區(qū)超球

?

Wi-Fi無線網(wǎng)絡(luò)安全預(yù)防研究

區(qū)超球

廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東 廣州 510630

無線Wi-Fi網(wǎng)絡(luò)是當(dāng)前人們最常應(yīng)用的網(wǎng)絡(luò)技術(shù)。Wi-Fi無線網(wǎng)絡(luò)在給人們提供網(wǎng)絡(luò)便利的同時(shí)，也存在著安全危險(xiǎn)。在對(duì)Wi-Fi無線網(wǎng)絡(luò)的應(yīng)用技術(shù)進(jìn)行研究的過程中，針對(duì)當(dāng)前階段幾種常見的Wi-Fi網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行了深入的分析，并以網(wǎng)絡(luò)環(huán)境作為出發(fā)點(diǎn)，深入探討了Wi-Fi無線網(wǎng)絡(luò)安全預(yù)防的主要策略。

Wi-Fi無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；惡意威脅

引言

在現(xiàn)階段，人們通過智能終端設(shè)備連接網(wǎng)絡(luò)時(shí)，一般會(huì)選用802.11協(xié)議的Wi-Fi無線網(wǎng)絡(luò)。這種無線網(wǎng)絡(luò)在使用場(chǎng)景方面相對(duì)自由，也避免了有線連接的固定化弊端，提升了用戶的使用體驗(yàn)。但無線Wi-Fi網(wǎng)絡(luò)在使用過程中也可能遭受不明的惡意攻擊，最終造成安全損失。

目前人們最常應(yīng)用的Wi-Fi網(wǎng)絡(luò)，根據(jù)使用環(huán)境特征，一般可以分為家庭Wi-Fi、企業(yè)Wi-Fi和商業(yè)Wi-Fi三種不同的Wi-Fi場(chǎng)景類別。Wi-Fi網(wǎng)絡(luò)在使用過程中可能遭受到的惡意威脅也有一定的區(qū)別。

1 家庭Wi-Fi的安全防范

1.1 家庭Wi-Fi受到威脅

隨著互聯(lián)網(wǎng)用戶的逐漸增多，家庭Wi-Fi設(shè)備的使用率也逐漸提升。據(jù)相關(guān)的調(diào)查，我國(guó)家庭Wi-Fi的擁有量已經(jīng)超過了1.3億，位居世界第一。Wi-Fi的使用依靠的無線路由器主要為無線IP，為家庭環(huán)境提供信號(hào)覆蓋。但是路由器本身無法防御攔截威脅，導(dǎo)致安全水平較低。根據(jù)360安全衛(wèi)士的統(tǒng)計(jì)，國(guó)內(nèi)用戶在進(jìn)行路由器賬號(hào)管理方面水平偏低，超過98.6%的用戶，Wi-Fi密碼較弱，存在破譯風(fēng)險(xiǎn)。

通過分析可以看出，家庭Wi-Fi面臨的主要威脅為密碼破譯威脅。這一威脅主要表現(xiàn)在家庭之外。對(duì)于密碼較弱的Wi-Fi設(shè)備，一旦不法分子通過CSRF漏洞對(duì)其進(jìn)行攻擊，就能夠迅速跳過密碼驗(yàn)證進(jìn)入管理界面，修改管理設(shè)置權(quán)限，并劫持網(wǎng)站。一旦用于財(cái)產(chǎn)管理或者支付用途的Wi-Fi被破解，就會(huì)造成直接的財(cái)產(chǎn)損失。

1.2 家庭Wi-Fi處理措施

針對(duì)這種情況，家庭Wi-Fi應(yīng)從以下幾個(gè)方面展開防范措施。

首先，家庭Wi-Fi用戶應(yīng)注重Wi-Fi安全防御，避免因疏忽大意造成Wi-Fi信息泄露，威脅財(cái)產(chǎn)安全。在管理Wi-Fi的過程中，應(yīng)提高Wi-Fi密碼的復(fù)雜程度。通過設(shè)置多種密碼組合的方式，避免密碼遭到破譯。還應(yīng)選擇WAP2的加密認(rèn)證方式。密碼長(zhǎng)度需要增加到10位以上，并包含特殊符號(hào)、數(shù)字及字母。路由器管理中應(yīng)對(duì)默認(rèn)IP地址進(jìn)行重設(shè)，使用特殊地址避免CSRF自動(dòng)攻擊。還應(yīng)開啟路由器Mac過濾功能，避免未知來源設(shè)備連接進(jìn)入[1]。

