• 电  话:+86-0512-62807996
    传  真:+86-0512-62808596
    地  址:中国(江苏)自由贸易试验区苏州片区苏州工业园区东平街287号广鸿大厦4楼511室
    Email:jerry@zhenhong188.com.cn

私接AP成为企业内网资安新缺口

点击次数:更新时间:2015-07-27 21:07:37【打印】【关闭】

  

随着智能型手机、3GWiMAX等行动网络的普及,加上千元以内就可以购买到一台功能完整的无线AP,这些都成为员工将内网计算机越狱到不受控管外网的最佳管道不论是咖啡店或是捷运站,拿着智能型手机、眼睛永远紧盯着小小的手机荧幕,手指则任意的在荧幕上滑动,这已经是目前台湾街头最普遍的现象了,其中,从衣着装扮看得出来,有很多是台湾的上班族。

这样的现象从街头回到办公桌上,反而衍生了一个让公司IT同仁非常头痛的网络控管现象。这些费率采用上网吃到饱的智能型手机,或者是使用USB界面的3G/3.5G网卡等3C产品,有许多上班族因为不用担心流量用了多少,在上网费率一口价的前提下,几乎已经成为上班族人手必备的随身连网产品。

智能型手机成内网计算机连外网管道

在上网政策规定严格的企业中,许多上班族会善用智能型手机的连网功能,透过USB连线,或者启动蓝牙或Wi-F-连线功能,一端连上公司计算机,一端则将自己吃到饱的3G网络分享给公司计算机做为上网之用。让企业网络控管严格的个人计算机,提供一个连接到网际网络的开后门方式。

这个智能型手机上网,除了让员工个人计算机有一个不受企业内部网络管控的网络连线外,透过手机热点分享,这支手机也成为一台无线AP(无线基地台),只要可以接收到该手机无线网络讯号的地方,都可以透过这支智能型手机连到外网。

目前包括iPhoneAndroid两大智能型手机最新版的作业系统,都已经支援热点分享功能,手机使用者只需要透过几个按键,就可以简单启动热点功能,让不懂IT技术的人都能够轻易上手。

除了智能型手机的热点分享外,常见的3G网卡包含WiMax行动上网功能,也同样让公司内的个人计算机成为桥接网络的新通道,一端在企业内网、一端走到网际网络。企业严格控管的内网出现新缺口,而且还是企业不知道的缺口。

只要企业内网的计算机,尤其是桌上型计算机可以透过无线网卡或相关连网装置连线到上述这些行动网络,IT部门很难实时察觉这种网络桥接的现象,一旦这样的连外网络被黑客利用,内网的计算机都可能成为入侵黑客的贡品。所以说,这种透过智能型手机或者是3G网卡从公司偷偷上网的现象已经越来越多,对IT部门同仁已经造成一种严厉的内网安全控管考验。

数百元无线AP突围百万资安设备

IT部门为了防护黑客入侵攻击,愿意砸大钱投资动辄数十万或上百万元资安防护设备,但「家贼难防」,除了传统闸道端的安全防护外,企业也发现,即便外网防护有如铜墙铁壁,但公司网络安全罩门可能就在内网,更可怕的是,一个数百元就买得到的无线AP,就能让价值几百万的资安防护网出现缺口,这个缺口甚至可能会致命。

员工为了增加自己的便利性,把公司原本接在公司计算机上的网络线,换个方向接到私自购买的无线AP上。一台便宜的无线AP摇身一变成为无线网络基地台,当场可以提供给附近同事作为对外网络连线之用,让这些公司内网的计算机,面临网络桥接的资安风险。

资料遗失是最大的资安风险

对企业而言,员工私接AP造成的内、外网络桥接状态,最大的风险就是,一旦黑客透过行动网络或私接AP的无线网络攻进企业内网,企业内的机敏资料便可能外泄。

电信业者的行动网络可以取得实体IP,黑客只要能够知道该行动上网实体IP位址,就可以对此发动攻击。他说,虽然电信业者提供行动上网都有实体IP,有利于更多行动上网的加值用途,但若只论行动上网的安全性,发放虚拟IP让黑客无法直接对该行动网络发动攻击,其实是相对安全的。

