◆樊 強(qiáng)

（中國刑事警察學(xué)院網(wǎng)絡(luò)信息中心 遼寧 110854）

無線Wi-Fi安全問題及防范對策研究

◆樊 強(qiáng)

（中國刑事警察學(xué)院網(wǎng)絡(luò)信息中心 遼寧 110854）

隨著無線網(wǎng)絡(luò)技術(shù)發(fā)展迅速，無線Wi-Fi已成為個人電腦和智能終端接入互聯(lián)網(wǎng)的主要方式之一。但是，無線Wi-Fi在給我們工作和生活帶來便利的同時，其網(wǎng)絡(luò)安全問題也變得越來越嚴(yán)重，各種新問題不斷涌出。本文主要是針對無線Wi-Fi的安全問題進(jìn)行分析，并嘗試提出了一些防范措施和對策，以期讓人們在享用無線Wi-Fi便利的同時，個人隱私和數(shù)據(jù)不受到侵害。

無線Wi-Fi；安全問題；防范對策

0 引言

近年來，隨著智能手機(jī)、平板電腦等各種移動智能終端的迅猛發(fā)展，商場、賓館、餐飲、醫(yī)療、金融證券服務(wù)等公共場所為吸引客戶，都會免費(fèi)提供無線Wi-Fi的接入服務(wù)，我們可以非常方便地通過無線Wi-Fi接入互聯(lián)網(wǎng)。但同時，這也吸引了一些不法分子的注意力。他們?yōu)榱烁`取用戶信息，架設(shè)一些非法無線Wi-Fi設(shè)備，誘導(dǎo)用戶連接他們的非法無線Wi-Fi熱點(diǎn)。一旦用戶連接他們的網(wǎng)絡(luò)，用戶上網(wǎng)的全部數(shù)據(jù)包，都會通過他們的非法設(shè)備轉(zhuǎn)發(fā)出去。不法分子可以非常容易地截獲用戶所有的上網(wǎng)信息，他們再利用一些分析軟件，就可以竊取到接入他們非法網(wǎng)絡(luò)的用戶的各類資料，其中包括各類登錄賬號和密碼、個人私密信息或與他人通訊信息，一些沒有加密的通信信息甚至可以被直接查看。

1 無線Wi-Fi概述

1.1 無線Wi-Fi的概念

Wi-Fi是Wireless Fidelity的縮寫，譯成中文為無線保真技術(shù)，它既是一種商業(yè)認(rèn)證，也是一種無線聯(lián)網(wǎng)技術(shù)。Wi-Fi可以將智能手機(jī)、平板電腦和筆記本電腦等移動智能終端以無線方式實(shí)現(xiàn)互相連接，通常使用2.4G UHF或5G SHF ISM射頻頻段。Wi-Fi與藍(lán)牙技術(shù)一樣，都屬于短距離無線技術(shù)。無線Wi-Fi網(wǎng)絡(luò)是一般由AP（Access Point）即無線路由器（“無線訪問接入點(diǎn)”，或“橋接器”）和無線網(wǎng)卡組成的無線網(wǎng)絡(luò)。如果AP（Access Point）連接了一條ADSL 線路或者連接了Internet（互聯(lián)網(wǎng)），我們就稱它為“無線熱點(diǎn)”。

1.2 無線Wi-Fi的特點(diǎn)

（1）覆蓋的區(qū)域較大。經(jīng)過測量統(tǒng)計(jì)，無線Wi-Fi的覆蓋半徑大約在100米，目前主要應(yīng)用于園區(qū)覆蓋或樓層內(nèi)部辦公室。

（2）安裝部署簡單。Wi-Fi的最大優(yōu)勢就是不需要布線，所以不受布線條件的限制，部署簡單方便，在家庭、單位、酒店、醫(yī)院等公共場所都可以非常方便地部署Wi-Fi設(shè)備。所以，無線Wi-Fi非常適合目前對移動智能終端的需求，不需要花費(fèi)大量的資金來建設(shè)有線網(wǎng)絡(luò)就可以進(jìn)行互聯(lián)網(wǎng)的接入。

