Wi-Fi無線網(wǎng)絡(luò)安全預(yù)防研究

區(qū)超球

?

Wi-Fi無線網(wǎng)絡(luò)安全預(yù)防研究

區(qū)超球

廣東省電信規(guī)劃設(shè)計院有限公司，廣東 廣州 510630

無線Wi-Fi網(wǎng)絡(luò)是當(dāng)前人們最常應(yīng)用的網(wǎng)絡(luò)技術(shù)。Wi-Fi無線網(wǎng)絡(luò)在給人們提供網(wǎng)絡(luò)便利的同時，也存在著安全危險。在對Wi-Fi無線網(wǎng)絡(luò)的應(yīng)用技術(shù)進(jìn)行研究的過程中，針對當(dāng)前階段幾種常見的Wi-Fi網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行了深入的分析，并以網(wǎng)絡(luò)環(huán)境作為出發(fā)點(diǎn)，深入探討了Wi-Fi無線網(wǎng)絡(luò)安全預(yù)防的主要策略。

Wi-Fi無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；惡意威脅

引言

在現(xiàn)階段，人們通過智能終端設(shè)備連接網(wǎng)絡(luò)時，一般會選用802.11協(xié)議的Wi-Fi無線網(wǎng)絡(luò)。這種無線網(wǎng)絡(luò)在使用場景方面相對自由，也避免了有線連接的固定化弊端，提升了用戶的使用體驗(yàn)。但無線Wi-Fi網(wǎng)絡(luò)在使用過程中也可能遭受不明的惡意攻擊，最終造成安全損失。

目前人們最常應(yīng)用的Wi-Fi網(wǎng)絡(luò)，根據(jù)使用環(huán)境特征，一般可以分為家庭Wi-Fi、企業(yè)Wi-Fi和商業(yè)Wi-Fi三種不同的Wi-Fi場景類別。Wi-Fi網(wǎng)絡(luò)在使用過程中可能遭受到的惡意威脅也有一定的區(qū)別。

1 家庭Wi-Fi的安全防范

1.1 家庭Wi-Fi受到威脅

隨著互聯(lián)網(wǎng)用戶的逐漸增多，家庭Wi-Fi設(shè)備的使用率也逐漸提升。據(jù)相關(guān)的調(diào)查，我國家庭Wi-Fi的擁有量已經(jīng)超過了1.3億，位居世界第一。Wi-Fi的使用依靠的無線路由器主要為無線IP，為家庭環(huán)境提供信號覆蓋。但是路由器本身無法防御攔截威脅，導(dǎo)致安全水平較低。根據(jù)360安全衛(wèi)士的統(tǒng)計，國內(nèi)用戶在進(jìn)行路由器賬號管理方面水平偏低，超過98.6%的用戶，Wi-Fi密碼較弱，存在破譯風(fēng)險。

通過分析可以看出，家庭Wi-Fi面臨的主要威脅為密碼破譯威脅。這一威脅主要表現(xiàn)在家庭之外。對于密碼較弱的Wi-Fi設(shè)備，一旦不法分子通過CSRF漏洞對其進(jìn)行攻擊，就能夠迅速跳過密碼驗(yàn)證進(jìn)入管理界面，修改管理設(shè)置權(quán)限，并劫持網(wǎng)站。一旦用于財產(chǎn)管理或者支付用途的Wi-Fi被破解，就會造成直接的財產(chǎn)損失。

1.2 家庭Wi-Fi處理措施

針對這種情況，家庭Wi-Fi應(yīng)從以下幾個方面展開防范措施。

首先，家庭Wi-Fi用戶應(yīng)注重Wi-Fi安全防御，避免因疏忽大意造成Wi-Fi信息泄露，威脅財產(chǎn)安全。在管理Wi-Fi的過程中，應(yīng)提高Wi-Fi密碼的復(fù)雜程度。通過設(shè)置多種密碼組合的方式，避免密碼遭到破譯。還應(yīng)選擇WAP2的加密認(rèn)證方式。密碼長度需要增加到10位以上，并包含特殊符號、數(shù)字及字母。路由器管理中應(yīng)對默認(rèn)IP地址進(jìn)行重設(shè)，使用特殊地址避免CSRF自動攻擊。還應(yīng)開啟路由器Mac過濾功能，避免未知來源設(shè)備連接進(jìn)入[1]。

