WiFi网络安全现状与应对策略

时间:2022-07-11 11:02:17

WiFi网络安全现状与应对策略

【摘要】随着信息技术的飞速发展,WiFi网络在人们生活中得到越来越广泛的应用。WiFi的普及,人们享受到了随时随地上网的便利,与此同时也存在着诸多的安全隐患,越来越多的网络安全问题随之出现。文章分析了WiFi网络安全现状,针对风险提出应对策略,切实改进WiFi应用环境。

【关键词】WiFi;网络安全;现状;应对策略

随着网络技术的飞速发展,智能终端产品越来越普及,手机、智能电视、平板电脑、和其它智能家电的广泛使用让人们对网络有更多的依赖性。通过无线网络,人们现在可以实现利用手机控制家用照明、插线板开关、智能电视等。所以随时随地能够上网就成了非常迫切的需求,因此越来越多的无线网络技术应运而生,其中无线WiFi网络的发展受到了人们的高度重视。

1WLAN与WIFI技术

无线局域网(WirelessLocalAreaNetwork)简称WLAN,是通过射频无线微波通信技术构建起来的局部区域网络,无需使用缆线就可以实现传统有线局域网LAN(LocalAreaNetwork)的全部功能。WLAN对比于传统有线网络,具有安装简单、扩展性强、成本低廉、接入灵活和使用方便等优点。它通过无线接入技术和设备AP(AccessPoint)在一定的局部范围内建立的无线网络,以无线多址信道作为传输媒介,使用户可以摆脱传统线缆的桎梏。通过WLAN的无线接入点AP,应用具有WLAN功能和兼容协议的PDA、PC及手机等数据终端设备,用户就能够实现互联网的随时随地接入,能够方便快捷地进行移动上网、网络娱乐、电子商务、现场办公和远端监控等信息交互。无线保真(WirelessFidelity)简称WiFi,是WLAN网络中运用的一个主流技术标准,也称802.11x标准,是由美国电气和电子工程师协会(InstituteofElectricalandElectronicsEngineers,IEEE)定义的一个无线网络通信工业标准。802.11x标准主要有802.11a、802.11b、802.11g、802.11n等,使用的是2.4GHZ和5.8GHz附近的频段。前期较为成熟和主流的是802.11b标准,其最高带宽为11Mbps,存在干扰或者信号较弱时,带宽能自动调整为1Mbps、2Mbps和5.5Mbps,有效地保障了网络的可靠性和稳定性。802.11b的一般接入点在开放性区域通讯能够达到305m,在封闭性区域通讯也能够达到100m左右。因为802.11b具有较高的可靠性和接入速度及公共无线频点等特点,能够较为便捷地和现有的有线以太网络进行低成本整合组网,所以目前被广泛使用在家庭、办公室、宾馆、机场、车站和重点客户等众多场合。随着802.11g标准的诞生,使无线接入带宽最高能达到54Mbps,而且该标准能向下兼容802.11b标准,这就把WLAN的性能提升到了一个新的高度。802.11g标准已经成为目前设备运营商和供应商首选的最为流行的认证标准。随着WiFi的普及应用,人们享受到了随时随地上网的便利,与此同时也存在着诸多的安全隐患,越来越多的网络安全问题随之出现。本文分析了WiFi网络安全现状[1-3],针对风险提出应对策略[4-5],切实改进WiFi应用环境。

2WiFi网络安全现状

2.1侵入容易

一方面是WiFi无线网络很容易被找到,而且信号提供者为了能够让用户能够发现WiFi的存在,他们在发送信号时,往往会发送有特定参数的信标帧,这样在一定程度上为入侵者提供了入侵条件。另一方面是一些用户在组建网络时不加改变地使用WiFi路由器的默认设置,而这种默认设置对外界的连接要求和对数据的加密皆是是疏于防范的,所以这样处在信号覆盖范围内的WiFi设备都能够非常很容易地连接到网络,从而造成入侵。此外,由于802.11无线局域网不对数据帧进行认证操作,入侵者可以通过欺骗帧的方式,来重新定向数据流,让ARP(AddressResolutionProtocol)表变得混乱,然后经过简单的操作,入侵者就能够轻易地获得网络中站点的MAC(MediaAccessControl)地址,这些MAC地址可以用于恶意入侵时使用。

