360無線安全負責人如何對入侵做到未卜先知

t.cn/eadw9pe。

現在無線基本上已經非常普遍了，基本上**都可以搜尋到wifi，因此企業會面臨的各種安全問題。我們今天就來聊聊無線安全相關的一些東西。

無線的不安全性，相信無論是公司還是個人都有所了解。但是很多公司在制定相關防禦標準或體系的時候，往往都沒有將無線安全作為乙個關注點。因為他們雖然知道無線不安全，卻不知道其不安全的點到底在哪。

前面提到的那些wifi，其實只有0.4%是存在高風險的。所謂高風險是指各大廠商通過wifi發現其中有arp碎片、dns碎片或者對內網的攻擊方式的哪一類。生活中一旦連線到這些有風險的wifi，我們的資產和資料就會面臨被黑的風險。

前面主要講的是c端方面，現在來看下提供wifi接入的裝置廠商的漏洞樹狀圖。圖中的標題是iot device，所以並不僅指無線解決方案。我們在滲透中遇見最多是h3c的解決方案，可能是因為它便宜吧。

上圖的報告記錄了移動裝置相關的wifi安全情況。以下是從該報告中提取出來的資料。

這是我們在做滲透測試的拓撲圖，黑客可能會先通過無線客戶端的方式實施攻擊，如果拿下了客戶端，就說明已經拿到了登入憑證，並能以此進入內網。另一種是針對企業大樓的無線解決方案入侵，這種相對來說比較簡單，因為一般來說只有在搞不定大樓的時候黑客才會去入侵客戶端。

由於某些需求，員工往往會嘗試通過私接路由器或者利用隨身wifi產品的方式來建立無線熱點，並且大多沒有採用安全的加密模式。對於入侵者來說這就是非常大的安全點，而且擴散出的wifi會具備本機所有的訪問許可權。

之後我們還想通過入侵核心網路拿到全國所有相關基礎設施的控制許可權。但一般情況下網段之間是有網路訪問控制許可權的，在這個網路裡也一樣，無法通過現有網路直接訪問到核心網。

還有乙個案例是針對國內航空公司資訊化部的滲透。無論是無線滲透還是物理滲透都要有乙個能搜到他們公司wifi的地方，一般在連上wifi之後會彈出網頁讓你輸入使用者名稱和密碼登入，這種叫做portal網路，在該網路環境下想要訪問內網資源必須進行驗證。

portal認證機和內網的核心機器一定是有互訪許可權的，也就是說只要搞定了portal就能夠實現內網漫遊。我們所滲透的網路的portal認證機其中的某乙個引數正好可以用於入侵攻擊，使得我們輕鬆拿下了它的訪問許可權。

很多人都喜歡將portal網路稱之為加密方式，但是加密最重要的是資料報加密，而portal網路中資料報全部是明文的，所以個人更認為它是一種准入方式。所有的http、tcp請求都會重定向到portal認證機上。

portal的問題主要有這幾個，一資料沒有加密，二無法防禦中間人攻擊，**ortal機器本身的問題會直接導致acl繞過，最關鍵的還是mac位址欺騙。

我們團隊並不是每個人都在做無線安全相關研究的，也有做windows、linux相關滲透的同學，這讓我們有很多時間用於思維碰撞上，從多個角度看待安全問題，在傳統安全和無線安全之間尋找乙個交點。

簡單說乙個相關案例。smb攻擊大概是windows數十年以來的乙個缺陷。我們都知道在連線上portal之後會跳出登入網頁，如果對這個網頁做些手腳會怎麼樣呢？

比如在頁面中插入img標籤，請求位址是內網共享伺服器位址。這時如果使用的是windows電腦，它就會將hash自動發出去乙份，而我們可以將這個hash重放到exchange伺服器上，然後再利用exchange的漏洞執行惡意檔案，比如網頁開啟的同時跳出計算器之類的。

2023年6月，wi-fi聯盟組織正式推出了準wpa3。通過從頭設計解決wpa2中的技術缺陷，緩解krack、de-auth等無線攻擊，增強了配置、身份驗證和加密上的安全與功能。該標準同樣包括person、enterprise兩種模式，同時還可以應用於物聯網領域。

這套標準想要普及可能還需要1、2年時間，在這段時間內我們會針對wpa3進行一些安全研究，也就是標題中說的未卜先知。

以上為今天的分享內容，謝謝大家！

360無線安全負責人 如何對入侵做到未卜先知