Thomas的部落格

~ 原文刊於 『RUN!PC』 雜誌 2007 年 4 月號

的確，無線網路不管企業開放與否，都應該要有相對應的防護策略，同時，在企業懂得開始對有線網路做弱點評估、滲透測試的同時，針對無線網路，也應該要能夠定期做好弱點評估，或是滲透測試，確保防護策略確實有效。

企業無線網路潛藏的風險

選擇開放無線網路的企業，必須針對如何鞏固無線網路的防線，不使未授權的使用者輕易的連線使用，以及在通訊時的資料加密，不致讓企業的機密外洩。而選擇禁止使用的企業，考量的重點是如何確認企業內部不會有私架的無線基地台，或是企業的員工不會不小心或故意連線到附近的無線網路，使得駭客可以利用這些通道，直接繞過企業防火牆的阻擋，長趨直入企業的內部網路。這些安全的弱點，也是駭客們尋找的攻擊目標，而到底企業的無線網路裡，潛藏了多少安全的危機，以下針對企業的無線網路，從駭客的角度來做一番檢視。

企業無線網路的弱點，包含了以下幾個常見的項目：
• 私架的無線基地台，使得企業的無線網路門戶洞開
• 不安全的無線網路設定，駭客可輕易破解
• 易於遭受攻擊的端點，成為駭客利用的跳板
• 阻斷式攻擊，造成網路的不穩定

私架無線基地台

企業無線網路裡，最大的安全漏洞，是私架的無線網路基地台。許多員工為了一時的方便，自己帶了一個無線基地台到公司使用，而這些基地台往往是簡單的基地台，沒有進階的安全設定，或是員工根本也不知怎麼做安全設定，成為企業網路的一個缺口，讓一般人輕易的可以連線，進入企業的內部網路。這些開放的網路，常常使用基地台出廠的預設設定，使用預設的網路名稱 (SSID)，例如：default，沒有加密的通訊，以及沒有任何連線控管，一般人都可以直接利用 Windows 內建的網路工具連線使用，更遑論有心人士，進入了企業網路之後，可能進行惡意的攻擊。

不安全的無線網路設定

許多企業目前在無線網路的安全防護，還是停留在只用基本的安全設定，例如：WEP 加密，或是 MAC Address 安全控管，甚至只是把 DHCP 關掉，讓連上基地台的人自已去設正確的網路 IP 的相關設定後才能連線，但這些基本的防護，對於一個有決心的駭客，卻可以輕易的破解。

駭客常見的攻擊方式，可能針對沒有加密的無線網路，監聽無線網路裡的資訊，伺機竊取重要的資訊 (帳號，密碼，郵件內容、即時通訊聊天內容，瀏覽的網頁資訊)。或是使用 MAC Spoofing 的方式，更改自己的無線網卡的 MAC Address，以突破 MAC Address 連線控制。也可能針對 WEP / WPA 加密機制，進行加密金鑰的破解，以進入企業的無線網路。

易遭攻擊的無線網路端點

無線網路的端點，也就是這些無線網路的使用者，近來已成為新興的攻擊目標，攻擊者利用這些端點電腦上的系統弱點，例如，無線網路卡驅動程式的漏洞，進行漏洞攻擊，以取得這些電腦的控制權限，進而利用這些電腦，當成進入企業無線網路的跳板。另外，駭客也可以利用無線網路釣魚的方式，假冒企業的認證網頁，騙取登入網路的帳號及密碼。

目前已經發現的無線網卡驅動程式有弱點的，包含了:
• D-Link DWL-G132 ASAGU.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• NetGear WG111v2 Wireless Driver Long Beacon Buffer Overflow Vulnerability
• NetGear WG311v1 Wireless Driver SSID Heap Buffer Overflow Vulnerability
• NetGear MA521 Wireless Driver Long Beacon Probe Buffer Overflow Vulnerability
• Broadcom BCMWL5.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• MADWiFi Linux Kernel Device Driver Multiple Remote Buffer Overflow Vulnerabilities
• Intel PRO/Wireless Network Connection Drivers Remote Code Execution Vulnerabilities
• Apple Mac OS X Airport Wireless Driver Multiple Buffer Overflow Vulnerabilities

