RSA安全报告-纽约无线安全调查报告.doc_第1页
RSA安全报告-纽约无线安全调查报告.doc_第2页
RSA安全报告-纽约无线安全调查报告.doc_第3页
RSA安全报告-纽约无线安全调查报告.doc_第4页
RSA安全报告-纽约无线安全调查报告.doc_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

白皮书纽约无线安全调查第4版RSA,EMC信息安全事业部委托报告2008年10月内容I. 内容提要4II主要调查成果及结果6III总结11附录A 建议WLAN安全政策12附录B 纽约调查细节13附录C 与伦敦和巴黎的调查结果对比14附录D 无线网络:背景15前言RSA,EMC信息安全事业部在7年前发起了促进和改善无线安全性最佳实践的运动这场运动从来没有像现在一样与众多的公司和消费者相干。就在这个夏天,美国司法部对一个从饭店和商店偷窃了超过4000万信用卡号码的国际黑客集团提出了起诉。这些黑客采用了什么样的手段来实施这种大规模的盗窃?就是利用这些企业安全性极其糟糕的无线网络实施的驾驶攻击。显然,在这个无情的法规遵循和极度重视保护敏感私人和客户信息安全能力的时代,消除无线漏洞,确保为保护网络安全所作的无数投资不会因为遗留的后门而白费,显得比以往任何时候都重要。首先介绍2001年伦敦金融区的情况,今年RSA的调查在伦敦,巴黎和纽约三个城市中进行。研究的前提是保护私有信息以及管理那些共享信息的人员和应用身份的重要性。随着无线网络技术的使用呈爆发式地增长只要看看这份报告中关于无线技术的使用仅在过去一年中是如何膨胀的相关图片就知道了重要的是,网络所有者和管理员要有足够的安全和信息保护措施来跟上这个步伐。我们在这个报告中讨论了“良好的无线安全卫生”,令人鼓舞的是,我们发现今年纽约只有3的企业无线接入点是不安全的.这是在七年的调查记录中迄今为止最好的结果。此外,在巴黎我们看到,72的接入点(不包括公共热点)使用了先进的加密形式。这是一个很好的进步尽管先进(非WEP)的加密形式需要尽快成为规范。我们还发现,伦敦有五分之一的业务接入点没有采用任何形式的无线加密,处于完全未受保护的状态。这个结果要比我们2007年在伦敦的调查结果糟糕令人尴尬比家庭网络的总体安全态势还要糟糕,这在今年来还是头一次。越来越聪明的互联网一代往往能够利用这种安全缺陷。他们熟识各种无线局域网,并且懂得只需几分钟的漫游就可以很快找到一个免费的网络。随着无线网络在速度、带宽和安全性上的不断提高,这对公司和消费者来说是个好消息。然而,不明身份的用户和应用访问敏感、私人信息的潜在后果非常严重,不容忽视。Sam Curry身份和访问保证组副总裁RSA,EMC信息安全事业部2008年10月I. 内容提要取自全球三个主要城市,第七次年度无线安全调查的结果表明,无线网络仍然是我们在日常工作和个人生活中使用的IT基础设施中一个日益重要的组成部分。今年的调查再次检验了三个主要的欧洲和美国城市伦敦、巴黎和纽约所采用的无线网络技术等级,以及有关的安全实践。这项调查的结果再次强调了无线接入在主要都市地区的加速普及。在这三个城市中,无线接入点(AP)的普及程度在不断上升。不像前几年,总体的安全和链接加密态势已经发生了广泛地转向,反映了加密信道的状况。正如预期的那样,公共热点正在不断的扩散,只要存在着寻找链接的喝咖啡者和旅客,就存在着公共热点。这些公共接入点的便利性应该与它们固有且重大的安全风险做一下对比这往往会被它们的热心用户所忽视。接入点增长率并没有让人感到意外的是,三个城市的无线接入点(AP)总数包括公共热点,家庭网络和公司接入点均有了显著的增长。