公司wifi安全

Black_Hole 2016-02-24 10:11:00

0x00 前言


很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。

0x01 无线安全


很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一样的屌。

很多的公司WIFI认证基本都是WPA/WPA2然后加个WEB二次认证,认为这样就万无一失了,而其实这并没有什么卵用,破解WPA/WPA2,这大家都知道,可以使用aircrack-ng、airmon-ng、airodump-ng、aireplay-ng来实现暴力破解,没有好的密码破解,可以把cap的包发给“549011522”七元一次(本人没破过,不保证绝对不上当)。而大家也都知道有一款神奇叫做“wifi万能钥匙”,可以先去看看wifi万能钥匙能不能解,不能解的话再破。连上WIFI后,将会提示你需要进行WEB二次认证。这里你完全可以弃之不理,因为它并没有什么卵用。WEB二次认证说难听了,屁用没有。因为你是WPA/WPA2的认证方式,你连上WIFI之后,交换机就会马上分配给你一个内网IP(我遇到的是交换机,也可能是路由器)一个黑客要你外网干什么,他需要的是公司的内网资源。连不上网对黑客来说没有什么问题。我给某公司做安全检测的时候,万能钥匙破解—中间人嗅探。不到一分钟拿到了他们公司官网后台管理员的权限。WEB认证在我看来不是针对于黑客的,是针对于员工的,因为黑客不需要外网资源,但是员工需要。

下面是我画的图:

黑客连入WIFI后,虽然WEB二次认证不了,但是黑客现在已经处于内网中,他可以访问内网的任何资源。

修复建议:

  1. 把WPA/WPA2无线认证换成802.1x认证方式(802.1x无线认证方式需要交换机的支持)
  2. 买针对无线检测/防御设备
  3. 无线不能访问内网资源,只有有线可以访问内网资源(从物理上隔绝问题)

关于802.1x认证方式,他的原理图是下面这样的:

黑客即使连上公司WIFI,但是无法通过802.1x认证,导致 公司设备(路由器、交换机)无法分配给你内网IP和外网出口IP的资格。

0x02 较为深入无线安全


像上面所讲,只是针对公司开放的WIFI进行管理。而上面的三个解决方案,只有第一个相比之下是比较方便还不用花钱的(机房设备需要支持802.1x无线协议,不支持还是要花钱)。

第二个,公司如果不想花钱是不会选择的,而且买了还要配置,前期工作量特别大。

第三个,工作量大,需要重新架构公司网络。

如果公司不想花钱或者运维不想重新架构的话,第一种是很好的选择,但是这里又有一个问题,360/百度随身WIFI,这个东西的存在,对那些本来就不怎么安全的公司更是雪上加霜。360/百度随身WIFI插入公司电脑后,会开启ICS服务,加上自带的无线网卡AP功能。当你连上这个随身WIFI之后,相当于一个小型的局域网。这时我们可以先入侵那个插了随身WIFI的PC电脑,通过它来入侵整个公司。如果你只需要某个接口,则不需要入侵插了随身WIFI的PC电脑。这里假设下“我需要的是这个网站的后台,可是想要登陆这个网站后台,需要出口IP是这个公司的外网IP”这样的话,我们则不需要入侵插了随身WIFI的PC电脑来。为什么呢?我画了一个图,大家看下。

黑客连入WIFI后,无需进行WEB二次认证,因为它使用的是员工的网络,员工也肯定认证过了,员工使用的是公司内网,内网有个统一的出口IP,而服务器端也只认这个IP,其他IP连不上服务器。

解决办法,网上很多,可以参考网上的教程。

如果你又更好的解决方案,可以提出来。我个人的思路有限。有不足之处,还望见谅。

评论

钱塘老娘舅 2016-02-24 10:43:02

讲的很好

路人甲 2016-02-24 11:16:31

真是好文章啊!

B

Black_Hole 2016-02-24 11:30:17

因文章是去年五月份所写,难免有些错误。可能现在已经有更好的方法解决问题。文中没有提出,如果您有更好的思路欢迎提出来:)

路人甲 2016-02-24 11:33:44

真水

路人甲 2016-02-24 11:43:19

要你外网ip干啥!d你啊...

B

Black_Hole 2016-02-24 12:00:17

@哦? 文章都是真对于公司内网资源的说明,外网IP是有些公司的后台地址只认公司外网IP,需要先进入内网,才可以访问后台地址

路人甲 2016-02-24 14:32:29

水帘洞

T

Tea 2016-02-24 15:46:04

一些公司的Guest用WIFI跟办公网的出口IP是同一个,"而服务器端也只认这个IP,其他IP连不上服务器",这部分已经成了。

路人甲 2016-02-24 16:34:32

短短的

路人甲 2016-02-24 16:42:35

不知道说啥

路人甲 2016-02-24 17:41:17

不错,

路人甲 2016-02-24 18:26:47

无尽狂徒杀人书一样的屌是什么屌……

路人甲 2016-02-24 21:11:54

万能钥匙破解—中间人嗅探。不到一分钟拿到了他们公司官网后台管理员的权限。
嗯。。。人家就在一分钟之内就登录了官网后台,这么巧!你也出来装逼,好巧啊!

