发现许多在政府部门、金融机构的内部热点都被分享到了这些密码共享平台,其中的大部分实际上就是员工的私建热点。由于这些热点具有办公网络的访问权限,利用它们就可以毫不费劲的访问到企业内部的敏感信息系统。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83554432.png

针对私建热点的攻击很简单,可混合采用以下方式:
1. 打开密码分享APP,在目标企业员工较多的楼层进行巡检,尝试发现可供连接的分享热点。若发现分享的热点,尝试连接并测试是否具有内网连接权限。

2. 通过airodump、kismet等工具扫描企业内部的无线热点,若发现WEP热点直接进行破解;若发现WPA热点收集握手包,并使用弱密码字典尝试破解。

5. 企业无线安全现状总结

无线安全的概念已经在国内兴起很多年了,但大部分企业的对于无线网络防护的落实还都处于刚起步阶段。根据我们天马安全团队这几年对外的无线渗透服务来看,存在的主要问题包括:

1. 传统安全防护无法应对无线威胁

国内安全市场对用户灌输的理念仍然是如何对有线网络进行防护加强,有线网络安全设备部署在网络出口,可以防范来自互联网的安全威胁,但由于无线网络提供服务的特殊性及有线网络防护技术的限制,应对来自无线的安全威胁时往往束手无策。用户无法了解无线网络空间中,有谁在使用无线网络?无线网络周围是否具有潜在威胁?有没有黑客入侵无线网络?这些问题,传统的有线网络安全手段均无法解决。

2. 无线安全风险高,攻击手段多样。

据Gartner调查显示,在众多网络安全威胁中,WLAN所面临的安全威胁处于最高风险等级,一个方面是由于目前对于网络安全的建设还只是停留在对有线网络的防护,无线网络还未纳入到基本的安全建设计划中,因此如何防范针对WLAN的攻击,还没有形成有效的共识。另一方面,黑客不断寻找有漏洞的边界,一旦发现没有防护的边界,便可轻松突破并带来严重后果。因此攻与防的不对等态势导致无线网络变成安全风险最高的网络领域。

3. 关于无线网络的安全建设存在误区。

当前部分企业和政府机关为提高办公效率都已建设或拟建设无线网路作为已有办公方式的重要补充,但是配套的无线网络安全建设却被忽视。不论是未部署无线的企业,还是已部署无线的企业,其实都存在数据泄漏的风险,例如“我们没有部署无线,风险与我们没关系”、“我们的无线已经足够安全”、“我们的手机安装有安全软件”等想法都是与当前无线安全威胁所造成的事实不相符的。

实际上,针对企业无线网络存在的这些安全问题,我们在14年就孵化了一款针对企业无线环境的无线入侵防御系统——360天巡。(为避免广告嫌疑,这里不再详述,感兴趣读者可以通过外链查看)

通过本文,希望大家可以了解到企业无线网络的常见脆弱点,企业安全管理人员也可以针对这些脆弱点加强保护,减少由无线网络导致的企业入侵事件。