然而,相比与去年同期所记录的数据,巴黎的接入点增长率相当的惊人:在2007年的调查中,我们发现只有825个接入点,而今年同一个路线的容量则爆炸性地增长到了4481个接入点,即巴黎的增长率为543。相比之下,伦敦和纽约则要少很多,伦敦的接入点增长了72,而纽约则增长了45。伦敦在数量上保持了其整体领先的地位,共检测到12276个接入点2007年则为7130个。如果纯粹考虑企业接入点的数量,从去年开始,纽约就已经取代了伦敦的位置。在纽约,我们发现了6096个接入点可以确定为属于公司,这要多于在伦敦发现的4927个,以及在巴黎发现的3265个。先进的加密技术这项调查的以前版本只是简单地考虑了商业无线网络是否受某种形式加密技术的保护,因为有线等效保密(WEP)中的安全漏洞已经很好地进行了记录,我们的调查密切关注更先进的无线加密形式的采取。这些无线加密形式包括支持基于802.11i的Wi - Fi保护接入(WPA)或WPA2,在今年的调查中我们将全面深入商业家庭用户所使用的加密类型。详细信息如下面的图表所示,但总体而言,先进加密技术的采用还是令人鼓舞的。巴黎再次处于领先定位,72的接入点(不包括公共热点)采用了先进的安全措施;纽约和伦敦的数据分别是49和48。热点公共热点旨在可以让人们以现收现付或预付费的方式用无线设备上网继续在三个城市中呈普及性增长。相比于前几年的发展,2008年每个城市的热点增长率得到了显著加快:在巴黎,2007年注册的热点增长率为37,今年则大规模增长了304。纽约的无线热点增长率为44(去年这个城市的增长率为不温不火的17),伦敦的增长率为34。纽约在热点的集中度方面仍然处于领先位置,在纽约,发现的无线接入点中有15是热点,而伦敦为5。在法国首都巴黎,6的接入点是热点。安全等级尽管使用先进安全措施的数字越来越多,但值得注意的是,伦敦有五分之一的商业接入点仍处于完全未受任何形式无线加密技术保护的状态。今年这种情况甚至略有恶化,2007年时这一数字为19。相比之下,纽约(只有3未加密)和巴黎(6未加密)商业社会的无线“卫生状况”要好得多这些数字是自2001年这个年度调查开始以来最好的记录。尽管这些无保护的商业网络可能要求他们的用户通过加密的虚拟专用网络(VPN)进行登录,但是,不使用WPA1或WPA2可能会给组织带来漏洞,使得接入点和无线客户端计算机易受各种类型的攻击。不安全的商业网络就是那些明显不是热点,但可以给不管是偶然还是有意连接上的用户提供互联网接入的网络。用户有意或无意地连接到不安全的商业网络,而不是无线热点时,都会对企业安全和数据保密构成严重威胁。今天的手机用户希望能轻松地找到无线热点;如果找不到,他们可能会利用公司无线网络提供的接入。未经授权的访问可能会产生的后果包括盗窃敏感和机密的企业和客户数据,并可能会鼓动进一步的安全违规行为,如秘密的DoS攻击和身份盗窃。家庭无线网络这部分无线环境的发展对总体结果做出了巨大的贡献。几个大型有线电视和卫星电视供应商提供的大量独特的网络,已经将数以千计的安全个人无线网络引入到寻常百姓家。在伦敦,个人无线接入点的数量甚至超过了公司无线接入点的数量:共有6730个接入点或所有检测到的接入点的55确定为属于家庭用户。在纽约,18的接入点是家庭接入点,而巴黎的数字为21。令人惊讶的是,家庭网络用户似乎要比公司网络用户更有安全常识:在巴黎,98的家庭网络都进行了加密这是一个相当好的结果纽约以97的数字紧随其后,90的伦敦人在家庭网络中部署了加密技术。此外,在巴黎和纽约,部署了先进加密技术的家庭用户的比例超过了商业用户的比例,而在伦敦这两个群体的百分比是一样的。总结尽管伦敦在部署接入点的数量上继续在这项调查占据着主导的位置,但从安全角度来看,它现在已落后于巴黎和纽约了。