如何成為無線安全的守護者？答案在這里

前言

隨著無線通信技術的廣泛應用，傳統網絡已經越來越不能滿足人們的需求，無線網絡突破了傳統有線網絡的限制，使用戶獲得了可移動性和方便性，有效彌補了有線網絡不具備移動功能的不足。近年來，無線網絡技術產品逐漸走向成熟，正以它優越的靈活性和便捷性在網絡應用中發揮日益重要的作用，其應用也越來越廣泛，對于它的研究也逐漸成為計算機網絡行業的一個熱門方向。

無線局域網絡是利用射頻（RF）技術、取代雙絞銅線、光纖等有線介質、基于IEEE802.11 系列標準、允許在局域網絡環境中使用2.4 或5.8GHz 射頻波段進行無線連接的現代化局域網絡，無線網絡通過簡單的存取架構使得用戶通過它可以更加便捷地傳輸獲取信息。

無線局域網的典型應用場景如下：

圖1 無線通訊技術得到廣泛應用

在無線網絡發展的同時，其存在的問題也逐漸顯露出來，即無線網絡安全問題。在無線網絡迅猛發展的同時，無線網絡安全也成為刻不容緩、亟待解決的網絡問題之一。近年來國家推行等級保護政策和相關制度以解決信息安全方面存在的問題，在等級保護制度實行以來我們可以明顯看到它所帶來的成果：信息系統的安全威脅顯著降低。所以，針對無線網絡的等級保護實施也成為我們所需要認真考慮的一個問題。

圖2 Wi-Fi漏洞Kr00k曝光

無線漏洞“Kr00k”，被標識為CVE-2019-15126。該漏洞會導致目標設備使用一個全零加密密鑰來加密用戶的部分通信數據，從而使攻擊者可以解密通過WiFi設備所傳輸的一些網絡數據包。其中亞馬遜的Echo和Kindle、蘋果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、樹莓派、小米、華碩、華為等品牌產品中都有使用。保守估計全球有十億臺設備受到該漏洞影響。

一、無線網絡的安全威脅有哪些？

安全威脅可以分為故意的和偶然的，故意的威脅又可以進一步分為主動的和被動的。被動威脅包括只對信息進行監聽，而不對其進行修改。主動威脅包括對信息進行故意的篡改。無線網絡與有線網絡相比只是在傳輸方式上有所不同，所有常規有線網絡存在的安全威脅在無線網絡中也存在，因此要繼續加強常規的網絡安全措施，但無線網絡與有線網絡相比還存在一些特有的安全威脅，因為無線網絡是采用射頻技術進行網絡連接及傳輸的開放式物理系統。總體來說，無線網絡所面臨的威脅主要表現下在以下幾個方面。

（1）W E P 破解：現在互聯網上已經很普遍的存在著一些非法程序，能夠捕捉位于AP 信號覆蓋區域內的數據包，收集到足夠的WEP 弱密鑰加密的包，并進行分析以恢復W E P 密鑰。根據監聽無線通信的機器速度、W L A N 內發射信號的無線主機數量，最快可以在兩個小時內攻破W E P 密鑰。

圖3 黑客利用工具找到無線密碼

（2）信息重放：在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用了VPN 等保護措施也難以避免。中間人攻擊則對授權客戶端和AP 進行雙重欺騙，進而對信息進行竊取和篡改。

圖4 信息重放攻擊

（3）網絡竊聽：一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀取）通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，所以，這種威脅已經成為無線局域網面臨的最大問題之一。

圖5 網絡竊聽威脅公司機密

（4）假冒攻擊：某個實體假裝成另外一個實體訪問無線網絡，即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中，移動站與網絡控制中心及其它移動站之間不存在任何固定的物理鏈接，移動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網絡，這就是所謂的身份假冒攻擊。

圖6 偽裝成授權用戶進行非法行為

（5）M A C 地址欺騙：通過網絡竊聽工具獲取數據，從而進一步獲得AP 允許通信的靜態地址池，這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網絡。