（3）業(yè)務(wù)可集成性。由于無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)在技術(shù)結(jié)構(gòu)方面基本相同，因此我們可以將無線網(wǎng)絡(luò)并入到有線網(wǎng)絡(luò)里面，或者是把有線網(wǎng)絡(luò)上開展的業(yè)務(wù)應(yīng)用到無線網(wǎng)絡(luò)中，從而實(shí)現(xiàn)網(wǎng)絡(luò)資源的有效利用，達(dá)到無線、有線的無縫銜接。

2 無線Wi-Fi中常見安全問題

2.1 非法的AP

由于無線Wi-Fi易于訪問和配置簡單，惡意攻擊者會利用這一特性，在用戶與合法AP之間偽造一個非法的AP，誘使用戶連接，通過攔截、偽造、中斷用戶的數(shù)據(jù)包，從而獲取用戶的登錄賬戶和密碼，達(dá)到偽造用戶身份等目的。像智能手機(jī)、筆記本電腦等設(shè)備基本上都可以設(shè)置AP，可以使其他用戶不需要授權(quán)就直接接入網(wǎng)絡(luò)。

2.2 信息竊聽和篡改

無線Wi-Fi是通過電磁波在開放的空間中全方位傳輸信息的，所以攻擊者可以在能接收到無線Wi-Fi信號的任何地方對傳輸信息進(jìn)行竊聽和篡改等攻擊。如果用戶使用無線網(wǎng)絡(luò)與某人通信的信息沒有經(jīng)過加密，或者是加密了，但是加密協(xié)議自身存在漏洞，這些情況下攻擊者都可以很容易地竊取到用戶信息或系統(tǒng)信息，甚至是PSK（共享密鑰）等重要的安全信息。

2.3 拒絕服務(wù)攻擊

無線網(wǎng)絡(luò)的惡意攻擊者可以借助某些特殊的設(shè)備或工具，比如利用間諜軟件等，向網(wǎng)絡(luò)中傳輸大量的非法數(shù)據(jù)覆蓋全部頻段，從而造成服務(wù)器超載或網(wǎng)絡(luò)資源耗盡，致使合法的網(wǎng)絡(luò)用戶無法連接無線網(wǎng)絡(luò)，不能正常使用無線網(wǎng)絡(luò)各項(xiàng)業(yè)務(wù)，此時所有的網(wǎng)絡(luò)資源都被惡意攻擊者占用了，整個無線網(wǎng)絡(luò)處于癱瘓狀態(tài)。

2.4 協(xié)議漏洞

由于有線等效保密協(xié)議WEP的加密算法存在設(shè)計(jì)缺陷，已很少使用。目前使用的主流協(xié)議是Wi-Fi保護(hù)接入?yún)f(xié)議WPA/WPA2，它現(xiàn)在主要在家庭無線網(wǎng)絡(luò)和企業(yè)無線網(wǎng)絡(luò)中使用。當(dāng)然，Wi-Fi保護(hù)接入?yún)f(xié)議也存在一些漏銅，比如它在加密過程中需要建立四次握手，期間惡意攻擊者可以對它進(jìn)行字典攻擊，并有可能破解用戶密碼信息。所以，用戶在配置無線路由器的WPA-PSK/WPA2-PSK時，需要將預(yù)共享密鑰設(shè)置得復(fù)雜一些，否則很有可能被惡意攻擊者暴力破解，竊取無線網(wǎng)絡(luò)資源。

3 無線Wi-Fi安全防范對策

3.1 調(diào)整無線網(wǎng)絡(luò)設(shè)置

我們個人在平時使用無線Wi-Fi時，出于安全考慮，需要調(diào)整一下個人無線路由器的默認(rèn)設(shè)置，比如把SSID號隱藏或調(diào)整，關(guān)閉無線路由器的DHCP功能。設(shè)置連接密碼時，要盡量使用字母加數(shù)字組合，不要使用個人信息作為連接密碼，像身份證號、出生日期等，防止攻擊者使用網(wǎng)絡(luò)嗅探攻擊來獲取用戶各類信息。設(shè)置加密方式時，要選擇相對安全的WPA2-PSK方式，還可以啟用端口認(rèn)證，設(shè)置網(wǎng)絡(luò)監(jiān)測等。