纽约应该感到自豪,它只有3的网络家庭和公司是不安全的,这是一个巨大的进步,在2007年,这个城市有24的公司接入点是未加密的。显然,要求加强无线网络安全性的呼声已经成了共鸣,而且值得注意的是,今年的城市对应关系发生了转变:巴黎和纽约在趋势和模式上非常地接近,而在往年伦敦和巴黎通常差不多。总的来说,自我们上次调查以来,巴黎取得了最大的进步。其访问点增长率为543;公共热点增长率为304; 94的商业接入点是安全的;98的家庭网络是加密的。好啊,巴黎!Phil Cracknell,Konstantin Gavrilenko,Andrew VladimirovArhont有限公司(WiFoo开发者)II主要调查成果及结果纽约的无线调查显示,该城市的个人接入点数量在持续的快速增长尽管增长速度并没有2007年的快。在2007年,共检测到了6371个接入点(比前一年增加了49),2008年的调查则确定了9227个接入点,这表示比去年同期增加了45。今年令人印象特别深刻是纽约无线网络的安全态势企业和家庭。这两类无线网络的备份比是一样的:97的纽约商业接入点和97的家庭接入点受某种加密形式的保护。这在RSA进行这项研究的7年间,我们从未在任何一个城市的公司无线网络中看到如此高的保护程度。纽约在公共无线接入的广泛性上仍然是最“友好”的城市。今年纽约的无线热点增长了44(去年纽约的增长率是不温不火的17),纽约热点集中度所有接入点的15远远超过伦敦的5和巴黎的6。接入点类型利用每个连接的特点,我们可以将接入点分为以下几种类型:- 商业-安全的/私有接入- 商业-不安全的- 个人-安全的/私有接入- 个人-不安全的- 热点-付费公共接入安全等级在2008年的调查中,我们对商业和家庭用户所部署的不同安全形式进行了评估和“分级”,用图片的形式揭示了每个城市的相对安全姿态。商业-安全的商业-不安全的热点个人-安全的个人-不安全的纽约的接入点类型加密形式:除了公共热点以外,我们的建议就是所有无线接入点应该用某种形式的加密技术进行保护。随着对WEP的极度不信任,今年我们调查了有多少网络拥有者能够明智地对待这些漏洞,并开始为他们的无线网络寻求更强的加密形式。对于实施了加密的系统,下图为加密方法的细分图。我们将所有非WEP的加密和验证形式都纳入到“先进安全性等级”中。这些形式包括在SOHO和企业配置的基于802.11i的WPA1和WPA2。(作为一种经验法则,正确建立和管理WPA1/2企业要明显比WPA1/2 SOHO更安全,但其维护也更加困难,维护成本也更昂贵。WPA1是WPA2出现之前一种临时替代WEP的方法,但认为其安全级别要低于WPA2是不正确的:经过多年的实际使用,并没有发现WPA2没有的、但却在WPA1中可以利用的漏洞。)。在纽约,所有安全的接入点中,有52%使用了先进的加密形式。这是一个令人鼓舞的数字,尽管在这方面纽约落后于巴黎创造纪录的先进安全措施数字76,也落后于伦敦的56。 WEPWPA2-PSKWPA-PSKWPA-PSK+WPA2-PSKWPA2-ENTWPA-ENT+WPA2-ENT先进安全性等级WEP先进的无纽约加密技术细分-总体使用先进加密技术和使用WEP或根本不使用任何安全措施的比例差不多五五开,这种状态令人担忧。请注意,这个图表将开放性的系统(公共热点)排除在外。51的无线接入点拥有者应设法改善他们的安全态势。如前所述,尽管无保护的商业网络可能会要求他们的用户通过加密的虚拟专用网络(VPN)登录,但是,让组织本身处于一种未加密的状态会使组织容易受到各种无线攻击。