如何防范WIFI安全隱患

如何防范WIFI安全隱患

近年來，隨著無線網絡技術的成熟，越來越多的人們通過無線設備連接到互聯網。最早W i-Fi只用于對IEEE802. 11b系列的產品進行認證的描述，全稱為W ireless-Fidelity，但現在正在逐步擴展到802.11系列的各類標準，用戶也開始使用W i-Fi或者W i-Fi指代所有的無線網產品標準。

當前無線網的用戶對于隨時隨地訪問自己關心的網絡數據要求越來越高，為此，各類場所對無線網的部署也日益流行。布置方有家庭、企業還有運營商,但是無論何種規模的無線網絡，都面臨著各種各樣的安全隱患和威脅。

常見的無線網安全威脅

無線網的傳輸和接收數據是通過在空氣中廣播的射頻信號。由于無線局域網使用的廣播性質，存在黑客可以訪問或損壞數據的威脅。安全隱患主要有以下幾點：

1、未經授權使用網絡服務

如果無線局域網設置為開放式訪問方式，非法用戶可以不經授權而擅自使用網絡資源，不僅占用寶貴的無線信道資源，增加帶寬費用，降低合法用戶的服務質量，而且未經授權的用戶沒有遵守相應的條款，甚至可能導致法律糾紛。

2、地址欺騙和會話攔截(中間人攻擊)

在無線環境中，非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比有線環境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。

此外，非法用戶很容易裝扮成合法的無線接入點，誘導合法用戶連接該接入點進入網絡，從而進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現網絡入侵。

由于無線網一般是有線網的延伸部分，一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。而多數部署的無線網都在防火墻之后，這樣無線網的安全隱患就會成為整個安全系統的漏洞，只要攻破無線網絡，就會使整個網絡暴露在非法用戶面前。

無線網的安全措施

為了緩解上述的安全問題，所有的無線網都需要增加基本的安全認證、加密和加密功能，包括：

●用戶身份認證，防止未經授權訪問網絡資源。

●數據加密以保護數據完整性和數據傳輸私密性。

身份認證方式包括：

一、開放式認證。開放認證基本上是一個空認證算法，允許任何設備向接入點(AP)發送認證要求。開放驗證中客戶端使用明文傳輸關聯AP。如果沒有加密功能，任何知道無線局域網SSID的設備都可以進入該網絡。如果在AP上啟用了有線對等加密協議(WEP)，WEP密鑰則成為一種訪問控制的手段。沒有正確的WEP密鑰的設備即使認證成功也不能通過AP傳輸數據，同時這樣的設備也不能解密由AP發出的數據。

開放認證是一個基本的驗證機制，可以使用不支持復雜的認證算法無線設備。802.11規范中認證的是面向連接的。對于需要驗證允許設備得以快速進入網絡的設計，在這種情況下，您可以使用開放式身份驗證。而開放認證沒辦法檢驗是否客戶端是一個有效的客戶端，不管你是不是黑客或是惡意攻擊者的客戶端。如果你使用不帶WEP加密的開放驗證，任何知道無線局域網SSID的用戶都可以訪問網絡。

二、共享密鑰認證。該方式與開放驗證類似而有一個主要的區別。當你使用帶WEP加密密鑰的開放認證時，WEP密鑰是用來加密和解密數據，但在認證的步驟中卻不使用。在共享密鑰認證中，WEP加密被用于驗證。和開放驗證類

似，共享密鑰認證需要客戶端和AP具有相同的WEP密鑰。AP使用共享密鑰認證發出一個挑戰文本包到客戶端，客戶端使用本地配置的WEP密鑰來加密挑戰文本并且回復隨后而來的身份驗證請求。如果AP可以解密認證要求，并恢復原始的挑戰文本，AP將回復一個準許訪問的認證響應給該客戶端。

在共享密鑰認證中，客戶端和AP的交換挑戰文本(明文)并且加密的該挑戰文本。因此，這種認證方式易受到中間人攻擊。黑客可以收到未加密的挑戰文本和已加密的挑戰文本，并從這些信息中提取WEP密鑰(共享密鑰)。當黑客知道WEP密鑰時，整個認證機制將受到威害并且黑客可以自由訪問該W LAN網絡。這是共享密鑰認證的主要缺點。

除了WEP之外，現在還有WPA和WPA2機制。

WPA是一種基于W i-Fi聯盟的標準安全解決方案，以解決本地無線局域網漏洞。WPA為W LAN系統提供了增強的數據保護和訪問控制。WPA在原來的IEEE 802.11標準的執行基礎上解決了所有已知的有線等效保密(WEP)的漏洞，給W LAN網絡帶來了直接的安全解決方案，包括企業和小型辦公室，家庭辦公室(SOHO)這樣的W LAN網絡環境。

WPA2是新一代的W i-Fi安全協議。W PA2是W i-Fi聯盟共同實施批準的IEEE 802.11i標準。W PA2執行國家標準和技術局(N IS)建議基于高級加密標準(AES)加密算法的計數器模式及密碼區塊鏈信息認證碼協議(CCMP)。AES計數器模式是一種分組密碼，該模式每次用一個128位密鑰加密128位的數據塊。WPA2比WPA提供了更高級別的安全性。

此外，還有其他兩個常用的機制用于無線網安全：

●基于SSID認證

●MAC地址認證

服務區標識符(SSID)匹配

無線客戶端必需設置與無線訪問點AP相同的SSID，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設置隱藏接入點(AP)及SSID區域的劃分和權限控制來達到保密的目的，SSID是允許邏輯劃分無線局域網的一種機制，SSID沒有提供任何數據隱私功能，而且SSID也不對AP提供真正驗證客戶端的功能。

物理地址(MAC)過濾

每個無線客戶端網卡都由唯一的48位物理地址(MAC)標識，可在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。

這種方法的效率會隨著終端數目的增加而降低，而且非法用戶通過網絡偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。

建議使用的無線網策略

1、不建議使用WEP加密方式，而應該使用WPA和WPA2的加密認證方式，而現在絕大多數家用AP是支持WPA和WPA2加密認證的。

2、改變家用無線路由器的常規設置：家用無線路由器通常默認的DHCP服務(自動分配IP地址)是開啟的，這樣其他用戶如果進入了認證系統，不用猜測網絡的IP地址是多少，就可以獲得網絡IP地址了，從而降低了攻擊者的難度，提高了風險。具體來看，可以禁用DHCP服務和SSID廣播服務，并且更改路由器內網網關的IP地址，能夠大大增加攻擊的難度。

3、綁定MAC地址：在家用無線路由器上開啟MAC地址綁定功能，任何接入網絡的設備一定是預先錄入綁定的MAC地址，這樣能夠直接拒絕攻擊者設備連接入網的機率。

4、公共場所無線用戶自身的安全策略：由于在公共場合里，所有連接無線網絡的電腦邏輯上都處于同一個網絡里，所以要注意設置自身上網設備的安全性。主要需要關注的：

●不使用未知的無線信號，在公共場合，由于無線接入設備可以獲取所有的交互信息，對于未知的無線網絡一定需要加以鑒別后進行使用;

●開啟防火墻、安全軟件和禁用網絡發現等功能，防止其他人利用公共網絡對個人設備進行非法訪問;

●默認口令和弱口令需要進行修改，上網的設備管理員需要使用強口令，并且定期更改，防止使用弱口令以阻止非法用戶獲得管理員權限從而入侵我們的設備;

此外，還有一些常見的操作可以采用，例如禁用共享功能、安裝防病毒軟件、訪問安全性高的網站。

（何川）