圖7 欺騙攻擊合法接入網絡

（6）拒絕服務：攻擊者可能對A P 進行泛洪攻擊，使AP 拒絕服務，這是一種后果最為嚴重的攻擊方式。此外，對移動模式內的某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能繼續工作，通常也稱為能源消耗攻擊。

圖8 拒絕服務攻擊耗盡系統資源

二、如何保障無線網絡的安全性？

（1）修改、隱藏SSID廣播

圖9 關閉SSID廣播減少攻擊風險

SSID是Service Set Identifier的縮寫，意思是：服務集標識。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡。

SSID通常由AP廣播出來，通過無線終端自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮可以不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網絡。簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。

然而，通過字母和數字組成的SSID即使沒有設置“廣播”，入侵者通過工具也可掃描到對應的無線網絡并順利入侵。只有將SSID信息修改為中文才能更好的避免上述問題出現。究其原因，一方面是因為中文字符在這些軟件中會顯示亂碼；另一方面是因為很多入侵工具都是國外開發者開發的，對中文不支持、不兼容。

圖10非法用戶無法獲知正確的SSID

（2）使用更安全的加密協議

無線網絡的安全協議通常包括 WEP、WPA 、WPA2和WPA3，其中WPA2和WPA3是目前最安全的。 使用WPA2/WPA3加密可以確保數據傳輸的安全性，避免被攻擊者竊取和篡改。 同時，建議使用強密碼，包含大小寫字母、數字和特殊字符，以增加破解的難度。

1、WEP

有線等效保密（WEP）協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。

WEP有2種認證方式：開放式系統認證和共有鍵認證。開放式系統認證不需要密鑰驗證就可以連接；共有鍵認證客戶端需要發送與接入點預存密鑰匹配的密鑰。

2、WPA

WPA的數據是以一把128位的鑰匙和一個48位的初向量（IV）的RC4stream cipher來加密。WPA超越WEP的主要改進就是在使用中可以動態改變密鑰的“臨時密鑰完整性協議”（Temporal Key Integrity Protocol，TKIP），加上更長的初向量，這可以擊敗知名的針對WEP的密鑰截取攻擊。

3、WPA2

WPA2有兩種風格：WPA2個人版和WPA2企業版。WPA2企業版需要一臺具有IEEE 802.1X功能的RADIUS (遠程用戶撥號認證系統）服務器。沒有RADIUS服務器的SOHO用戶可以使用WPA2個人版，其口令長度為20個以上的隨機字符，或者使用托管的RADIUS服務。

4、WPA3

WPA3全名為Wi-Fi Protected Access 3，是Wi-Fi聯盟組織于2018年1月8日在美國拉斯維加斯的國際消費電子展(CES)上發布的Wi-Fi新加密協議，是Wi-Fi身份驗證標準WPA2技術的后續版本。

2018年6月26日，WiFi聯盟宣布WPA3協議已最終完成。

WPA3標準將加密公共Wi-Fi網絡上的所有數據，可以進一步保護不安全的Wi-Fi網絡。特別當用戶使用酒店和旅游WIFI熱點等公共網絡時，借助WPA3創建更安全的連接，讓黑客無法窺探用戶的流量，難以獲得私人信息。盡管如此，黑客仍然可以通過專門的，主動的攻擊來竊取數據。但是，WPA3至少可以阻止強力攻擊。

WPA3主要有四項新功能：

功能一：對使用弱密碼的人采取“強有力的保護”。如果密碼多次輸錯，將鎖定攻擊行為，屏蔽WiFi身份驗證過程來防止暴力攻擊。

功能二：WPA3 將簡化顯示接口受限，甚至包括不具備顯示接口的設備的安全配置流程。能夠使用附近的WiFi設備作為其他設備的配置面板，為物聯網設備提供更好的安全性。用戶將能夠使用他的手機或平板電腦來配置另一個沒有屏幕的設備（如智能鎖、智能燈泡或門鈴）等小型物聯網設備設置密碼和憑證，而不是將其開放給任何人訪問和控制。