WEP先进的无加密细分图纽约的家庭网络WEP先进的无加密细分图纽约的商业网络在前一页的巴黎家庭和商业接入点两个详细细分图中,两种网络受某种无线加密形式保护的比例都为97%这是一个相当出色的数字。然而,个人用户看起来在先进加密技术的采用方面处于领先的地位:61%使用了强于WEP的安全措施,但是纽约商业网络的数字仅为50%。热点无线热点在所有三个城市正变得愈来愈普遍。在2007年的调查中,我们在围绕巴黎的路线上检测到了93个,今年我们沿着相同的路线检测到了283个热点,增加了304。在巴黎的所有无线接入点中,热点占6。巴黎的这个数字落后于纽约在那里15的接入点是公用的但略高于伦敦,其百分比为5。热点通常会广播一个可识别的ESSID来广播它的存在,ESSID往往是热点所处位置的设施名称,或非常熟悉的供应商名称(寻找含有“Free”、“Guest”、“Hotel”、“Cafeteria”等的ESSID)。在相应位置会有明显的标记提醒客户存在着热点,在许多情况下是告诉你如何连接的传单。一般来说,如果要求客户系统必须是加密密钥或证书的一方,正在使用的就不会是WEP或WPA。最后,同时支持DHCP(动态主机配置协议)和浏览器重定向,这样用户的系统应该会分配到一个IP地址,一旦完成后,热点的网页会出现。这个网页将包含如何购买接入的细节,或在已购买接入的情况下如果进行登录。通常,只有在用户连接到热点的主页并进行注册或登陆后,才可以接入到服务中。然而,攻击者经常可以利用拒绝服务攻击来断开合法用户的连接,并通过欺骗MAC和IP地址来取代他或她的位置。这给网上身份伪装和隐藏提供了一个很好的途径。热点可以以许多种方式对使用无线网络的企业造成严重的威胁。最初,他们负责更多的人搜索可接入的网络;不同于前几年的调查,今天如果你有无线局域网,它很可能被发现和使用。其次更多地集中于热点的移动商务用户目前在网络层并没有正式承认热点所有者,也没有真正表明其合法性。该行业缺乏一种方法,用以确定某一特定热点属于持牌或注册的热点供应商。考虑到信息可以简单地通过在有效接入点附近安装非法热点(非法接入点被设计成与真正热点非常的相像,用来从用户处捕获重要的私人信息)的方式进行收集,这个风险必须予以高度重视。非法热点非法热点是一个看起来非常像真正热点的临时无线接入点,它用来捕获无意中登录该热点的用户的重要安全信息。非法热点能有效地利用客户端设备中使用的网络发现算法的安全漏洞,并提供各种假冒的强制门户网站,发起对客户端(通常是网页浏览器)的攻击。对非法热点存在数量的估计及其困难他们存在的时间相对较短,以防止被检测到,并且非常容易实施。同时没有必要对非法热点进行维护,因为它们总是非常快速地窃取有价值的信息。最近证明,在笔记本电脑上建立一个测试系统用来模拟常见热点是可行的。在私有测试中,设备连接到了测试的“非法”热点,而不是真正的热点上,这是因为非法热点和真正热点之间无法进行有效地识别。这些假冒的热点甚至可以处理信用卡资料,并允许接入互联网。这个简单的配置可能会成为下一个身份盗窃的罪魁祸首,因为它比目前的钓鱼攻击具有更大的能力并能得出更准确的结果。使用类似的系统对身份进行盗用是可行的。III总结可以非常有把握地说,无线技术已经在全球的大多数城市中被广泛采用和接受。在这7年中,这项调查见证了安全的波动和发展趋势:我们看到了许多新的安全问题提出,解决和取代。与往常一样,在每个调查中似乎总会出现一个新的重大威胁或发展,我们现在所面临的主要安全问题就是,用户似乎在以下两个方面对安全性存在着误区:1. 认为不管什么类型的加密技术都是有效的2. 人们认为先进的加密技术是无懈可击的不管采用任何手段,WEP都是不安全的,如果要用来提供高等级的安全,在SOHO和企业中配置的WPA1和WPA2必须适当地进行设置和维护。