其次，路由器生產(chǎn)廠商應(yīng)在路由器研制生產(chǎn)和路由器管理軟件設(shè)置方面，加入防御功能，例如通過未知連接提醒、用戶信息評價、信號風(fēng)險評價等方式，給予用戶風(fēng)險提示，提高用戶的防范意識。

2 企業(yè)Wi-Fi的安全防范

2.1 企業(yè)Wi-Fi面臨風(fēng)險

企業(yè)Wi-Fi主要指企業(yè)內(nèi)部組建的Wi-Fi局域網(wǎng)絡(luò)，用于辦公所需的信息傳輸。但是企業(yè)Wi-Fi的安全問題同樣顯著。在相關(guān)的社會新聞中，美國NSA竊聽事件所引發(fā)的“棱鏡門”就引發(fā)了廣泛關(guān)注。企業(yè)Wi-Fi的安全威脅主要來源于非法用戶接入、非法用戶偽裝入侵兩個方面。非法用戶接入主要指非法用戶通過Wi-Fi搜索的方式獲取Wi-Fi信號，并通過WEP密鑰明文信息連接Wi-Fi；而非法用戶偽裝則指非法用戶通過技術(shù)手段偽裝成合法用戶，對Wi-Fi管理進(jìn)行欺騙，最終達(dá)到訪問機(jī)密網(wǎng)絡(luò)資源的目的。

2.2 企業(yè)Wi-Fi的處理對策

在以往的企業(yè)Wi-Fi環(huán)境中，企業(yè)Wi-Fi存在易于查找、易于破譯的特點(diǎn)。因此為了提升企業(yè)Wi-Fi，需要通過隱蔽SSID廣播信息以及過濾接入站點(diǎn)的MAC地址和IP地址來完成網(wǎng)絡(luò)防御。對于部分企業(yè)用戶來說，除了通過常規(guī)方法之外，還可以采用搭建惡意Wi-Fi檢測系統(tǒng)的方式增強(qiáng)網(wǎng)絡(luò)防御能力。

在當(dāng)前企業(yè)Wi-Fi網(wǎng)絡(luò)環(huán)境中，Wi-Fi所受到的惡意黑客攻擊被稱為中間人MITM攻擊。這種攻擊方式的主要過程是利用HTTPS進(jìn)行中間人會話劫持，中間人再通過對HTTP通信的監(jiān)視實(shí)現(xiàn)客戶端和服務(wù)器之間的連接，最終冒充客戶進(jìn)行內(nèi)容的竊取。為了對這種中間人攻擊進(jìn)行防御，需要在服務(wù)器端運(yùn)用DHCP服務(wù)器進(jìn)行功能拓展。具體操作中，企業(yè)客戶端需要預(yù)先安裝Tcpdump應(yīng)用。利用這一應(yīng)用對客戶端報文內(nèi)容進(jìn)行解析，并獲取DHCPACK地址，實(shí)現(xiàn)靜態(tài)綁定，并將IP和Mac寫入到ARP緩存表之中。在中間人進(jìn)行ARP報文發(fā)送時，ARP緩存表會對報文內(nèi)容進(jìn)行判斷，并且保證報文不會遭到修改，客戶端HTTP/HTTPS之間的數(shù)據(jù)則會依據(jù)正確路由完成轉(zhuǎn)發(fā)，實(shí)現(xiàn)保護(hù)目的，如圖1所示。

3 商業(yè)Wi-Fi的安全防范

3.1 商業(yè)Wi-Fi的安全威脅

商業(yè)Wi-Fi主要指在商業(yè)環(huán)境中使用的Wi-Fi，一般出現(xiàn)在商場、餐廳、咖啡廳等公共場所中。這類Wi-Fi面向大客流、多需求種類的人群，受到廣泛喜愛。但恰也因此，商業(yè)Wi-Fi受到的安全威脅更大。在當(dāng)前的商業(yè)Wi-Fi環(huán)境中，由于網(wǎng)絡(luò)環(huán)境商業(yè)Wi-Fi缺乏統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，因此在進(jìn)行商業(yè)Wi-Fi設(shè)定時基于其環(huán)境特殊性，至今仍然停留在備案制層面之上。由于缺少必要的身份驗(yàn)證，因此“釣魚”問題大行其道。在商業(yè)Wi-Fi中，大部分Wi-Fi都將常規(guī)有線網(wǎng)絡(luò)轉(zhuǎn)變?yōu)闊o線電波來進(jìn)行數(shù)據(jù)傳輸，因此不法分子會利用這種環(huán)境進(jìn)行惡意的網(wǎng)絡(luò)攻擊，進(jìn)而獲取當(dāng)前Wi-Fi環(huán)境下的用戶信息、用戶個人賬號，最終實(shí)現(xiàn)利益的竊奪。此外，商業(yè)Wi-Fi由于網(wǎng)絡(luò)強(qiáng)制共享，因此Wi-Fi負(fù)擔(dān)嚴(yán)重，影響穩(wěn)定性，造成Wi-Fi問題層出不窮。