功能三：在接入開放性網絡時，通過個性化數據加密增強用戶隱私的安全性，它是對每個設備與路由器或接入點之間的連接進行加密的一個特征。

功能四：WPA3的密碼算法提升至192位的CNSA等級算法，與之前的128位加密算法相比，增加了字典法暴力密碼破解的難度。并使用新的握手重傳方法取代WPA2的四次握手，WiFi聯盟將其描述為“192位安全套件"。，該套件與美國國家安全系統委員會國家商用安全算法（CNSA）套件相兼容，將進一步保護政府、國防和工業等更高安全要求的Wi-Fi網絡。

圖11 Wi-Fi Protected Access 3加密協議

（3）過濾MAC地址

圖12 MAC地址過濾

通過MAC地址允許或拒絕無線網絡中的計算機訪問廣域網，有效控制無線網絡內用戶的上網權限。

圖13 查看本機MAC地址

（4）增強認證機制

圖14 增加認證方式

在一些安全性較高的場合會選擇組合式認證方式，比如既要通過密碼認證、同時還需要再使用其他方式認證一次，比如本地認證（輸入用戶名和密碼）、短信認證、卡券認證、云端認證等。

圖15 本地賬戶、短信認證配置頁面

（5）做好邊界防護

建議用戶在無線網絡與辦公網、生產網之間部署工業互聯防火墻，通過防火墻實時的對流量進行分析，從數據鏈路層到應用層有效的阻斷網絡中的攻擊和病毒行為，通過自主研發的深度數據包解析引擎，威努特工業互聯防火墻能夠檢測出100+種例如ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流廠商工控協議，和發現對應廠家的工控設備類型，基于協議和設備類型實現工業流量的可視化，保護用戶的關鍵網絡及數據。

圖16 邊界防護確保內部安全

（6）及時更新版本

定期升級無線網絡設備可以提高網絡的穩定性和安全性，修復漏洞和安全問題，以及支持新的技術和協議，修復兼容性等問題。建議用戶定期檢查無線網絡設備的版本，并及時更新以保護網絡安全。

圖17 定期進行AC/AP升級

（7）增強安全意識

提高無線安全意識。通過組織學習法律法規及無線安全知識，進一步增強工作人員的無線安全意識，減少認識上的誤區和盲區。

圖18 做好安全宣傳，網絡安全無小事

結語

隨著無線網絡的普及，我們必須認識到其中存在的安全威脅，并采取相應的措施來保障網絡的安全性。通過修改SSID廣播、使用更安全的加密協議、過濾MAC地址等措施，我們可以有效降低網絡受到攻擊的風險。同時，強化認證機制、加強邊界防護以及定期更新版本，也是維護無線網絡安全的重要手段。此外，培養用戶的安全意識和加強信息保護的教育同樣不可忽視。只有通過共同努力，我們才能建立起安全可靠、充滿信任的無線網絡環境，確保我們的網絡連接暢通而安全。

威努特無線通信系列產品不僅支持大規模用戶并發，同時也支持IP、MAC的ACL和防火墻安全策略、L2TP/PPTP、IPSEC、GRE和SSL等豐富的VPN協議、ARP Scan、DHCP Snooping ARP防欺騙功能、Anti-Flood、Ping of Death、Tear-drop、WinNuke、Smurf攻擊防護等安全特性，確保在無線環境下的，為用戶遠程分支組網提供一個安全可控的高性價比的解決方案。

圖19 威努特無線通信產品全家福

目前，威努特無線通信系列產品包括室外型、吸頂式、入墻式三大系列，全面支持最新的Wi-Fi6技術，廣泛適用于各種無線通信場景。

圖20 威努特無線通信系列產品廣泛適用于各種無線通信場景