现在网络媒体更加的安全了,重点转移到了客户端系统以及如何可以“轻松”地破坏他们。客户端的破坏可能会导致更多的对企业环境的侧面攻击,因为它更难检测;它可以执行更长的时间;通常,它拥有更多的“许可”以在目标网络中流窜,因为它是做为一个授权用户接入到网络中的!大多数发起的客户端侧攻击都使用特别配置的非法接入点来吸引,连接并利用易受攻击的客户端设备。这种可利用的漏洞包括接入点搜索算法,薄弱的客户端设备安全设置,甚至是无线客户端设备驱动程序中缓冲区和输入验证漏洞。客户端攻击的许多对策都是管理上的,而不是技术上的,需要政策和执行方面大量的工作,例如,客户主机只能连接到高度安全的网络,并且它们的无线配置文件也要定期清理。还必须辅之以部署分布式无线入侵检测系统/入侵防御系统对无限频道进行监控以发现恶意接入点,并确保客户端设备的驱动程序进行了完整地更新并打上了补丁。旧的格言“纵深防御”或“层次化的安全”以往任何时候都更加重要。使用某种类型双因素强认证的客户端VPN(所有无保护VPN流量都被禁止)应该能够反击许多针对客户端的攻击。我们已经拉起了吊桥,并控制了城堡的塔楼,但我们却留下骑兵飞速奔向堡垒,这在一定程度上有点暴露,而我们却坐在里面感觉安全!与此同时,该骑兵通常还有主要大门的钥匙。附录A 建议WLAN安全政策此无线局域网安全策略取自行业最佳实践和信息安全常识。- 连接到公司网络的所有无线接入点/基站都应当经过计算机安全部门的批准- 所有在公司笔记本电脑或台式电脑中使用的无线客户端设备都必须在计算机安全小组注册,在可以接入的地方对接入点使用MAC地址控制- 丢失或被盗支持无线上网的电脑应当立即报告- 所有无线局域网的接入都必须使用公司认可的供应商产品和安全配置- 必须使用WPA企业以保护公司的网络。小型公司可以使用WPA SOHO,但必须定期生成和更改强共享密钥。用WEP保护无线连接必须明确禁止。- 如果要使用强密码保护的客户端主机证书,那么EAP-TLS是最安全的EAP类型,它可以作为基于WPA企业的防御计划的一部分。您需要部署行业级的认证机构(CA)以有效地创建、分发和管理这些证书。同时,还需要配置终端主机以验证证书,并只连接到批准的认证服务器。- 不要使用EAP-FAST的EAP-MD5、EAP-LEAP和“匿名模式”。用EAP-PEAP和EAP-TTLS使用MS-CHAPv2强密码。- 在高度安全的环境中,所有具有无线LAN设备的计算机都应利用公司批准的虚拟专用网络(V PN)在无线连接上进行通信。除了基于WPA的防御措施,虚拟专用网还将对用户身份进行认证,并加密所有的网络流量。终端主机必须配置成不能在不受VPN保护的连接上发送流量,从而消除许多无线客户端侧攻击的风险。- 如果使用了VPN,必须部署无线接入点以使所有的无线流量在进入公司网络之前都通过VPN设备进行了定向。VPN设备必须配置成丢弃所有未通过认证和未加密的流量- 无线扩展服务集标识符(ESSID)应当是不明确的,并由安全部门定义- -建筑物周边(如靠近外墙或顶楼)的接入点/基站的发送功率应当调低。另外,这些区域内的无线系统可以使用定向天线以控制信号的发射。- 应当定期审查无线环境。这特别适用于那些不使用无线并希望保持这种环境的公司。对该区域进行监控,以发现未经授权的接入点和客户端设备(包括特设节点),无线入侵企图和拒绝服务(DoS)攻击。- 确保所有的移动用户都受过使用公共无线局域网(热点)的相关教育,特别是连接非法热点所带来的风险。邮箱的用户名/密码不应该在未加密的链接上发送。在浏览器会话期间,用户应该知道,所有未受SSL / TLS保护的数据输入都可能被窃听。