Wi-Fi 接入有哪些安全漏洞和隱患

Wi-Fi 接入有以下安全漏洞和隱患：

• Cookie安全問題：Cookie是一種Web瀏覽器支持的、為自動識別用戶身份而由服務器向用戶終端上寫入特殊身份數據的機制。Cookie信息的存儲、傳輸安全存在隱患，可能被破解/復制，從而導致欺詐問題。

• 偽AP接入釣魚攻擊：偽AP接入釣魚攻擊是指私設SSID（ServiceSetIdentifier，服務集標識）為運營商的AP，誘使用戶連接到此AP，并偽造登錄頁面，收集用戶的WLAN賬號，建議取消WLAN手機用戶的靜態密碼登錄方式，從而使釣魚攻擊失去驅動。

• 接入非授權假冒AP：對于AP模式，入侵者只要接入非授權的假冒AP，也可以進行登錄，欺騙網絡AP為合法。由于WLAN易于訪問和配置簡單的特性，使網絡管理員非常頭痛。因為計算機很容易通過非法AP，不經過授權而連入網絡。很多個人或者組織可以自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。

• IP地址冒用攻擊：用戶認證通過后AC會維護會話狀態表，后續會話訪問只通過IP地址進行識別，這樣留下了安全隱患。攻擊者可冒用正常用戶IP地址，非法進入WLAN。針對IP地址冒用攻擊的問題，可通過在AC判斷是否放行用戶訪問時，同時判斷IP地址和MAC地址，增加攻擊者的利用難度。

• WLAN服務的數據安全：IEEE802.11協議致力于解決WLAN的安全問題，主要方法是對數據報文進行加密，保證只有特定的設備可以對接收到的報文成功解密。其他設備雖然可以接收到數據報文，但是由于沒有相應的密鑰，無法對數據報文解密，從而實現了WLAN數據的安全保護。

• 手機用戶接入認證問題：PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰，如果密鑰相同，則PSK接入認證成功；如果密鑰不同，則PSK接入認證失敗。MAC地址認證是一種基于端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法。通過手工維護一組允許訪問的MAC地址列表，實現對客戶物理地址過濾，但這種方法的效率會隨著終端數目的增加而降低，因此MAC地址認證適用于安全需求不高的場合，如家庭、小型辦公室等環境。

加強無線安全的措施有以下這些：

• 修改AP登錄密碼：首先，要保證無線局域網安全就必須更改無線AP或無線寬帶路由器的默認設置密碼。最好將默認的登錄密碼改為自己易記的密碼，以防非法用戶輕易對無線AP或無線寬帶路由器進行控制。

• 修改SSID標識：在初次安裝好無線局域網時，必須及時登錄到無線網絡節點的管理頁面，修改默認的SSID初始化字符串，并且在條件允許的前提下，取消SSID的網絡廣播，從而將黑客入侵的機會降到最低限度。

• 禁止SSID廣播：在默認情況下，SSID采用廣播方式通知客戶端。為了保證無線網絡安全，應當禁止SSID廣播，這樣，由于非授權客戶端無法通過廣播獲得SSID，從而無法連接到無線網絡。否則，再復雜的SSID設置也沒有任何意義。

• 設置MAC過濾：因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。MAC地址控制可以有效地防止未經過授權的用戶非法接入無線網絡。雖然攻擊者通過將自己設備的MAC地址修改成合法設備的MAC地址，有可能出現MAC地址欺騙，但這種方法仍然可以使對網絡的攻擊變得困難。

• 設置WEP加密傳輸：利用自動無線網絡配置，可以指定進入網絡時用于身份驗證的網絡密鑰，也可以指定使用哪個網絡密碼來對通過該網絡傳輸的數據進行加密。啟用數據加密時，生成共享加密密鑰，并由源臺和目標臺來改變幀位，因而可避免泄露給偷聽者。因此通過加密可以保證數據的安全，但加密后，傳輸速率將會有所降低。

• 禁用DHCP服務：如果啟用無線AP的DHCP，那么惡意用戶將能夠自動獲取IP地址信息，從而輕松地接入到無線網絡。如果禁用無線AP的DHCP功能，那么惡意用戶將不得不猜測和破譯IP地址、子網掩碼、默認網關等一切所需的TCP/IP參數。

• 合適放置無線AP和天線：由于無線AP是有線信號和無線信號的轉換點，無線AP以及無線的類型和位置，不但能夠決定無線局域網信號的傳輸速度、通信信號強弱，而且還能影響無線網絡的通信安全。因此，無線AP擺放的位置很重要。當局域網中安裝了接入點時，整個網絡都處于風險之中。網絡中不受保護的接入點就像一扇打開的大門，將吸引攻擊者進入。因此，需要把接入點放在網絡中一個風險盡可能小的地方（攻擊者很難修改或者篡改接入點設置的位置）。

回答所涉及的環境：聯想天逸510S、Windows 10。