Surface Hub 如何解决 WLAN Direct 的安全问题

Microsoft Surface Hub 是一款一体式的高效率设备,团队借助它能够更好地进行集体讨论、协作和分享想法。 Surface Hub 通过使用 WLAN Direct 依靠 Miracast 进行无线投影。

本主题提供关于 WLAN Direct 的安全性漏洞、Surface Hub 如何解决这些风险,以及 Surface Hub 管理员如何配置设备以获得最高安全级别的指南。 此强化信息将帮助具有高安全要求的客户了解如何最大程度地保护 Surface Hub 连接的网络和传输中的数据。

本主题内容主要面向关注为企业环境中的 Microsoft Surface Hub 部署最佳安全设置的 IT 和网络管理员。

概述

Microsoft Surface Hub 的安全性很大程度上取决于 WLAN Direct / Miracast 和关联的 802.11、WLAN 安全访问 2 (WPA2) 和无线保护设置 (WPS) 标准。 由于本设备仅支持 WPS(与 WPA2 预共享密钥 (PSK) 或 WPA2 企业相反),因此,问题通常与 802.11 密钥的设计进行过简化有关。

请务必注意,Surface Hub 与 Miracast 接收器的操作领域相同,这意味着它与所有基于 WPS 的无线网络设备一样,既能免受一组类似破解的攻击,又受其威胁。 但 Surface Hub 的 WPS 实现内置了额外的预防措施,且其内部体系结构能有效阻止攻击者(即使 WLAN Direct / Miracast 层损坏)越过网络接口到达其他攻击界面和连接的企业网络。请参阅 WLAN Direct 漏洞和 Surface Hub 的解决方法了解详细信息。

WLAN Direct 背景

Miracast 是 WLAN 显示标准的一部分,本身受 WLAN Direct 协议的支持。 这些标准受用于屏幕共享和协作的现代移动设备的支持。

WLAN Direct 或 WLAN 对等 (P2P) 是 WLAN 联盟针对“临时”网络发布的标准。 此标准允许受支持的设备直接通信和创建网络组,无需传统的 WLAN 接入点或 Internet 连接。

WLAN Direct 的安全性由 WPA2 使用 WPS 标准提供。 设备的身份验证机制可以是数字 PIN 码 (WPS-PIN)、物理或虚拟“推送”按钮 (WPS-PBC),或近场通信 (WPS-OOO) 等带外消息。 Microsoft Surface Hub 支持“推送”按钮(默认)和 PIN 方法。

在 WLAN Direct 中创建的组分为“永久组”(允许使用保存的密钥材料自动重新连接)和“临时组”(没有用户干预或操作,设备无法重新进行身份验证)。 WLAN Direct 组通常使用协商协议确定组所有者 (GO),可以模拟已建立的 WLAN Direct 组的“站”或“接入点”功能。 此 WLAN Direct GO 可提供身份验证(通过“内部注册机构”)并加快上游网络连接。 对于 Surface Hub 而言,此 GO 协商不会发生,因为网络只会以“自主”模式运行,而 Surface Hub 始终是组所有者。 最后,Surface Hub 现在和以后都不会以客户端身份加入其他 WLAN Direct 网络。

WLAN Direct 漏洞和 Surface Hub 的解决方法

在 WLAN Direct 邀请、广播和发现过程中的漏洞和攻击:WLAN Direct / Miracast 攻击可能会针对组建立、对等机发现、设备广播或邀请过程中的弱点。

WLAN Direct 漏洞 Surface Hub 缓解操作
发现过程可能会在很长一段时间保持活动状态,这可能会允许不考虑设备所有者就建立邀请和连接。 Surface Hub 只能作为组所有者 (GO) 操作,不会执行客户端发现或 GO 协商过程。 可以通过完全禁用无线投影关闭广播。
使用 PBC 邀请和发现允许未经身份验证的攻击者执行反复的连接尝试,或自动接受未经身份验证的连接。 通过要求 WPS PIN 安全性,管理员可以减少此类未经授权的连接或“邀请炸弹”(反复发送邀请直到用户误接受)的可能性。

受 WLAN 保护的设置 (WPS) 推送按钮连接 (PBC) 与 PIN 条目:在 WPS-PIN 方法设计和实现中已经证实存在公共弱点,WPS-PBC 中存在的其他漏洞涉及针对一次性使用设计的协议的主动攻击。