B

Black_Hole 2016-02-24 22:29:59

@Rasiel 谁说一定要登陆后台?只需要管理员在后台操作就可以拿到cookie,并伪造登陆就行了。麻烦下次先看清在BB

X

xsser_w 2016-02-25 02:02:09

好点企业都有网段划分,也有acl 这种情况一般还是碰不到

H

Herolon 2016-02-25 09:33:43

其实还可以禁止wifi的固定ip访问路由器 禁止访问内网ip

X

xxooer 2016-02-25 10:02:07

在评论之前请先尊重作者,觉得文章写的水的。你可以自己来写啊

黑色双刃剑 2016-02-25 10:28:16

@Rasiel 谁都不是圣人,作者只是提出一个思路进行讨论~~![email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */ 所说
你行你上~~!

黑色双刃剑 2016-02-25 10:29:22

@Black_Hole 如果公司或者企业网络运用准入呢?你肿么办?

封停 2016-02-25 11:12:39

之前一直想针对伪造AP做点检测,[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */_Hole有什么好的思路。(之前想的是搞一个大功率天线,扫描覆盖范围内的AP,获取MAC存数据库,然后和已经注册的AP MAC做比对,不匹配的识别为伪造AP....)

B

Black_Hole 2016-02-25 11:24:24

@封停 @黑色双刃剑 @Herolon 这里统一说一下。
我之前在给某公司(中小型公司,不愿花太多的钱来做安防)做安全检测的时候,使用方法如下:
手机连接wifi无法访问内网资源且不在同一网段
pc与mac绑定
wifi从wpa2升级为802.1x
发现员工使用随身wifi罚款200。
想要禁止员工使用随身wifi,只能从员工电脑入手。但是有几个难点:
不给员工高权限用户(提权最高权限的方法网上都有说)
员工携带自己的电脑时,公司是无权对员工电脑进行操作的
这里还有一个方法就是对整个公司出口数据包的时候对wifi万能钥匙的数据包进行阻拦(via:扬卿)但是随身wifi确实是个难点。因为无法统一做限制。如果有比罚款更好的解决方案欢迎提出来。

E

erevus 2016-02-25 16:32:34

上网行为管理系统可以知道有没有员工私自开热点了 @Black_Hole

B

Black_Hole 2016-02-25 17:09:08

@erevus 在我自己认知和朋友的了解中上网行为管理是不行的。可以检测到某一IP地址的出口数据量大,到热点好像是不行的。你是否可以详细说下。

路人甲 2016-02-26 10:59:09

@Black_Hole ,去年测试深信服的一款上网行为管理系统可以监测到员工是否开启热点,还可以阻断,不过这个功能不是很稳定,现在不知道情况怎么样了。。一般公司都会划分vlan,限定mac地址,可以阻止一部分黑客了。

风格 2016-02-26 14:02:43

在办公区域监测异常wifi信号~

路人甲 2016-02-26 15:51:20

@miyuhan 我们现在就在用这款ac,效果还可以。就是比较贵而已

路人甲 2016-02-26 17:02:51

@Black_Hole 一些大学宿舍用的宽带客户端都可以阻止开热点了,认证也是用802.1X的。

路人甲 2016-02-28 19:36:21

感谢您的论文!虽然对我没有什么用!但对其他的人还是很有用的!!继续努力哈!

P

P0ker_L 2016-03-02 14:54:29

即使公司做过入网验证了,但是一旦360wifi一开,放出的信号相当于是认证后域的信号。所以只要黑客攻破360wifi的密码就能够进行内网漫游了。不知道这方面有没有什么好的解决思路?

路人甲 2016-03-09 02:45:51

@P0ker_L 无线服务关掉,删除驱动,通过软路由封360WIFI。

路人甲 2016-03-24 15:33:57

即使公司做过入网验证了,但是一旦360wifi一开,放出的信号相当于是认证后域的信号。所以只要黑客攻破360wifi的密码就能够进行内网漫游了。不知道这方面有没有什么好的解决思路?
这个可以用桌管系统对桌面下发一些策略杜绝
另外 完善的企业一般是会弄安全区域隔离 只通过WPA认证进入的安全区域权限比较低

路人甲 2016-03-24 15:35:05

@Black_Hole 这个可以用桌管系统对桌面下发一些策略杜绝 另外 完善的企业一般是会弄安全区域隔离 只通过WPA认证进入的安全区域权限比较低

B

Black_Hole

只开发不攻击的安全汪

twitter weibo github wechat

随机分类

Exploit 文章:40 篇
硬件与物联网 文章:40 篇
业务安全 文章:29 篇
CTF 文章:62 篇
SQL注入 文章:39 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

草莓

收藏一下,目前见过最全的资料了

Y4tacker

Ps:纠错不是每个环境都是那样,之前很多时候/proc/self这些都可以,但是

苦咖啡

感谢大佬分享 863558996@qq.com

m1yuu

H

HaCky

stomppe 这部分有点问题,和官方文档有出入,文档中介绍开启这项功能,则会混

目录