在發(fā)布了一個可以利用老的安全漏洞的軟件工具之后，思科系統(tǒng)公司無線局域網(wǎng)產(chǎn)品再次受到了攻擊的威脅。但是，思科表示，它有一個修復這個安全漏洞的新的協(xié)議。

本周初，思科承認以前發(fā)現(xiàn)的在其LEAP（輕量級擴展身份驗證協(xié)議）協(xié)議中的安全漏洞能夠讓黑客進行字典式攻擊，猜測用于接入無線局域網(wǎng)的普通口令。思科建議用戶使用一種名為“EAP-FAST”（擴展身份驗證協(xié)議-通過安全隧道技術的靈活身份驗證）的新的安全協(xié)議。這個協(xié)議據(jù)說可以減少這種威脅。

據(jù)向思科報告這個安全漏洞的安全專家Joshua Wright稱，字典式攻擊是通過運行一個包括大量詞匯的文件直到找出匹配的口令。這種攻擊可以威脅到各種形式的口令控制。但是，LEAP協(xié)議中的問題能夠讓黑客減少對比口令的數(shù)量，使字典式攻擊的速度更快和更容易。而且LEAP協(xié)議允許黑客離線猜測口令，給予了黑客更充裕的時間去尋找可匹配的口令。

去年8月，為SANS研究所網(wǎng)絡安全小組工作的Wright發(fā)現(xiàn)了LEAP安全漏洞并且開發(fā)了一種名為ASLEAP的工具來利用這個安全漏洞。在與思科取得聯(lián)系之后，Wright同意在思科研制出替代的身份識別協(xié)議并且通知用戶有關LEAP協(xié)議的風險之后再公布這個工具。

今年2月，思科向國際電氣電子工程師學會呈報EAP-FAST協(xié)議，這個協(xié)議解決了LEAP協(xié)議中的部分問題。與LEAP協(xié)議不同，這個新的協(xié)議不允許黑客使用大量的詞匯去匹配口令，也不允許離線猜測口令。這就意味著黑客必須在線猜測口令并且如果幾次猜測錯誤的話就會被關閉在網(wǎng)絡之外。

Wright警告說，雖然EAP-FAST協(xié)議對于LEAP協(xié)議來說是一個改善，但是并沒有完全消除字典式攻擊的危險。同任何口令保護的安全機制一樣，EAP-FAST協(xié)議仍然會受到字典式攻擊。

思科在聲明中表示，思科了解這種利用無線局域網(wǎng)口令保護安全機制中已知的安全漏洞實施字典式攻擊的方法。思科建議用戶重新考慮自己的安全政策和規(guī)定以及以前發(fā)布的最佳安全做法，采用更嚴密的口令使其系統(tǒng)避免遭受這類攻擊。同時，思科還建議用戶把LEAP協(xié)議改為EAP-FAST協(xié)議，以防止字典式攻擊。

LEAP協(xié)議的安全漏洞并不是思科無線局域網(wǎng)設備用戶需要對付的唯一的安全問題。上個星期，思科通知用戶稱該公司的WirelessLAN Solution Engine (無線局域網(wǎng)解決方案引擎) 和 Hosting Solution Engine (主機解決方案引擎)產(chǎn)品中預先設置的用戶名和口令代碼能夠讓黑客完全控制無線局域網(wǎng)管理設備。思科已經(jīng)為這兩種產(chǎn)品發(fā)布了軟件補丁。

標簽： ssl 安全 代碼 漏洞 網(wǎng)絡 網(wǎng)絡安全

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。