其次，路由器生產(chǎn)廠商應(yīng)在路由器研制生產(chǎn)和路由器管理軟件設(shè)置方面，加入防御功能，例如通過未知連接提醒、用戶信息評(píng)價(jià)、信號(hào)風(fēng)險(xiǎn)評(píng)價(jià)等方式，給予用戶風(fēng)險(xiǎn)提示，提高用戶的防范意識(shí)。

2 企業(yè)Wi-Fi的安全防范

2.1 企業(yè)Wi-Fi面臨風(fēng)險(xiǎn)

企業(yè)Wi-Fi主要指企業(yè)內(nèi)部組建的Wi-Fi局域網(wǎng)絡(luò)，用于辦公所需的信息傳輸。但是企業(yè)Wi-Fi的安全問題同樣顯著。在相關(guān)的社會(huì)新聞中，美國(guó)NSA竊聽事件所引發(fā)的“棱鏡門”就引發(fā)了廣泛關(guān)注。企業(yè)Wi-Fi的安全威脅主要來源于非法用戶接入、非法用戶偽裝入侵兩個(gè)方面。非法用戶接入主要指非法用戶通過Wi-Fi搜索的方式獲取Wi-Fi信號(hào)，并通過WEP密鑰明文信息連接Wi-Fi；而非法用戶偽裝則指非法用戶通過技術(shù)手段偽裝成合法用戶，對(duì)Wi-Fi管理進(jìn)行欺騙，最終達(dá)到訪問機(jī)密網(wǎng)絡(luò)資源的目的。

2.2 企業(yè)Wi-Fi的處理對(duì)策

在以往的企業(yè)Wi-Fi環(huán)境中，企業(yè)Wi-Fi存在易于查找、易于破譯的特點(diǎn)。因此為了提升企業(yè)Wi-Fi，需要通過隱蔽SSID廣播信息以及過濾接入站點(diǎn)的MAC地址和IP地址來完成網(wǎng)絡(luò)防御。對(duì)于部分企業(yè)用戶來說，除了通過常規(guī)方法之外，還可以采用搭建惡意Wi-Fi檢測(cè)系統(tǒng)的方式增強(qiáng)網(wǎng)絡(luò)防御能力。

在當(dāng)前企業(yè)Wi-Fi網(wǎng)絡(luò)環(huán)境中，Wi-Fi所受到的惡意黑客攻擊被稱為中間人MITM攻擊。這種攻擊方式的主要過程是利用HTTPS進(jìn)行中間人會(huì)話劫持，中間人再通過對(duì)HTTP通信的監(jiān)視實(shí)現(xiàn)客戶端和服務(wù)器之間的連接，最終冒充客戶進(jìn)行內(nèi)容的竊取。為了對(duì)這種中間人攻擊進(jìn)行防御，需要在服務(wù)器端運(yùn)用DHCP服務(wù)器進(jìn)行功能拓展。具體操作中，企業(yè)客戶端需要預(yù)先安裝Tcpdump應(yīng)用。利用這一應(yīng)用對(duì)客戶端報(bào)文內(nèi)容進(jìn)行解析，并獲取DHCPACK地址，實(shí)現(xiàn)靜態(tài)綁定，并將IP和Mac寫入到ARP緩存表之中。在中間人進(jìn)行ARP報(bào)文發(fā)送時(shí)，ARP緩存表會(huì)對(duì)報(bào)文內(nèi)容進(jìn)行判斷，并且保證報(bào)文不會(huì)遭到修改，客戶端HTTP/HTTPS之間的數(shù)據(jù)則會(huì)依據(jù)正確路由完成轉(zhuǎn)發(fā)，實(shí)現(xiàn)保護(hù)目的，如圖1所示。

3 商業(yè)Wi-Fi的安全防范

3.1 商業(yè)Wi-Fi的安全威脅

商業(yè)Wi-Fi主要指在商業(yè)環(huán)境中使用的Wi-Fi，一般出現(xiàn)在商場(chǎng)、餐廳、咖啡廳等公共場(chǎng)所中。這類Wi-Fi面向大客流、多需求種類的人群，受到廣泛喜愛。但恰也因此，商業(yè)Wi-Fi受到的安全威脅更大。在當(dāng)前的商業(yè)Wi-Fi環(huán)境中，由于網(wǎng)絡(luò)環(huán)境商業(yè)Wi-Fi缺乏統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，因此在進(jìn)行商業(yè)Wi-Fi設(shè)定時(shí)基于其環(huán)境特殊性，至今仍然停留在備案制層面之上。由于缺少必要的身份驗(yàn)證，因此“釣魚”問題大行其道。在商業(yè)Wi-Fi中，大部分Wi-Fi都將常規(guī)有線網(wǎng)絡(luò)轉(zhuǎn)變?yōu)闊o線電波來進(jìn)行數(shù)據(jù)傳輸，因此不法分子會(huì)利用這種環(huán)境進(jìn)行惡意的網(wǎng)絡(luò)攻擊，進(jìn)而獲取當(dāng)前Wi-Fi環(huán)境下的用戶信息、用戶個(gè)人賬號(hào)，最終實(shí)現(xiàn)利益的竊奪。此外，商業(yè)Wi-Fi由于網(wǎng)絡(luò)強(qiáng)制共享，因此Wi-Fi負(fù)擔(dān)嚴(yán)重，影響穩(wěn)定性，造成Wi-Fi問題層出不窮。

