無線Wi-Fi安全問題及防范對策研究

◆樊 強

（中國刑事警察學院網絡信息中心 遼寧 110854）

無線Wi-Fi安全問題及防范對策研究

◆樊 強

（中國刑事警察學院網絡信息中心 遼寧 110854）

隨著無線網絡技術發展迅速，無線Wi-Fi已成為個人電腦和智能終端接入互聯網的主要方式之一。但是，無線Wi-Fi在給我們工作和生活帶來便利的同時，其網絡安全問題也變得越來越嚴重，各種新問題不斷涌出。本文主要是針對無線Wi-Fi的安全問題進行分析，并嘗試提出了一些防范措施和對策，以期讓人們在享用無線Wi-Fi便利的同時，個人隱私和數據不受到侵害。

無線Wi-Fi；安全問題；防范對策

0 引言

近年來，隨著智能手機、平板電腦等各種移動智能終端的迅猛發展，商場、賓館、餐飲、醫療、金融證券服務等公共場所為吸引客戶，都會免費提供無線Wi-Fi的接入服務，我們可以非常方便地通過無線Wi-Fi接入互聯網。但同時，這也吸引了一些不法分子的注意力。他們為了竊取用戶信息，架設一些非法無線Wi-Fi設備，誘導用戶連接他們的非法無線Wi-Fi熱點。一旦用戶連接他們的網絡，用戶上網的全部數據包，都會通過他們的非法設備轉發出去。不法分子可以非常容易地截獲用戶所有的上網信息，他們再利用一些分析軟件，就可以竊取到接入他們非法網絡的用戶的各類資料，其中包括各類登錄賬號和密碼、個人私密信息或與他人通訊信息，一些沒有加密的通信信息甚至可以被直接查看。

1 無線Wi-Fi概述

1.1 無線Wi-Fi的概念

Wi-Fi是Wireless Fidelity的縮寫，譯成中文為無線保真技術，它既是一種商業認證，也是一種無線聯網技術。Wi-Fi可以將智能手機、平板電腦和筆記本電腦等移動智能終端以無線方式實現互相連接，通常使用2.4G UHF或5G SHF ISM射頻頻段。Wi-Fi與藍牙技術一樣，都屬于短距離無線技術。無線Wi-Fi網絡是一般由AP（Access Point）即無線路由器（“無線訪問接入點”，或“橋接器”）和無線網卡組成的無線網絡。如果AP（Access Point）連接了一條ADSL 線路或者連接了Internet（互聯網），我們就稱它為“無線熱點”。

1.2 無線Wi-Fi的特點

（1）覆蓋的區域較大。經過測量統計，無線Wi-Fi的覆蓋半徑大約在100米，目前主要應用于園區覆蓋或樓層內部辦公室。

（2）安裝部署簡單。Wi-Fi的最大優勢就是不需要布線，所以不受布線條件的限制，部署簡單方便，在家庭、單位、酒店、醫院等公共場所都可以非常方便地部署Wi-Fi設備。所以，無線Wi-Fi非常適合目前對移動智能終端的需求，不需要花費大量的資金來建設有線網絡就可以進行互聯網的接入。

（3）業務可集成性。由于無線網絡和有線網絡在技術結構方面基本相同，因此我們可以將無線網絡并入到有線網絡里面，或者是把有線網絡上開展的業務應用到無線網絡中，從而實現網絡資源的有效利用，達到無線、有線的無縫銜接。

2 無線Wi-Fi中常見安全問題

2.1 非法的AP

由于無線Wi-Fi易于訪問和配置簡單，惡意攻擊者會利用這一特性，在用戶與合法AP之間偽造一個非法的AP，誘使用戶連接，通過攔截、偽造、中斷用戶的數據包，從而獲取用戶的登錄賬戶和密碼，達到偽造用戶身份等目的。像智能手機、筆記本電腦等設備基本上都可以設置AP，可以使其他用戶不需要授權就直接接入網絡。

2.2 信息竊聽和篡改

無線Wi-Fi是通過電磁波在開放的空間中全方位傳輸信息的，所以攻擊者可以在能接收到無線Wi-Fi信號的任何地方對傳輸信息進行竊聽和篡改等攻擊。如果用戶使用無線網絡與某人通信的信息沒有經過加密，或者是加密了，但是加密協議自身存在漏洞，這些情況下攻擊者都可以很容易地竊取到用戶信息或系統信息，甚至是PSK（共享密鑰）等重要的安全信息。