附录B 纽约调查细节纽约的无线调查是正在进行当中的对大城市的无线使用和无线网络安全性调查的其中一部分。此次调查特别针对热点、私有商业网络(安全或不安全的)和家庭网络(安全或不安全的)。路线此次调查采用2007年研究中的同一路线,覆盖了纽约的市中心地区,并覆盖了一部分住宅区。这项调查是采用公共汽车,汽车,步行和马车的方式沿着中央公园的边缘进行的;这个拖后腿的行程在中央公园西部找到了相当数量的接入点。中心区的调查沿着小意大利,SoHo,唐人街,格林威治村,穿过世界贸易中心旧址,到宽大街,华尔街,自由街,然后下行至炮台公园,并向上穿越东村。在中央区,我们涵盖了从第14街起的所有街道涉及的地区包括洛克菲勒中心,川普大厦,麦迪逊花园广场和帝国大厦,所有的路线都到第58/59大道,并开始于中央公园。住宅区,我们穿越了Harlem,直至125大街,简单的沿着Cloisters进行。总之,我们覆盖了整个曼哈顿地区,包括布鲁克林,曼哈顿和威廉斯堡桥。设备此次调查使用了一台具有内置天线的IBM ThinkPad T61笔记本。当检测到设备时,软件就会在离开该来源之前再次识别信道,ESSID和其他网络信息。该软件没有办法捕获或保留所检测到会话的数据内容。从每个简短连接中收集到的信息可用来进行网络的离线分析,以确定以下信息:扩展服务集识别码(ESSID)信道(1-11)WEP或其他安全方法先进的加密技术运行模式(特设,基站,接入点,基础设施)MAC地址硬件供应商接入点响应、安全等级、ESSID值、广播、物理位置和具有相同ESSID的其他接入点的存在,这些信息可以让我们推断出哪些是公共接入系统,哪些是准确度更高的私有商业系统。笔记本电脑和软件扫描仪再次检测802.11a、b、g和n硬件中的广播和非广播接入点。附录C 与伦敦和巴黎的调查结果对比商业安全的商业不安全的热点个人安全的个人不安全的 伦敦的接入点类型商业安全的商业不安全的热点个人安全的个人不安全的 巴黎的接入点类型商业安全的商业不安全的热点个人安全的个人不安全的 纽约的接入点类型附录D 无线网络:背景IEEE 802.11b规范是在2000/2001得到广泛接受的第2层(OSI模型)协议。这个协议可以让在工作于目前未获得牌照的2.4GHz频谱段的两个无线设备之间建立以太网连接。这种配置可用于点对点连接,但WiFi关心的更典型的配置,是一个无线设备配置成客户端的网卡,一个无线设备配置成网络上的中央集线器,称为“接触点”(AP)。这个标准是数据电缆的一种替代技术,在多个客户端连接到一个接入点的情况下,它变成了类似于点对点或最后100英尺案例中的整个网络布线。客户端和和接入点之间的通信流量在“空中”进行传播,因此需要采取一种加密方法以保护传输的数据免遭窃听。最初的(并得到了普遍实施)标准是WEP(有线等效保密),但最近发现的设计上的内在缺陷,导致了WEP迅速被更强的加密技术所取代,并成为了802.1x标准的一部分。无线网络的运行原理引入了有线网络所没有的新风险:传统上,网络管理员可以在物理上控制网络的接入,但无线网络却不容易这么做。此外,接入点通常在网络管理员不知情的情况下安装在防火墙内的整个网络中。由于这些原因,在接入网络之前进行认证是非常重要的。IEEE 802.11IEEE 802.11是指IEEE针对无线技术而开发的一个规范家族。802.11指定了无线单元之间(客户端/接入点,接入点/接入点,客户端/客户端)的无线通信。IEEE在1997年接受了此规范。以下是802.11规范的几个组成部分:802.11应用于无线局域网中,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论