Wi-Fi無線網絡安全預防研究

區超球

?

Wi-Fi無線網絡安全預防研究

區超球

廣東省電信規劃設計院有限公司，廣東 廣州 510630

無線Wi-Fi網絡是當前人們最常應用的網絡技術。Wi-Fi無線網絡在給人們提供網絡便利的同時，也存在著安全危險。在對Wi-Fi無線網絡的應用技術進行研究的過程中，針對當前階段幾種常見的Wi-Fi網絡應用環境進行了深入的分析，并以網絡環境作為出發點，深入探討了Wi-Fi無線網絡安全預防的主要策略。

Wi-Fi無線網絡；網絡安全；惡意威脅

引言

在現階段，人們通過智能終端設備連接網絡時，一般會選用802.11協議的Wi-Fi無線網絡。這種無線網絡在使用場景方面相對自由，也避免了有線連接的固定化弊端，提升了用戶的使用體驗。但無線Wi-Fi網絡在使用過程中也可能遭受不明的惡意攻擊，最終造成安全損失。

目前人們最常應用的Wi-Fi網絡，根據使用環境特征，一般可以分為家庭Wi-Fi、企業Wi-Fi和商業Wi-Fi三種不同的Wi-Fi場景類別。Wi-Fi網絡在使用過程中可能遭受到的惡意威脅也有一定的區別。

1 家庭Wi-Fi的安全防范

1.1 家庭Wi-Fi受到威脅

隨著互聯網用戶的逐漸增多，家庭Wi-Fi設備的使用率也逐漸提升。據相關的調查，我國家庭Wi-Fi的擁有量已經超過了1.3億，位居世界第一。Wi-Fi的使用依靠的無線路由器主要為無線IP，為家庭環境提供信號覆蓋。但是路由器本身無法防御攔截威脅，導致安全水平較低。根據360安全衛士的統計，國內用戶在進行路由器賬號管理方面水平偏低，超過98.6%的用戶，Wi-Fi密碼較弱，存在破譯風險。

通過分析可以看出，家庭Wi-Fi面臨的主要威脅為密碼破譯威脅。這一威脅主要表現在家庭之外。對于密碼較弱的Wi-Fi設備，一旦不法分子通過CSRF漏洞對其進行攻擊，就能夠迅速跳過密碼驗證進入管理界面，修改管理設置權限，并劫持網站。一旦用于財產管理或者支付用途的Wi-Fi被破解，就會造成直接的財產損失。

1.2 家庭Wi-Fi處理措施

針對這種情況，家庭Wi-Fi應從以下幾個方面展開防范措施。

首先，家庭Wi-Fi用戶應注重Wi-Fi安全防御，避免因疏忽大意造成Wi-Fi信息泄露，威脅財產安全。在管理Wi-Fi的過程中，應提高Wi-Fi密碼的復雜程度。通過設置多種密碼組合的方式，避免密碼遭到破譯。還應選擇WAP2的加密認證方式。密碼長度需要增加到10位以上，并包含特殊符號、數字及字母。路由器管理中應對默認IP地址進行重設，使用特殊地址避免CSRF自動攻擊。還應開啟路由器Mac過濾功能，避免未知來源設備連接進入[1]。

其次，路由器生產廠商應在路由器研制生產和路由器管理軟件設置方面，加入防御功能，例如通過未知連接提醒、用戶信息評價、信號風險評價等方式，給予用戶風險提示，提高用戶的防范意識。

2 企業Wi-Fi的安全防范

2.1 企業Wi-Fi面臨風險

企業Wi-Fi主要指企業內部組建的Wi-Fi局域網絡，用于辦公所需的信息傳輸。但是企業Wi-Fi的安全問題同樣顯著。在相關的社會新聞中，美國NSA竊聽事件所引發的“棱鏡門”就引發了廣泛關注。企業Wi-Fi的安全威脅主要來源于非法用戶接入、非法用戶偽裝入侵兩個方面。非法用戶接入主要指非法用戶通過Wi-Fi搜索的方式獲取Wi-Fi信號，并通過WEP密鑰明文信息連接Wi-Fi；而非法用戶偽裝則指非法用戶通過技術手段偽裝成合法用戶，對Wi-Fi管理進行欺騙，最終達到訪問機密網絡資源的目的。

2.2 企業Wi-Fi的處理對策

在以往的企業Wi-Fi環境中，企業Wi-Fi存在易于查找、易于破譯的特點。因此為了提升企業Wi-Fi，需要通過隱蔽SSID廣播信息以及過濾接入站點的MAC地址和IP地址來完成網絡防御。對于部分企業用戶來說，除了通過常規方法之外，還可以采用搭建惡意Wi-Fi檢測系統的方式增強網絡防御能力。