2.2网络监听和信息篡改

WiFi网络进行信息传输是要通过无线信道来实现的,当攻击者运用具有监听功能的无线网卡等设备对相应的信道进行监听时,就能够监控该信道的信息传输,如果该WiFi网络本身处在没有加密的开放状态或者不安全的加密状态时,攻击者就能够轻易地获取用户发起的网络流量,严重危害用户的信息安全;如果在此期间提交账号密码等敏感信息,将会造成更为严重的信息泄露;假如用户在开放WiFi网络环境中下载邮件附件中的文件,那么攻击者能够通过监听得到的流量数据对用户下载的文件进行还原。同时,当攻击者获取到用户流量以后,还能够进行信息修改后的重传,极其严重的影响了用户的正常通信与安全。

2.3不安全加密或配置不当导致破解

不对WiFi网络进行加密处理会造成非常严重的信息泄露,因此对WiFi网络进行加密保护是非常必要的。但是现在仍较大范围采用的WEP加密方法存在着较为严重的安全隐患,对于攻击者来说,采用WEP加密的WiFi网络,就是一扇开启的大门。有线等效保密协议(WiredEquivalentPrivacy,WEP),使用RC4(RivestCipher4)加密算法来实现机密性,使用CRC32(CyclicRedundancyCheck32)算法来检验数据完整性。WEP通过40位或者104位的密钥与24位的初始向量(InitializationVector,IV)连接在一起组合成为64位或者128位的KEY。但是因为WEP加密中初始向量IV始终是24位,所以当获取到足够的密钥流信息时,就能够通过结合RC4算法特点来破解并获得到共享密码的明文。因此,采用WEP对无线网络进行加密形同虚设,不管密码本身有多么的复杂,只要获取到足够的密钥流数据都能够对其进行破解。不仅WEP存在安全隐患,目前比较安全的加密技术WPA/WPA2等也可能会由于存在用户设置的弱口令而导致未授权接入。WPA(WiFiProtectedAccess)俗称之为WiFi网络安全接入,存在WPA和WPA2两个标准,是在有线等效保密协议(WEP)原理基础上建立起来的加密技术,其目的在于弥补WEP中存在的安全隐患,提供更为安全的通信。但是攻击者能够通过获取无线AP与设备之间的握手信息,并采用通过社会工程等方式生成的字典文件暴力破解。假如密码本身是纯数字等弱口令,那么攻击者能够在很短的时间之内就完成破解。同时无线路由器中的WPS(WiFiProtectedSetup)功能也存在着严重的安全隐患,WPS的设计目的是为了使无线AP与WiFi设备能够进行更快捷的互联,但是因为在WPS中PIN码是网络设备接入的唯一要求,而且PIN码本身是由7位随机数与第8位的校验和组成,所以就使得暴力破解成为了可能。攻击者只需要穷举出107种排列就能够破解。而实际情况是,当攻击者PIN认证失败时,无线AP会将EAP-NACK信息返回给攻击者,这些信息包含了攻击者提交PIN码的前四位或者后三位是否正确的回应,根据这个回应,攻击者就能够在前四位的10000次尝试和后三位的1000次尝试中获得PIN码。

2.4钓鱼WiFi造成信息泄露

钓鱼WiFi通常是指攻击者在公共场所架设的和公共WiFi名称相同或者相似的WiFi网络,其目的诱骗用户把移动设备接入到该网络,一般在接入互联网时会要求用户输入姓名、手机号、身份证号等敏感信息或者直接对接入用户的设备进行信息交互,从而监听用户提交的信息,窃取用户信息于无形之中。接入钓鱼WiFi网络以后,用户设备的流量信息都处于攻击者的监控之下,若用户在此期间运用HTTP协议来传输账号密码,则会由于HTTP协议的明文传输过程而导致使账号密码泄露,并可能会因此产生严重的财产损失。此外,钓鱼WiFi还可以引发JS注入,DNS劫持等安全问题,这些都严重损害用户的信息安全。