2.3 拒絕服務攻擊

無線網絡的惡意攻擊者可以借助某些特殊的設備或工具，比如利用間諜軟件等，向網絡中傳輸大量的非法數據覆蓋全部頻段，從而造成服務器超載或網絡資源耗盡，致使合法的網絡用戶無法連接無線網絡，不能正常使用無線網絡各項業務，此時所有的網絡資源都被惡意攻擊者占用了，整個無線網絡處于癱瘓狀態。

2.4 協議漏洞

由于有線等效保密協議WEP的加密算法存在設計缺陷，已很少使用。目前使用的主流協議是Wi-Fi保護接入協議WPA/WPA2，它現在主要在家庭無線網絡和企業無線網絡中使用。當然，Wi-Fi保護接入協議也存在一些漏銅，比如它在加密過程中需要建立四次握手，期間惡意攻擊者可以對它進行字典攻擊，并有可能破解用戶密碼信息。所以，用戶在配置無線路由器的WPA-PSK/WPA2-PSK時，需要將預共享密鑰設置得復雜一些，否則很有可能被惡意攻擊者暴力破解，竊取無線網絡資源。

3 無線Wi-Fi安全防范對策

3.1 調整無線網絡設置

我們個人在平時使用無線Wi-Fi時，出于安全考慮，需要調整一下個人無線路由器的默認設置，比如把SSID號隱藏或調整，關閉無線路由器的DHCP功能。設置連接密碼時，要盡量使用字母加數字組合，不要使用個人信息作為連接密碼，像身份證號、出生日期等，防止攻擊者使用網絡嗅探攻擊來獲取用戶各類信息。設置加密方式時，要選擇相對安全的WPA2-PSK方式，還可以啟用端口認證，設置網絡監測等。

企業想做到安全使用無線Wi-Fi，需要考慮以下幾個方面：一是對無線Wi-Fi進行基本的網絡安全設置；二是需要制定出管理制度來約束和規范用戶的上網行為；三是要劃分好網絡的使用權限，做到領導是領導的權限，普通員工是普通員工的權限；最后是不允許普通員工私有安裝非法的無線AP，通過這些辦法能有效保障企業無線網絡安全。

3.2 MAC地址過濾

MAC地址過濾是指在無線設備上配置一張合法MAC地址表，用于應許正常用戶通過，阻止非法用戶接入。它的原理是對傳輸的數據包進行逐個檢查，如果數據包的MAC地址在合法地址表范圍內則放行，否則阻止，這樣就做到了杜絕非法用戶接入，提高了無線網絡的安全性。

3.3 入侵檢測和監控

入侵檢測和監控是保障網絡安全的關鍵因素之一。在傳統有線網絡環境中，入侵檢測技術已應用比較成熟，然而要將它應用到無線Wi-Fi中，仍有些難題需要解決，比如如何判斷某一無線網絡信號是合法行為還是非法行為等，這是由無線Wi-Fi的自身特性造成的。我們可以對無線網絡進行監控，監測無線網絡的使用情況和用戶接入信息，一旦告警受到攻擊或非法接入，我們可以第一時間采取有效措施來確保網絡安全。

3.4 設置防火墻和使用VPN

防火墻技術是保障網絡安全的最有效方法之一，我們可以使用防火墻來對無線Wi-Fi網絡進行安全隔離，并且我們也可以設置防火墻的訪問控制列表，用來阻止訪問控制列表以外的用戶接入無線Wi-Fi網絡。使用VPN的原理是在現有無線網絡之上建立一個虛擬的加密網絡，通過設置VPN的口令或證書秘鑰等來對無線網絡起到保護作用，惡意攻擊者想要破解VPN是一件非常困難的事情。

4 結束語

隨著無線局域網技術的快速發展，無線Wi-Fi已走進了家庭和企業，并帶來巨大的便利，使人們的工作和生活都離不開它。但是由于無線Wi-Fi的電磁波全方位傳播，給無線網絡帶來了安全隱患，惡意攻擊者可以在任何地方隱蔽地進行各種嘗試攻擊，這也使無線Wi-Fi面臨的安全風險比有線網絡更大。當前，如何保證無線Wi-Fi的網絡安全性，已成為網絡安全問題研究的重要課題之一。然而，伴隨著新的安全理論與技術的不斷出現，我們相信加密算法將會更加完善，無線網絡設備將會更加合理，無線網絡環境將會更加安全。

[1]徐霞.無線WIFI網絡下的安全思考[J].通訊世界，2015.

[2]張國鋒.無線局域網安全分析與防范[J].電子技術與軟件工程，2015.