企業(yè)想做到安全使用無線Wi-Fi，需要考慮以下幾個方面：一是對無線Wi-Fi進(jìn)行基本的網(wǎng)絡(luò)安全設(shè)置；二是需要制定出管理制度來約束和規(guī)范用戶的上網(wǎng)行為；三是要劃分好網(wǎng)絡(luò)的使用權(quán)限，做到領(lǐng)導(dǎo)是領(lǐng)導(dǎo)的權(quán)限，普通員工是普通員工的權(quán)限；最后是不允許普通員工私有安裝非法的無線AP，通過這些辦法能有效保障企業(yè)無線網(wǎng)絡(luò)安全。

3.2 MAC地址過濾

MAC地址過濾是指在無線設(shè)備上配置一張合法MAC地址表，用于應(yīng)許正常用戶通過，阻止非法用戶接入。它的原理是對傳輸?shù)臄?shù)據(jù)包進(jìn)行逐個檢查，如果數(shù)據(jù)包的MAC地址在合法地址表范圍內(nèi)則放行，否則阻止，這樣就做到了杜絕非法用戶接入，提高了無線網(wǎng)絡(luò)的安全性。

3.3 入侵檢測和監(jiān)控

入侵檢測和監(jiān)控是保障網(wǎng)絡(luò)安全的關(guān)鍵因素之一。在傳統(tǒng)有線網(wǎng)絡(luò)環(huán)境中，入侵檢測技術(shù)已應(yīng)用比較成熟，然而要將它應(yīng)用到無線Wi-Fi中，仍有些難題需要解決，比如如何判斷某一無線網(wǎng)絡(luò)信號是合法行為還是非法行為等，這是由無線Wi-Fi的自身特性造成的。我們可以對無線網(wǎng)絡(luò)進(jìn)行監(jiān)控，監(jiān)測無線網(wǎng)絡(luò)的使用情況和用戶接入信息，一旦告警受到攻擊或非法接入，我們可以第一時間采取有效措施來確保網(wǎng)絡(luò)安全。

3.4 設(shè)置防火墻和使用VPN

防火墻技術(shù)是保障網(wǎng)絡(luò)安全的最有效方法之一，我們可以使用防火墻來對無線Wi-Fi網(wǎng)絡(luò)進(jìn)行安全隔離，并且我們也可以設(shè)置防火墻的訪問控制列表，用來阻止訪問控制列表以外的用戶接入無線Wi-Fi網(wǎng)絡(luò)。使用VPN的原理是在現(xiàn)有無線網(wǎng)絡(luò)之上建立一個虛擬的加密網(wǎng)絡(luò)，通過設(shè)置VPN的口令或證書秘鑰等來對無線網(wǎng)絡(luò)起到保護(hù)作用，惡意攻擊者想要破解VPN是一件非常困難的事情。

4 結(jié)束語

隨著無線局域網(wǎng)技術(shù)的快速發(fā)展，無線Wi-Fi已走進(jìn)了家庭和企業(yè)，并帶來巨大的便利，使人們的工作和生活都離不開它。但是由于無線Wi-Fi的電磁波全方位傳播，給無線網(wǎng)絡(luò)帶來了安全隱患，惡意攻擊者可以在任何地方隱蔽地進(jìn)行各種嘗試攻擊，這也使無線Wi-Fi面臨的安全風(fēng)險(xiǎn)比有線網(wǎng)絡(luò)更大。當(dāng)前，如何保證無線Wi-Fi的網(wǎng)絡(luò)安全性，已成為網(wǎng)絡(luò)安全問題研究的重要課題之一。然而，伴隨著新的安全理論與技術(shù)的不斷出現(xiàn)，我們相信加密算法將會更加完善，無線網(wǎng)絡(luò)設(shè)備將會更加合理，無線網(wǎng)絡(luò)環(huán)境將會更加安全。

[1]徐霞.無線WIFI網(wǎng)絡(luò)下的安全思考[J].通訊世界，2015.

[2]張國鋒.無線局域網(wǎng)安全分析與防范[J].電子技術(shù)與軟件工程，2015.