3WiFi网络的安全应对策略

3.1禁用或者更改

SSID无线路由器默认情况下会开启SSID广播功能,这样别人就可以通过SSID名称搜索到你的无线网络,如果你不想让别人搜索到,最好的办法就是禁止SSID广播。设置了禁止SSID广播的无线网络仍然是可以使用的,只是这时候它不会出现在他人所搜索到的可用的网络列表中,设置完毕以后自己要在电脑端或手机手动添加设置好的网络。但是尽管隐藏了SSID,攻击者可能还会使用各种工具(例如网络蚂蚁、NetworkStumbler、Bt3等)来搜索隐藏了SSID的无线网络,计算出WEP/WPA密钥,从而进行暴力破解。这种情况下,如果不想让别人蹭网或攻击无线网络,那么可以将SSID修改成中文,因为一方面在这些暴力破解工具中,中文字符会显示为乱码;另一方面,这些破解工具很多是由国外开发者开发出来的,SSID修改成中文会产生不兼容的问题。因此,就可以最大可能地保护WiFi网络。-12-

3.2降低无线路由器发射功率

单个无线AP的信号覆盖范围大约是几十米至几百米不等,降低无线路由器的发射功率可以有效地缩减无线信号的覆盖范围,或者在不使用WiFi时,尽可能将路由器关闭,从而减少别人蹭网或攻击的可能性。

3.3MAC地址过滤并启用

WPA加密措施通过把授权设备网卡的MAC地址录入到AP中允许接入MAC地址的白名单中,同时关闭无线AP的DHCP(DynamicHostConfigurationProtocol)服务,能够在一定程度上避免未授权用户的接入。这时MAC地址没有在白名单中出现的设备将不会被允许接入到WiFi网络中,同时即使攻击者能够接入网络,也会由于无法获取IP地址而无法进行其他的操作。但是MAC地址过滤并不可以从根本上杜绝攻击者接入到WiFi网络,因为当攻击者经过MAC地址欺骗,伪造出的MAC地址与合法设备相同时,仍然可能存在安全风险,因此在使用MAC地址过滤的同时,需要使用较为安全的加密技术(如WPA/WAP2等),而且要保证密码足够复杂,这样才不会被轻易破解。

3.4虚拟专用网络

VPN虚拟专用网络(VirtualPrivateNetwork,VPN)是一种虚拟而且加密的网络,虚拟专用网络是在现有网络基础上组建的。VPN主要使用的是隧道传输(tunneling)技术,由于加密数据流是通过一个普通而且没有加密的连接来设置与维护的,VPN把安全的内部网延伸到远程用户,所以,远程无线用户可以同时出现在两个网络中。用户在使用无线网络的同时,还创建了一个VPN隧道,从而把远程客户端连接到了公司的内部网络。这使得用户在远程位置也能够使用内部网的资源。同时在WEP加密的基础上再采用VPN加密,攻击者就很难同时对数据进行两道解密。特别是攻击者无法轻松地获得VPN口令、证书或智能卡密钥,VPN数据被破解的几率是非常低的。

3.5由专业人员构建无线网络

近年来,无线网络飞速发展,组建无线网络的相应设备也变得相当普及,这在给构建无线网络提供便利的条件的同时,也给网络安全埋下了隐患。因为在安装无线路由器等相关设备时,非专业人士很少会考虑到网络的安全性,入侵者使用网络探测工具就能够找到无线网络的“后门”,所以,在构建无线网络时应该由专业人员制作、设计,这样才可以最大限度地提高无线网络的安全性。

4结语

无线网络技术的飞速发展确实让人们的生活变得丰富多彩,人们在享受使用WiFi带来的便利时,应该认识到WiFi存在的诸多安全隐患,因此,了解基本的注意事项和掌握必要的安全防护策略是非常必要的,这样才能尽量使重要信息及隐私得到有效的保护。

作者:万思杰 李小丽 陈专 单位:1.广西南宁高级技工学校 2.中国贸易促进委员会广西分会 3.中国科技开发院广西分院

【参考文献】

[1]徐丹丹.WiFi技术的应用及安全性研究[J].信息技术与应用,2016(21):16-17.

[2]刘堃,郭奕婷.WiFi网络的安全问题及其安全使用[J].理论探讨,2015(6):30-32.

[3]刘岳,盛杰,尹成语.WiFi网络安全现状与攻防策略研究[J].电脑知识与技术,2017,13(6):47-50.

[4]马磊.WIFI网络安全问题及防范对策[J].城市建设理论研究(电子版),2014(24).

[5]周付安,刘咏梅.无线网络存在的安全问题及应对策略[J].中国现代教育装备,2012(1):9-12.