WIFI安全隱患有哪些?怎樣防範?
近年來,隨著無線網路技術的成熟,越來越多的人們通過無線設備連接到互聯網。最早Wi-Fi只用於對IEEE802.11b系列的產品進行認證的描述,全稱為Wireless-Fidelity,但現在正在逐步擴展到802.11系列的各類標準,用戶也開始使用Wi-Fi或者WIFI指代所有的無線網產品標準,
當前無線網的用戶對於隨時隨地訪問自己關心的網路數據要求越來越高,為此,各類場所對無線網的部署也日益流行。布置方有家庭、企業還有運營商,但是無論何種規模的無線網路,都面臨著各種各樣的安全隱患和威脅。
【首先是常見的無線網安全威脅】
無線網的傳輸和接收數據是通過在空氣中廣播的射頻信號。由於無線區域網使用的廣播性質,存在黑客可以訪問或損壞數據的威脅。安全隱患主要有以下幾點:
1、未經授權使用網路服務
如果無線區域網設置為開放式訪問方式,非法用戶可以不經授權而擅自使用網路資源,不僅佔用寶貴的無線信道資源,增加帶寬費用,降低合法用戶的服務質量,而且未經授權的用戶沒有遵守相應的條款,甚至可能導致法律糾紛。
2、地址欺騙和會話攔截(中間人攻擊)
在無線環境中,非法用戶通過偵聽等手段獲得網路中合法站點的MAC地址比有線環境中要容易得多,這些合法的MAC地址可以被用來進行惡意攻擊。
此外,非法用戶很容易裝扮成合法的無線接入點,誘導合法用戶連接該接入點進入網路,從而進一步獲取合法用戶的鑒別身份信息,通過會話攔截實現網路入侵。
由於無線網一般是有線網的延伸部分,一旦攻擊者進入無線網路,它將成為進一步入侵其他系統的起點。而多數部署的無線網都在防火牆之後,這樣無線網的安全隱患就會成為整個安全系統的漏洞,只要攻破無線網路,就會使整個網路暴露在非法用戶面前。
【其次介紹無線網的安全措施】
為了緩解上述的安全問題,所有的無線網都需要增加基本的安全認證、加密和加密功能,包括:
●用戶身份認證,防止未經授權訪問網路資源。
●數據加密以保護數據完整性和數據傳輸私密性。
身份認證方式包括:
一、開放式認證。開放認證基本上是一個空認證演算法,允許任何設備向接入點(AP)發送認證要求。開放驗證中客戶端使用明文傳輸關聯AP。如果沒有加密功能,任何知道無線區域網SSID的設備都可以進入該網路。如果在AP上啟用了有線對等加密協議(WEP),WEP密鑰則成為一種訪問控制的手段。沒有正確的WEP密鑰的設備即使認證成功也不能通過AP傳輸數據,同時這樣的設備也不能解密由AP發出的數據。
開放認證是一個基本的驗證機制,可以使用不支持複雜的認證演算法無線設備。802.11規範中認證的是面向連接的。對於需要驗證允許設備得以快速進入網路的設計,在這種情況下,您可以使用開放式身份驗證。而開放認證沒辦法檢驗是否客戶端是一個有效的客戶端,不管你是不是黑客或是惡意攻擊者的客戶端。如果你使用不帶WEP加密的開放驗證,任何知道無線區域網SSID的用戶都可以訪問網路。
二、共享密鑰認證。該方式與開放驗證類似而有一個主要的區別。當你使用帶WEP加密密鑰的開放認證時,WEP密鑰是用來加密和解密數據,但在認證的步驟中卻不使用。在共享密鑰認證中,WEP加密被用於驗證。和開放驗證類似,共享密鑰認證需要客戶端和AP具有相同的WEP密鑰。AP使用共享密鑰認證發出一個挑戰文本包到客戶端,客戶端使用本地配置的WEP密鑰來加密挑戰文本並且回復隨後而來的身份驗證請求。如果AP可以解密認證要求,並恢復原始的挑戰文本,AP將回復一個準許訪問的認證響應給該客戶端。
在共享密鑰認證中,客戶端和AP的交換挑戰文本(明文)並且加密的該挑戰文本。因此,這種認證方式易受到中間人攻擊。黑客可以收到未加密的挑戰文本和已加密的挑戰文本,並從這些信息中提取WEP密鑰(共享密鑰)。當黑客知道WEP密鑰時,整個認證機制將受到威害並且黑客可以自由訪問該WLAN網路。這是共享密鑰認證的主要缺點。