在當前企業Wi-Fi網絡環境中，Wi-Fi所受到的惡意黑客攻擊被稱為中間人MITM攻擊。這種攻擊方式的主要過程是利用HTTPS進行中間人會話劫持，中間人再通過對HTTP通信的監視實現客戶端和服務器之間的連接，最終冒充客戶進行內容的竊取。為了對這種中間人攻擊進行防御，需要在服務器端運用DHCP服務器進行功能拓展。具體操作中，企業客戶端需要預先安裝Tcpdump應用。利用這一應用對客戶端報文內容進行解析，并獲取DHCPACK地址，實現靜態綁定，并將IP和Mac寫入到ARP緩存表之中。在中間人進行ARP報文發送時，ARP緩存表會對報文內容進行判斷，并且保證報文不會遭到修改，客戶端HTTP/HTTPS之間的數據則會依據正確路由完成轉發，實現保護目的，如圖1所示。

3 商業Wi-Fi的安全防范

3.1 商業Wi-Fi的安全威脅

商業Wi-Fi主要指在商業環境中使用的Wi-Fi，一般出現在商場、餐廳、咖啡廳等公共場所中。這類Wi-Fi面向大客流、多需求種類的人群，受到廣泛喜愛。但恰也因此，商業Wi-Fi受到的安全威脅更大。在當前的商業Wi-Fi環境中，由于網絡環境商業Wi-Fi缺乏統一的規范標準，因此在進行商業Wi-Fi設定時基于其環境特殊性，至今仍然停留在備案制層面之上。由于缺少必要的身份驗證，因此“釣魚”問題大行其道。在商業Wi-Fi中，大部分Wi-Fi都將常規有線網絡轉變為無線電波來進行數據傳輸，因此不法分子會利用這種環境進行惡意的網絡攻擊，進而獲取當前Wi-Fi環境下的用戶信息、用戶個人賬號，最終實現利益的竊奪。此外，商業Wi-Fi由于網絡強制共享，因此Wi-Fi負擔嚴重，影響穩定性，造成Wi-Fi問題層出不窮。

圖1 中間人攻擊攔截流程

3.2 商業Wi-Fi的處理策略

當前商業Wi-Fi在應用中常常由于用戶群體龐大，因此安全危險增多。在眾多威脅中，最常見的是惡意用戶通過DNS欺騙的方式進入Wi-Fi內部竊取信息。為了解決這一問題，需要網絡管理人員采用IP地址映射技術，避免出現安全威脅問題。

常規的DNS欺騙技術主要包括被動監聽和主動試探。在這兩種方式的作用下，商業Wi-Fi客戶端會連續收到多個應答包，其中一個應答包為合法應答，另一個應答包則為偽造包屬于非法應答[1]。為了對其進行檢測，傳統設置中，網絡管理端需要優先進行嗅探器的監視，通過DNS請求的回應對DNS狀態進行判斷。因而在多個目標站點中，會存在多個IP地址，最終使IP地址能夠填寫入多個應答域內完成防御。此外，還有商業處理機構會選用諸如Domain Obscenity Control等第三方工具，對DNS進行指令發出，并對回饋內容進行檢驗，通過這種方式對是否存在欺騙進行判斷。IP地址映射則是在系統中建立一個域名地址，同時根據域名地址建立與之對應的地址映射表。當Wi-Fi環境中接入新的網絡應用設備后，系統會對映射表單中預留的域名地址展開撥測，隨后立刻完成IP地址的返回，再依據匹配情況對域名攻擊情況進行判斷，從而了解Wi-Fi是否遭到非法入侵。

4 結論

綜上所述，針對無線Wi-Fi網絡所面臨的各種安全問題，網絡管理人員應針對具體的Wi-Fi網絡應用環境進行可能存有的安全威脅的判斷，并依據Wi-Fi安全保障的相關技術手段，設計Wi-Fi訪問、Wi-Fi攻擊的保護程序，提升Wi-Fi網絡的安全等級，避免因黑客惡意入侵造成Wi-Fi網絡出現嚴重安全問題帶來的損失。

[1]孟憲桐. 公共免費WIFI安全問題及應對策略簡析[J]. 中國新通信，2017，19（7）：74.

[2]覃嵐. 中國WiFi產業聯盟發布《公共WiFi安全上網守則》[J]. 計算機與網絡，2016，42（8）：16.

Wi-Fi Wireless Network Security Prevention Research

Ou Chaoqiu

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Wireless Wi-Fi network is the most commonly used network technology. While Wi-Fi wireless network provides people with the convenience of the Internet, there are also security risks. In the process of researching the application technologies of Wi-Fi wireless network, in-depth analysis is conducted on several common Wi-Fi network application environments at the current stage. Taking the network environment as a starting point, the main strategy for safety prevention of the Wi-Fi wireless network is deeply discussed.

Wi-Fi wireless network; network security; malicious threat

TN929+.53

A