WLAN Direct 漏洞 Surface Hub 缓解操作
WPS-PBC 易受主动攻击者的攻击。 正如 WPS 规范中所述:“PBC 方法的平均信息量为零,且只能抵御被动的窃听攻击。 PBC 可抵御窃听攻击,并能采取措施,防止设备加入非设备所有者选择的网络。 但是,缺少身份验证意味着 PBC 无法抵御主动攻击者的攻击。” 攻击者可使用选择性无线堵塞或其他潜在的拒绝服务漏洞,以便触发非预期的 WLAN Direct GO 或连接。 此外,仅临近位置的主动攻击者可以反复拆卸任意 WLAN Direct 组并尝试所述的攻击,直到成功。 启用 Surface Hub 配置中的 WPS-PIN 安全性。 正如 WLAN WPS 规范中所述:“只有在没有支持 PIN 的注册机构且 WLAN 用户愿意接受与 PBC 关联的风险情况下,才应该使用 PBC 方法”。
WPS-PIN 实现可能会暴力使用 WPS 标准中的漏洞。 由于拆分 PIN 验证设计,过去几年间,各 WLAN 硬件制造商中出现了多个实现漏洞。 2011 年,两位研究员(Stefan Viehböck 和 Craig Heffner)发布了有关此漏洞和的信息和“Reaver”等工具作为概念证明。 Surface Hub 中 WPS 的 Microsoft 实现每 30 秒更改一次 PIN 码。 为破解 PIN 码,攻击者必须在 30 秒内完成整个破解。 鉴于当前的工具状态和这一领域的研究,不太可能通过 WPS 进行暴力 PIN 码破解攻击。
由于初始密钥(E-S1、E S2)平均信息量薄弱,可以使用脱机攻击破解 WPS-PIN。 2014 年,Dominique Bongard 讨论了“Pixie Dust”攻击。在这种攻击中,无线设备中的伪随机数生成器 (PRNG) 的初始无序性不佳会导致执行脱机暴力攻击。 Surface Hub 中 WPS 的 Microsoft 实现不易遭受这种脱机 PIN 暴力攻击。 WPS-PIN 针对每个连接进行了随机化。

网络服务意外泄露:由于错误配置(例如绑定“所有”/0.0.0.0 接口)、设备防火墙配置不当或完全缺少防火墙规则,适用于以太网或 WLAN 服务的网络守护程序可能会意外泄露。

WLAN Direct 漏洞 Surface Hub 缓解操作
错误配置会将漏洞或未经身份验证的网络服务绑定到“所有”接口,包括 WLAN Direct 接口。 这可能会泄露 WLAN Direct 客户端不可访问的服务,这些服务可能经过弱身份验证或未经过身份验证。 在 Surface Hub 中,默认防火墙规则只允许需要的 TCP 和 UDP 网络端口,并默认阻止所有入站连接。 可以通过启用 WPS-PIN 模式配置强身份验证。

桥接 WLAN Direct 和其他有线或无线网络:虽然 WLAN 或以太网络之间的网络桥接违反 WLAN Direct 规范,但此类桥接或错误配置可有效减少或删除对内部企业网络的无线访问控制。

WLAN Direct 漏洞 Surface Hub 缓解操作
WLAN Direct 设备可允许对桥接的网络连接进行未经身份验证或经过不当身份验证的访问。 这可能会允许 WLAN Direct 网络将流量路由到内部以太网 LAN、其他基础结构或违反现有 IT 安全协议的企业 WLAN 网络中。 无法配置 Surface Hub 以桥接无线接口或允许在单独网络之间路由。 默认防火墙规则为任何此类路由或桥路连接添加深度防护。

WLAN Direct 旧模式的使用:在“旧”模式下运行时,非预期网络或设备的暴露可能存在风险。 如果未启用 WPS-PIN,则可能会发生设备欺骗或非预期连接。

WLAN Direct 漏洞 Surface Hub 缓解操作
系统通过支持 WLAN Direct 和 802.11 基础结构客户端,以“旧”支持模式运行。 这可能会无限期暴露连接设置阶段,使要加入或受到连接邀请的设备在预期的设置阶段终止后正常运行。 Surface Hub 不支持 WLAN Direct 旧客户端。 即使启用 WPS-PIN 模式,也只能对 Surface Hub 进行 WLAN Direct 连接。

连接设置期间的 WLAN Direct GO 协商:WLAN Direct 中的组所有者类似于传统 802.11 无线网络中的“接入点”。 协商可能会受恶意设备操纵。

WLAN Direct 漏洞 Surface Hub 缓解操作
如果动态建立组或使 WLAN Direct 设备加入新组,组所有者 (GO) 协商可能会受恶意设备操纵,始终将组所有者的最大“目的”值指定为 15。 (除非始终将此类设备配置为组所有者,这种情况下,连接将失败。) Surface Hub 充分利用 WLAN Direct 的“自治模式”,它会跳过连接设置的 GO 协商阶段。 Surface Hub 始终是组所有者。

