等保测评或者客户做安全评估的时候,有一个问题出现的频率越来越高:你们的无线网络能防住钓鱼AP吗?这个问题的背景是,最近几年企业内网渗透事件中,无线网络作为初始入口的比例在上升。攻击者不需要物理接入大楼,不需要突破门禁,只要在企业大楼附近放一个和企业SSID同名的钓鱼AP,配合一个和教育员工「无线网络已断开,请重新认证」的低成本社工手段,就有可能骗取到企业内网的入场券。员工看到熟悉的SSID名称,输入密码,没有明显的异常提示,但实际的认证请求被攻击者截获了——这个攻击路径在技术上门槛不高,开源工具几个小时就能搭起来,但在企业安全意识培训不足的情况下,成功率并不低。这个场景在技术上是真实的,在现实中也不罕见,但很多企业在选无线认证系统的时候,并没有把这个威胁模型放进评估维度里,安全评估和采购决策之间存在明显的信息差。
企业无线认证系统对钓鱼AP的防护能力,取决于它采用的是哪种认证架构,这个判断很关键,不能泛泛而谈。如果用的是WPA2-Enterprise加802.1X,每一次连接都要经过RADIUS服务器端验证,AP本身只做桥接不参与认证决策,攻击者伪造的AP虽然能发出同名SSID,但无法提供真实的RADIUS服务器来响应认证请求。客户端即便连上了伪造的AP,在EAP握手阶段也无法完成认证流程,802.1X的认证是双向的——服务器要验证客户端,客户端也要验证服务器,攻击者没有真实RADIUS的私钥就无法伪造服务器响应,认证会失败。从这个角度看,802.1X在对抗钓鱼AP上有天然的架构优势,这个保护机制是协议层面的内建能力,不依赖额外的安全功能。原理是清楚的,效果是真实的,但前提条件是客户端必须正确配置和验证服务器证书。
这里有一个关键的前提条件:客户端必须正确配置了根证书验证,证书验证这一环不能省。在WPA2-Enterprise的PEAP认证流程中,客户端连接后要验证RADIUS服务器的证书,只有证书是受信任CA签发的才继续进行,否则直接拒绝连接。这个设计本身是安全的,但实际操作中问题很多:如果企业没有部署内部CA,而是使用了自签名证书,员工终端第一次连接时会弹出一个不被信任的警告,大多数员工会直接点「继续」忽略这个警告,然后把这条例外规则记在终端里,下次就不会再弹了——这个行为把证书验证的安全价值清零了。更重要的是,很多企业的无线终端配置里,根证书验证这一项在IT统一下发配置的时候就是默认关闭的,因为打开后IT要管理CA证书的发布和更新链条,增加工作量。员工自己不会主动去开这个验证,集成商在验收的时候也不会把这个配置细节单独列出来检查——这个配置漏洞是真实的,把802.1X的服务器端认证优势抵消了大半,是安全评估时的高频失分项。
**无线认证能防住的第二个威胁场景是内网横向渗透。** 企业无线认证的核心安全价值之一,是实现了用户和设备的双重身份验证,在准入层面加了一道有据可查的实名门槛。攻击者即便通过钓鱼WiFi或者其他手段拿到了一个有效账号,想要在内网里横向移动也要比在有线环境下更难,因为802.1X加上合理的VLAN划分,可以让通过无线接入的终端只能访问其所属部门对应的网络区域,无法直接扫描到财务、研发、核心业务等高价值网段。无线准入将准入边界从「插网线就能进内网」变成了「认证通过才能接入对应VLAN」,这个控制能力是有线网络原生不具备的,也是无线认证在安全层面最重要的价值输出。政企客户做安全建设的时候,往往先花大价钱买防火墙和入侵检测设备,而忽视了最基础的网络准入管控。实际上准入做不好,攻击者进内网的门槛就低,防火墙再厚也挡不住已经站在门里的人。
但认证不等于访问控制,这是两件不同的事,必须分开理解。认证解决的是「你是谁」的问题,访问控制解决的是「你能干什么」的问题,两者在安全架构里处于不同的层次。很多企业上了无线认证系统之后就默认内网安全了,认为准入做好了整个安全体系就闭环了,这是最大的认知误区。无线准入只是安全边界的第一道门,过了门之后,同一VLAN内的终端之间能不能互访、是否做了网段之间的ACL隔离、关键业务区域有没有独立的防火墙策略——这些都属于访问控制的范畴,不是无线认证系统本身能覆盖的功能区域。评估无线认证系统的安全能力,不能只看认证机制本身有多强,还要看它和现有网络安全架构的集成深度:认证通过的终端默认落在哪个VLAN,这个VLAN和其他VLAN之间的访问控制策略是谁在下发和维护,策略变更的流程是否可控——这些问题的答案比认证协议本身更能反映整体安全水位。
真正要把无线接入的安全风险压到可接受水平,需要三样东西配合,缺一不可:强认证机制是基础,没有802.1X加证书验证这个底座,上层的控制都是建立在沙子上;第二层是网络层的精细化访问控制,VLAN划分配合802.1Q标签,认证通过的终端按部门、按角色落到不同网段,同一网段内的终端之间也要控制互访权限;第三层是持续的终端安全监控,无线接入终端的异常行为检测,比如同一账号短时间在多个不同地点认证、终端接入后短时间内大量扫描内网网段——这些行为特征比认证本身更准确地反映攻击意图。无线认证系统是这三层里成本最低、建设最快的一层,把这一层做好是基础,但把它当成唯一手段,就是最大的安全误区,等保测评时被穿透只是时间问题。
中文