而這些弱點，除了最後兩個還沒有公開的攻擊程式之外，其餘的都已經有相對應的攻擊程式可輕易的在網路上找到。

阻斷式攻擊癱瘓無線網路

駭客想要干擾企業無線網路的服務，或者是嘗試了多種的攻擊後徒勞無功，此時也許會想來個同歸於盡，癱瘓整個無線網路。或者針對某一個使用者的連線，讓他無法連線，於是使用『阻斷式攻擊』。在無線網路裡，阻斷式的攻擊主要有兩種方式：Radio Frequency Jamming (RF Jamming)，利用干擾頻道的方式，使正常的通訊在這個頻道裡無法進行溝通，以眾多的雜訊來干擾正常的通訊，而另一種則為 De-Authentication 攻擊，利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線。

常見的攻防測試工具

以上的這些弱點，在網路上都可以找到相對應的工具來做攻擊。甚至有 Open Source 的計畫，將許多好用的工具，做成了可開機光碟 (Live CD)，這些光碟可以在網路上下載，許多的企業資安或稽核人員，也都是利用這些光碟來執行安全評估、或滲透測試。目前常用的光碟，也是新一代的主流工具－BackTrack CD (http://www.remote-exploit.org/backtrack.html) 而它的前身是知名的 Auditor Security Collection Live CD，集合了三百多種以上的網路安全工具。

而企業資安人員，可以做的攻防測試，以及它相對應的工具，介紹如下。

網路偵察

Kismet (http://www.kismetwireless.net/)

在無線網路攻擊裡，要能夠先搜尋無線網路的所在，然後針對無線網路裡的設備，一一蒐集資訊。舉凡無線基地台的 SSID 、使用頻道、安全設定，以及訊號強弱，這些都是極為重要的資訊。

Kistmet 是一個 802.11 Layer 2 的無線網路偵測、監聽、以及入侵偵測系統 (IDS)，能夠監聽 802.11b、802.11a、以及 802.11g 的資料。而 Kismet 的監聽技術，主要是利用被動 (Passive) 模式，收集無線網路的封包，偵測標準的開放網路、隱藏網路，藉由資料封包的分析，還能夠偵測到將一些關閉 Beacon 基地台的隱藏無線網路。

資安人員可利用這個工具，在企業內部尋找是否有私接的基地台，以及偵測企業內部員工可能連線的基地台。

圖一：利用 Kismet 偵察無線網路

WEP/WPA 加密破解

AirCrack-NG Suite (http://www.aircrack-ng.org/)
 
AirCrack-NG 是一個相當完整的無線網路攻擊工具組，不但可以利用來做 WEP 加密金鑰的破解，也可以做 WPA-PSK 金鑰的字典攻擊。AirCrack-NG 不但有 Linux 版本，還有 Windows 版本，另外也有人寫了Windows AirCrack 的 GUI 程式，叫做 WinAirCrack，搭配 AirCrack-NG的使用。Linux 版的 AirCrack-NG 提供的工具較為完整，包含了以下的幾個程式：

• Airodump-ng：802.11 封包截取程式
• Aireplay-ng：802.11 封包注入程式
• Aircrack-ng：WEP 及 WPA-PSK key 破解主程式
• Airdecap-ng：WEP/WPA 封包解密程式
• Airmon-ng：802.11 網路監聽程式
• Packetforge-ng：802.11 封包製造程式
• Airtun-ng：802.11 加密封包蒐集及封包注入程式
• Tools：其他相關工具

不同於早期被動的收集封包，AirCrack-NG 在 WEP 加密金鑰的破解，可以採取更『主動』的封包注入的方式，製造偽造的 ARP Request 的封包，使得 AP 回應這樣的請求，而發出 ARP Reply 的封包，而當 AP 發出回應封包時，駭客就可以收集更多的『 IV 值』，加速 WEP 加密金鑰的破解，以一個 128 Bits 的Key，可能在三十分鐘之內被破解。