圖1 中間人攻擊攔截流程

3.2 商業(yè)Wi-Fi的處理策略

當(dāng)前商業(yè)Wi-Fi在應(yīng)用中常常由于用戶群體龐大，因此安全危險增多。在眾多威脅中，最常見的是惡意用戶通過DNS欺騙的方式進(jìn)入Wi-Fi內(nèi)部竊取信息。為了解決這一問題，需要網(wǎng)絡(luò)管理人員采用IP地址映射技術(shù)，避免出現(xiàn)安全威脅問題。

常規(guī)的DNS欺騙技術(shù)主要包括被動監(jiān)聽和主動試探。在這兩種方式的作用下，商業(yè)Wi-Fi客戶端會連續(xù)收到多個應(yīng)答包，其中一個應(yīng)答包為合法應(yīng)答，另一個應(yīng)答包則為偽造包屬于非法應(yīng)答[1]。為了對其進(jìn)行檢測，傳統(tǒng)設(shè)置中，網(wǎng)絡(luò)管理端需要優(yōu)先進(jìn)行嗅探器的監(jiān)視，通過DNS請求的回應(yīng)對DNS狀態(tài)進(jìn)行判斷。因而在多個目標(biāo)站點(diǎn)中，會存在多個IP地址，最終使IP地址能夠填寫入多個應(yīng)答域內(nèi)完成防御。此外，還有商業(yè)處理機(jī)構(gòu)會選用諸如Domain Obscenity Control等第三方工具，對DNS進(jìn)行指令發(fā)出，并對回饋內(nèi)容進(jìn)行檢驗(yàn)，通過這種方式對是否存在欺騙進(jìn)行判斷。IP地址映射則是在系統(tǒng)中建立一個域名地址，同時根據(jù)域名地址建立與之對應(yīng)的地址映射表。當(dāng)Wi-Fi環(huán)境中接入新的網(wǎng)絡(luò)應(yīng)用設(shè)備后，系統(tǒng)會對映射表單中預(yù)留的域名地址展開撥測，隨后立刻完成IP地址的返回，再依據(jù)匹配情況對域名攻擊情況進(jìn)行判斷，從而了解Wi-Fi是否遭到非法入侵。

4 結(jié)論

綜上所述，針對無線Wi-Fi網(wǎng)絡(luò)所面臨的各種安全問題，網(wǎng)絡(luò)管理人員應(yīng)針對具體的Wi-Fi網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行可能存有的安全威脅的判斷，并依據(jù)Wi-Fi安全保障的相關(guān)技術(shù)手段，設(shè)計Wi-Fi訪問、Wi-Fi攻擊的保護(hù)程序，提升Wi-Fi網(wǎng)絡(luò)的安全等級，避免因黑客惡意入侵造成Wi-Fi網(wǎng)絡(luò)出現(xiàn)嚴(yán)重安全問題帶來的損失。

[1]孟憲桐. 公共免費(fèi)WIFI安全問題及應(yīng)對策略簡析[J]. 中國新通信，2017，19（7）：74.

[2]覃嵐. 中國WiFi產(chǎn)業(yè)聯(lián)盟發(fā)布《公共WiFi安全上網(wǎng)守則》[J]. 計算機(jī)與網(wǎng)絡(luò)，2016，42（8）：16.

Wi-Fi Wireless Network Security Prevention Research

Ou Chaoqiu

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Wireless Wi-Fi network is the most commonly used network technology. While Wi-Fi wireless network provides people with the convenience of the Internet, there are also security risks. In the process of researching the application technologies of Wi-Fi wireless network, in-depth analysis is conducted on several common Wi-Fi network application environments at the current stage. Taking the network environment as a starting point, the main strategy for safety prevention of the Wi-Fi wireless network is deeply discussed.

Wi-Fi wireless network; network security; malicious threat

TN929+.53

A