圖1 中間人攻擊攔截流程

3.2 商業(yè)Wi-Fi的處理策略

當(dāng)前商業(yè)Wi-Fi在應(yīng)用中常常由于用戶群體龐大，因此安全危險(xiǎn)增多。在眾多威脅中，最常見的是惡意用戶通過DNS欺騙的方式進(jìn)入Wi-Fi內(nèi)部竊取信息。為了解決這一問題，需要網(wǎng)絡(luò)管理人員采用IP地址映射技術(shù)，避免出現(xiàn)安全威脅問題。

常規(guī)的DNS欺騙技術(shù)主要包括被動(dòng)監(jiān)聽和主動(dòng)試探。在這兩種方式的作用下，商業(yè)Wi-Fi客戶端會(huì)連續(xù)收到多個(gè)應(yīng)答包，其中一個(gè)應(yīng)答包為合法應(yīng)答，另一個(gè)應(yīng)答包則為偽造包屬于非法應(yīng)答[1]。為了對(duì)其進(jìn)行檢測(cè)，傳統(tǒng)設(shè)置中，網(wǎng)絡(luò)管理端需要優(yōu)先進(jìn)行嗅探器的監(jiān)視，通過DNS請(qǐng)求的回應(yīng)對(duì)DNS狀態(tài)進(jìn)行判斷。因而在多個(gè)目標(biāo)站點(diǎn)中，會(huì)存在多個(gè)IP地址，最終使IP地址能夠填寫入多個(gè)應(yīng)答域內(nèi)完成防御。此外，還有商業(yè)處理機(jī)構(gòu)會(huì)選用諸如Domain Obscenity Control等第三方工具，對(duì)DNS進(jìn)行指令發(fā)出，并對(duì)回饋內(nèi)容進(jìn)行檢驗(yàn)，通過這種方式對(duì)是否存在欺騙進(jìn)行判斷。IP地址映射則是在系統(tǒng)中建立一個(gè)域名地址，同時(shí)根據(jù)域名地址建立與之對(duì)應(yīng)的地址映射表。當(dāng)Wi-Fi環(huán)境中接入新的網(wǎng)絡(luò)應(yīng)用設(shè)備后，系統(tǒng)會(huì)對(duì)映射表單中預(yù)留的域名地址展開撥測(cè)，隨后立刻完成IP地址的返回，再依據(jù)匹配情況對(duì)域名攻擊情況進(jìn)行判斷，從而了解Wi-Fi是否遭到非法入侵。

4 結(jié)論

綜上所述，針對(duì)無線Wi-Fi網(wǎng)絡(luò)所面臨的各種安全問題，網(wǎng)絡(luò)管理人員應(yīng)針對(duì)具體的Wi-Fi網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行可能存有的安全威脅的判斷，并依據(jù)Wi-Fi安全保障的相關(guān)技術(shù)手段，設(shè)計(jì)Wi-Fi訪問、Wi-Fi攻擊的保護(hù)程序，提升Wi-Fi網(wǎng)絡(luò)的安全等級(jí)，避免因黑客惡意入侵造成Wi-Fi網(wǎng)絡(luò)出現(xiàn)嚴(yán)重安全問題帶來的損失。

[1]孟憲桐. 公共免費(fèi)WIFI安全問題及應(yīng)對(duì)策略簡(jiǎn)析[J]. 中國(guó)新通信，2017，19（7）：74.

[2]覃嵐. 中國(guó)WiFi產(chǎn)業(yè)聯(lián)盟發(fā)布《公共WiFi安全上網(wǎng)守則》[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2016，42（8）：16.

Wi-Fi Wireless Network Security Prevention Research

Ou Chaoqiu

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Wireless Wi-Fi network is the most commonly used network technology. While Wi-Fi wireless network provides people with the convenience of the Internet, there are also security risks. In the process of researching the application technologies of Wi-Fi wireless network, in-depth analysis is conducted on several common Wi-Fi network application environments at the current stage. Taking the network environment as a starting point, the main strategy for safety prevention of the Wi-Fi wireless network is deeply discussed.

Wi-Fi wireless network; network security; malicious threat

TN929+.53

A