資安人員可以利用這個工具，針對企業的加密機制，驗證是否可能被駭客破解。

圖二：利用 AirCrack 於 30 分鐘破解 WEP 加密金鑰

無線網路釣魚

Airsnarf (http://airsnarf.shmoo.com/)

Airsnarf 是一個結合了軟體驅動的基地台技術、DNS Server 設定、以及防火牆的 HTTP 重導技術，建立一個假冒的認證登入網頁，讓使用者連上基地台之後，自動取得 IP 位置，啟動瀏覽器時，會自動導向 Airsnarf 設計的首頁，當使用者輸入帳號密碼之後，這些資訊可以被攻擊者記錄下來。當然，攻擊者不會用Airsnarf 這個網頁讓使用者輸入帳號密碼，而會建立一個假冒的企業網路登入的網頁，來置換 Airsnarf 的這個網頁，於是在不知不覺中，企業的使用者已經被騙取了帳號密碼。

資安人員可以利用這個工具，進行企業內部的無線網路釣魚測試。

圖三：無線網路釣魚示意圖

阻斷式攻擊

void11 (http://www.wirelessdefence.org/Contents/Void11Main.htm)

假冒 De-Association 及 De-Authentication 訊框攻擊，是最常使用的阻斷攻擊，
利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線，雖然使用者會自動的再發出連線及認證的請求，但攻擊者若是持續的發送這些訊框，將使得使用者一直連線斷線，無法正常使用網路。

不過目前已經有許多基地台，針對這樣的弱點做改進，因此企業的資安人員，可以利用這個或相關工具，測試企業使用的基地台是否有受到阻斷式攻擊的可能。

偽冒 MAC 位址

SMAC (http://www.klcconsulting.net/smac/)

偽冒 MAC 位址的工具有很多，而這個工具有簡單的操作畫面，能夠讓你迅速找到想要更改的 MAC 位址。因此，資安人員，利用像 Kismet 的偵察工具，找到正在與基地台連線的網卡的 MAC 位址，變更自己的 MAC 位址，來嘗試是否可以突破MAC Address 控管而取得連線。

封包監聽 / 分析

Wireshark (http://www.wireshark.org/)

Wireshark 的名字大家比較陌生，不過若是提到 Ethereal，相信很多人都曾使用過。Wireshark 是 延續 Ethereal 的免費封包分析工具，可以即時分析封包，或是將載入利用 Kismet 或 Airodump 截取的封包，分析封包裡的資料。

因此，資安人員在做無線網路的攻防測試時，也常常需要用到它來做輔助工具。

弱點攻擊

MetaSploit Framework (http://www.metasploit.com/)

完整的無線網路攻擊工具，當然還要包括弱點攻擊的工具，尤其是針對無線網卡驅動程式的弱點，已經有人提供 MetaSploit 的攻擊程式。在做攻防測試時，若是有發現有員工使用的是前面所列的無線網卡，則可利用 MetaSploit 的攻擊程式，嘗試取得這些電腦的控制權，進而找到進入企業無線網路的跳板。

結語

以上的這些工具，大部份都可以在 BackTrack 或是 Auditor CD 裡找到，使用者不需要自己再編譯或是安裝工具，只要利用這些光碟開機，即可進行攻防測試。另外，無線網路的安全工具相當多，同一種用途也有不同的工具，以上只介紹常用的知名工具，其他更多的工具，可以參考相關書籍或是網路上論壇的介紹。

無線網路攻防演練的目的，在於找出企業無線網路的弱點，進而在駭客攻擊之前，能夠消弭可能被駭客入侵的安全漏洞。所謂「知己知彼，百戰不殆」，資安人員除了應用相對應的安全防護之外，了解駭客可能的攻擊手法，並定期的實施無線網路弱點評估或滲透測試，可以防患未然，並適時適當的調整無線安全防護策略。

作者簡介：