除了USB线的桥接方式外,也有蓝牙和Wi-Fi的网络连线方式。这时候的网络连线经常不会加密,几乎都是很简单的WEP加密方式,有经验的黑客大约20秒内就可以破解。因为无线网络没有达到WPA2较安全的加密层级,黑客可以监听(sniffer)封包内容,员工若利用此网络收发公司邮件或上网,账号、密码等都可能被黑客侧录。

目前国内已经有破解这类无线网络的商品化工具,不仅可以增强无线功率,这类商品大约一千多元就可以买到。他说,从扫描到附近可用的无线网络,到使用破解工具选定想要破解的无线网络后,只要几秒钟,这套产品就可以破解无线网络的连线,并且直接就把破解密码显示在计算机上。

智能型手机成为网络入侵工具

因应平板计算机的盛行,有不少公司IT部门面临提供内部同仁无线网络的需求。现在只要高明一点的黑客,就可以利用手机作以前一台计算机才能做到的事,例如无线网络窃听、无线网络桥接,甚至是到公司内伪装成内部无线AP,等公司同仁连上该伪冒的私接AP后,再将网络连线转到真正公司内架设的AP等。

举例而言,黑客将一台无线AP名称伪冒成Wifly,使用者不需要经过认证即可连网使用,当员工连上这台黑客伪冒的无线AP时,员工键入的账号、密码都被黑客侧录后,再转到其他合法无线AP。员工在连网过程中,都无法判定无线连网的安全性。

有时候,黑客也可能用欺骗、伪冒的方式进行APR Spoofing的攻击手法,由黑客取得区域网络上的资料封包,甚至窜改封包,让网络上特定计算机或所有计算机都不能正常连线。由于现在手机功能强大,在功能上,都已经可以取代以前的旧型计算机,公司内部开放无线网络使企业内网资安风险比以往高很多,而这种APR Spoofing的攻击手法,有线网络还比较容易管控,一旦使用无线网络,管控难度大幅提升。

企业应该制定包含内网安全的资安政策

面对这些内网安全的后门漏洞,除了利用许多IT工具进行控管外,公司对这类违反公司上网政策的连网行为,应该要制定一套公开的资安政策,作为公司同仁的上网准则。

建议,即便今天公司已制定资安政策,但只要员工为了贪图方便,想要私接无线AP或利用其他的行动网络,让相关计算机设备可以连到外部网络,资安政策还是有可能破功。因此,公司除了制定资安政策外,实际执行面上,也可以经常性的做IT资产盘点,看是否有其他不明、未知的IT设备出现在公司的网络范围中,最好也能够拒绝公司允许员工使用私人计算机设备,才比较能够进行深度控管。

除了透过无线网络通道入侵内网计算机,导致机敏资料可能外泄外,对于一些习惯「公务家办」的上班族而言,员工把公司的笔记型计算机带到资安防护比较松散的家里办公,一不小心,就会造成黑客入侵并植入后门程序。这台中毒的笔记型计算机拿到公司内网使用前,并没有经过任何扫毒的步骤,就可能在没有察觉的情况下,该台已经被植入木马程序的中毒计算机,已经带回公司内网使用并进一步扩散了。这样的威胁因为各种不受内网控管的连网网络泛滥,导致内网缺乏应有的防护,这将让恶意程序有如入无人之境般的横行。

事实上,企业内网对内网的管控,往往比外网对内网管控更为松散,象是存取内部的档案服务器、DMZ以及网络芳邻等,因为使用者都有合法的存取权限,对于谁向谁存取了哪些资料,相较于谁从外网向内网存取哪些资料,管控相对松散。现在又加上员工私接AP对企业内网造成难以控管的风险,企业已经到了要审慎面对员工私接AP的时候了。





  2014苏州振宏信息科技有限公司 苏ICP备10070324号
振宏科技始终专注于网络安全技术,一直引导发展网络准入控制系统,桌面管控系统,网络运维监控系统。详询:0512-62807996
全国免费咨询电话:0512-62807996