你连的WiFi或许是钓鱼AP

郑伟

WiFi时代已然到来，为高密海量无线接入提供了“以一当十”的支撑平台，不过对于WiFi的安全却依旧不能掉以轻心。实际上，WiFi接入点（AP）、路由器和热点常常是高度暴露的攻击面。用户一不小心就有可能踏进攻击者设置的WiFi陷阱，造成信息泄露或经济损失。

小心高仿“双胞胎”

有调研机构预测，到2022年将有120亿台设备连接到互联网，其中通过WiFi的连接将占到较大部分。现在美国有74 %的Android移动设备流量是通过WiFi传输的，而这个比例在我国更高。

庞大用户群直接导致了恶意WiFi攻击的手法不断翻新。例如，让人难分真假的恶意双胞胎AP来钓鱼。使用此种手法攻击AP，在网络名称（SSID）上做手脚，采用模仿合法AP的SSID，设置一个高仿SSID。一旦用户没注意连到假冒的恶意AP上，攻击者就可以发动中间人（MitM）攻击进而拦截流量、窃取证书、将恶意代码注入受害者浏览器，甚至可把受害者重定向到恶意网站等操作。

AP也能耍“流氓”

除了上面常见的恶意双胞胎AP钓鱼手法，还有一种被称为流氓AP（Rogue AP）的存在。流氓AP是指那些未经网管明确授权，却私自通过企业内网的以太网口连接进企业网络的AP及无线路由等非法私接设备。

出现此种情况常常是企业内部员工的违规操作，私自将Rogue AP连接到授权网络上，而有心的攻击者则可通过Rogue AP绕过企业网络的边界防护，在内网中畅行无阻。为了防止此种情况出现，企业WiFi系统必须具备相应的防私接检测能力。一旦侦测到私接设备，要能够阻止Rogue AP对LAN进行访问，同时阻断WiFi客户端与其关联，直至将之移除掉。

隔壁的AP也得防

在了解了恶意双胞胎AP和流氓AP攻击后，还有一种邻居AP（Neighbor AP）也会给企业网络带来威胁。顾名思义，邻居AP就是指那些在公司旁边的餐馆、咖啡店内部署的外部AP。

当员工使用企业授权过的移动客户端连接到这些咖啡店网络的邻居AP时，自然能够绕过公司防火墙设置的边界安全和安全限制，将威胁轻松带进企业内网，这是根本不需要什么黑客技巧。为了防止此种问题出现，企业必须能够自动对公司管理的授权客户端设备进行分类认证，阻止其连到其他外部SSID上，除非那些IT網管定义过的。

AP配置错误太恐怖

如果说恶意攻击防不胜防的话，那么网管不小心将AP配置错误这种问题则应该尽量避免。比如忘给公司WiFi设置无线加密，任何人都能通过开放SSID进入，可能会将敏感信息暴露给攻击者。

这时就需要AP设备具备基本的设备策略提醒，对此类未加密的人为事故进行有效提示，防范于未然。

当现在的企业都专注于应对零日恶意漏洞和勒索软件等应用程序攻击时，也需要注意到小小的无线AP设备同样能够引发大的攻击威胁。因此对于企事业单位来说，了解WiFi安全性，加深教育员工、合作伙伴和客户认知度就变得相当重要，同时希望每家企业都能够拥有可抵御上述威胁的“可信WiFi”。