除了WEP之外,現在還有WPA和WPA2機制。
WPA是一種基於Wi - Fi聯盟的標準安全解決方案,以解決本地無線區域網漏洞。WPA為WLAN系統提供了增強的數據保護和訪問控制。WPA在原來的IEEE 802.11標準的執行基礎上解決了所有已知的有線等效保密(WEP)的漏洞,給WLAN網路帶來了直接的安全解決方案,包括企業和小型辦公室,家庭辦公室(SOHO)這樣的WLAN網路環境。
WPA2是新一代的Wi - Fi安全協議。WPA2是Wi - Fi聯盟共同實施批准的IEEE 802.11i標準。WPA2執行國家標準和技術局(NIS )建議基於高級加密標準(AES)加密演算法的計數器模式及密碼區塊鏈信息認證碼協議(CCMP)。AES計數器模式是一種分組密碼,該模式每次用一個128位密鑰加密128位的數據塊。WPA2比WPA提供了更高級別的安全性。
此外,還有其他兩個常用的機制用於無線網安全:
●基於SSID認證
●MAC地址認證
服務區標識符 (SSID)匹配
無線客戶端必需設置與無線訪問點AP相同的SSID,才能訪問AP;如果出示的SSID與AP的SSID不同,那麼AP將拒絕它通過本服務區上網。利用SSID設置,可以很好地進行用戶群體分組,避免任意漫遊帶來的安全和訪問性能的問題。可以通過設置隱藏接入點(AP)及SSID區域的劃分和許可權控制來達到保密的目的,SSID是允許邏輯劃分無線區域網的一種機制,SSID沒有提供任何數據隱私功能,而且SSID也不對AP 提供真正驗證客戶端的功能。
物理地址( MAC )過濾
每個無線客戶端網卡都由唯一的48位物理地址(MAC)標識,可在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。
這種方法的效率會隨著終端數目的增加而降低,而且非法用戶通過網路偵聽就可獲得合法的MAC地址表,而MAC地址並不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。
【建議使用的無線網策略】
1、不建議使用WEP加密方式,而應該使用WPA和WPA2的加密認證方式,而現在絕大多數家用AP是支持WPA和WPA2加密認證的。
2、改變家用無線路由器的常規設置:家用無線路由器通常默認的DHCP服務(自動分配IP地址)是開啟的,這樣其他用戶如果進入了認證系統,不用猜測網路的IP地址是多少,就可以獲得網路IP地址了,從而降低了攻擊者的難度,提高了風險。具體來看,可以禁用DHCP服務和SSID廣播服務,並且更改路由器內網網關的IP地址,能夠大大增加攻擊的難度。
3、綁定MAC地址:在家用無線路由器上開啟MAC地址綁定功能,任何接入網路的設備一定是預先錄入綁定的MAC地址,這樣能夠直接拒絕攻擊者設備連接入網的機率。
4、公共場所無線用戶自身的安全策略:由於在公共場合里,所有連接無線網路的電腦邏輯上都處於同一個網路里,所以要注意設置自身上網設備的安全性。主要需要關注的:
●不使用未知的無線信號,在公共場合,由於無線接入設備可以獲取所有的交互信息,對於未知的無線網路一定需要加以鑒別後進行使用;
●開啟防火牆、安全軟體和禁用網路發現等功能,防止其他人利用公共網路對個人設備進行非法訪問;
●默認口令和弱口令需要進行修改,上網的設備管理員需要使用強口令,並且定期更改,防止使用弱口令以阻止非法用戶獲得管理員許可權從而入侵我們的設備;
此外,還有一些常見的操作可以採用,例如禁用共享功能、安裝防病毒軟體、訪問安全性高的網站。
※城市升級路徑:未來20年賭哪裡?
※處於生死存亡之秋的共享單車,真的會消失嗎?
TAG:知識百科 |