非预期或恶意解除 WLAN 身份验证:解除 WLAN 身份验证是一种由来已久的攻击,实际位于本地的攻击者可用其加快针对连接设置过程的信息泄露、触发新的四向握手、瞄准 WLAN Direct WPS-PBC 进行主动攻击或创建拒绝服务攻击。

WLAN Direct 漏洞 Surface Hub 缓解操作
未经身份验证的攻击者可发送解除身份验证数据包,导致站点重新进行身份验证并探查生成的握手。 可能会尝试对生成的握手进行加密或暴力攻击。 针对这些攻击的缓解操作包括:为预共享密钥实施长度和复杂性策略;配置接入点(如果适用)检测解除身份验证数据包的恶意级别,以及使用 WPS 自动生成强密钥。 在 PBC 模式中,用户与物理或虚拟按钮交互,以允许任意设备关联。 这一过程只能在设置时发生在小窗口中,自动“按下”按钮后,设备将通过规范 PIN 值(全为零)接受任意站关联。 解除身份验证可以强制进行重复设置过程。 当前 Surface Hub 设计以 PIN 或 PBC 模式使用 WPS。 不允许 PSK 配置,有助于强制生成强密钥。 建议启用 WPS-PIN。
除拒绝服务攻击外,解除身份验证数据包还可以用于触发重新连接,这可能会重新打开针对 WPS-PBC 的主动攻击的机会窗口。 启用 Surface Hub 配置中的 WPS-PIN 安全性。

基本无线信息泄露:无线网络(802.11 或其他)是信息泄露的本质来源。 虽然信息在很大程度上是连接或设备元数据,但它对任何 802.11 管理员都保留接受的风险。 通过 WPS-PIN 对设备进行身份验证的 WLAN Direct 有效显示了与 PSK 或企业 802.11 网络相同的信息。

WLAN Direct 漏洞 Surface Hub 缓解操作
在广播、连接设置或甚至已加密的连接期间,有关设备和数据包大小的基本信息均以无线方式传输。 在基本级别上,无线范围内的本地攻击者可以确定无线设备名称、通信设备的 MAC 地址,还可以通过检查相关的 802.11 信息元素确定其他详细信息,例如,无线堆栈版本、数据包大小,或配置的接入点或组所有者选项。 Surface Hub 采用的 WLAN Direct 网络无法进一步抵御元数据泄露,802.11 企业或 PSK 无线网络也会以相同方式泄露此类元数据。 通过物理安全性和删除无线邻近感应中的潜在威胁,可用于减少任意潜在的信息泄露。

无线双面恶魔或欺骗攻击:欺骗无线名称是一种实际位于本地的攻击者常用和广为人知的漏洞,用于引诱不知情或误用用户进行连接。

WLAN Direct 漏洞 Surface Hub 缓解操作
通过欺骗或克隆目标网络的无线名称或“SSID”,攻击者可以诱骗用户连接到伪造的恶意网络。 通过支持未经身份验证的自动加入 Miracast,攻击者可以捕获预期的显示材料,或尝试在连接设备上执行网络攻击。 由于不具备针对加入被欺骗的 Surface Hub 的具体防范措施,可能会以两种方式对这种攻击起到部分缓解作用。 首先,任何潜在攻击必须在物理上位于 WLAN 范围内。 其次,只有在首次连接期间才可能发生这种攻击。 随后的连接会使用永久性 WLAN Direct 组,Windows 将记住这一以前的连接,并在将来使用 Hub 期间确定其优先级。 (注意:此报告中对同时欺骗 MAC 地址、WLAN 信道和 SSID 的情况不予考虑,这可能会导致 WLAN 行为不一致。)总之,这一弱点是任何不使用企业 WPA2 协议(例如 EAP-TLS 或 EAP-PWD)的 802.11 无线网络的根本难题,这种无线网络不受 WLAN Direct 支持。

Surface Hub 强化指南

Surface Hub 是专为促进协作和允许用户快速高效地开始和加入会议而设计。 因此,Surface Hub 的默认 WLAN Direct 设置针对此方案进行了优化。

对于在无线接口周围需要额外安全性的用户,我们建议 Surface Hub 用户启用 WPS-PIN 安全性设置。 这会禁用 WPS-PBC 模式并提供客户端身份验证,并通过阻止任何未经身份验证的 Surface Hub 连接提供最强保护级别。

如果 Surface Hub 的身份验证和授权仍然存在问题,我们建议用户将设备连接到单独的 WLAN 网络(例如“来宾”WLAN 网络),或使用单独的以太网络(最好是完全不同的物理网络,但 VLAN 也可以提供部分更高的安全性)。 当然,这种方法可能会阻止与内部网络资源或服务的连接,也可能需要其他网络配置来重新获得访问权限。

此外,还建议:

了解详情