如何成为无线安全的守护者？答案在这里

前言

随着无线通信技术的广泛应用，传统网络已经越来越不能满足人们的需求，无线网络突破了传统有线网络的限制，使用户获得了可移动性和方便性，有效弥补了有线网络不具备移动功能的不足。近年来，无线网络技术产品逐渐走向成熟，正以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用，其应用也越来越广泛，对于它的研究也逐渐成为计算机网络行业的一个热门方向。

无线局域网络是利用射频（RF）技术、取代双绞铜线、光纤等有线介质、基于IEEE802.11 系列标准、允许在局域网络环境中使用2.4 或5.8GHz 射频波段进行无线连接的现代化局域网络，无线网络通过简单的存取架构使得用户通过它可以更加便捷地传输获取信息。

无线局域网的典型应用场景如下：

图1 无线通讯技术得到广泛应用

在无线网络发展的同时，其存在的问题也逐渐显露出来，即无线网络安全问题。在无线网络迅猛发展的同时，无线网络安全也成为刻不容缓、亟待解决的网络问题之一。近年来国家推行等级保护政策和相关制度以解决信息安全方面存在的问题，在等级保护制度实行以来我们可以明显看到它所带来的成果：信息系统的安全威胁显著降低。所以，针对无线网络的等级保护实施也成为我们所需要认真考虑的一个问题。

图2 Wi-Fi漏洞Kr00k曝光

无线漏洞“Kr00k”，被标识为CVE-2019-15126。该漏洞会导致目标设备使用一个全零加密密钥来加密用户的部分通信数据，从而使攻击者可以解密通过WiFi设备所传输的一些网络数据包。其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。

一、无线网络的安全威胁有哪些？

安全威胁可以分为故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听，而不对其进行修改。主动威胁包括对信息进行故意的篡改。无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在无线网络中也存在，因此要继续加强常规的网络安全措施，但无线网络与有线网络相比还存在一些特有的安全威胁，因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说，无线网络所面临的威胁主要表现下在以下几个方面。

（1）W E P 破解：现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP 信号覆盖区域内的数据包，收集到足够的WEP 弱密钥加密的包，并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量，最快可以在两个小时内攻破W E P 密钥。

图3 黑客利用工具找到无线密码

（2）信息重放：在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN 等保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗，进而对信息进行窃取和篡改。

图4 信息重放攻击

（3）网络窃听：一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。

图5 网络窃听威胁公司机密

（4）假冒攻击：某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中，移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接，移动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。

图6 伪装成授权用户进行非法行为

（5）M A C 地址欺骗：通过网络窃听工具获取数据，从而进一步获得AP 允许通信的静态地址池，这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。

图7 欺骗攻击合法接入网络

（6）拒绝服务：攻击者可能对A P 进行泛洪攻击，使AP 拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

图8 拒绝服务攻击耗尽系统资源

二、如何保障无线网络的安全性？

（1）修改、隐藏SSID广播

图9 关闭SSID广播减少攻击风险

SSID是Service Set Identifier的缩写，意思是：服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。

SSID通常由AP广播出来，通过无线终端自带的扫描功能可以查看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

然而，通过字母和数字组成的SSID即使没有设置“广播”，入侵者通过工具也可扫描到对应的无线网络并顺利入侵。只有将SSID信息修改为中文才能更好的避免上述问题出现。究其原因，一方面是因为中文字符在这些软件中会显示乱码；另一方面是因为很多入侵工具都是国外开发者开发的，对中文不支持、不兼容。

图10非法用户无法获知正确的SSID

（2）使用更安全的加密协议

无线网络的安全协议通常包括 WEP、WPA 、WPA2和WPA3，其中WPA2和WPA3是目前最安全的。使用WPA2/WPA3加密可以确保数据传输的安全性，避免被攻击者窃取和篡改。同时，建议使用强密码，包含大小写字母、数字和特殊字符，以增加破解的难度。

1、WEP

有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。

WEP有2种认证方式：开放式系统认证和共有键认证。开放式系统认证不需要密钥验证就可以连接；共有键认证客户端需要发送与接入点预存密钥匹配的密钥。

2、WPA

WPA的数据是以一把128位的钥匙和一个48位的初向量（IV）的RC4stream cipher来加密。WPA超越WEP的主要改进就是在使用中可以动态改变密钥的“临时密钥完整性协议”（Temporal Key Integrity Protocol，TKIP），加上更长的初向量，这可以击败知名的针对WEP的密钥截取攻击。

3、WPA2

WPA2有两种风格：WPA2个人版和WPA2企业版。WPA2企业版需要一台具有IEEE 802.1X功能的RADIUS (远程用户拨号认证系统）服务器。没有RADIUS服务器的SOHO用户可以使用WPA2个人版，其口令长度为20个以上的随机字符，或者使用托管的RADIUS服务。

4、WPA3

WPA3全名为Wi-Fi Protected Access 3，是Wi-Fi联盟组织于2018年1月8日在美国拉斯维加斯的国际消费电子展(CES)上发布的Wi-Fi新加密协议，是Wi-Fi身份验证标准WPA2技术的后续版本。

2018年6月26日，WiFi联盟宣布WPA3协议已最终完成。

WPA3标准将加密公共Wi-Fi网络上的所有数据，可以进一步保护不安全的Wi-Fi网络。特别当用户使用酒店和旅游WIFI热点等公共网络时，借助WPA3创建更安全的连接，让黑客无法窥探用户的流量，难以获得私人信息。尽管如此，黑客仍然可以通过专门的，主动的攻击来窃取数据。但是，WPA3至少可以阻止强力攻击。

WPA3主要有四项新功能：

功能一：对使用弱密码的人采取“强有力的保护”。如果密码多次输错，将锁定攻击行为，屏蔽WiFi身份验证过程来防止暴力攻击。

功能二：WPA3 将简化显示接口受限，甚至包括不具备显示接口的设备的安全配置流程。能够使用附近的WiFi设备作为其他设备的配置面板，为物联网设备提供更好的安全性。用户将能够使用他的手机或平板电脑来配置另一个没有屏幕的设备（如智能锁、智能灯泡或门铃）等小型物联网设备设置密码和凭证，而不是将其开放给任何人访问和控制。

功能三：在接入开放性网络时，通过个性化数据加密增强用户隐私的安全性，它是对每个设备与路由器或接入点之间的连接进行加密的一个特征。

功能四：WPA3的密码算法提升至192位的CNSA等级算法，与之前的128位加密算法相比，增加了字典法暴力密码破解的难度。并使用新的握手重传方法取代WPA2的四次握手，WiFi联盟将其描述为“192位安全套件"。，该套件与美国国家安全系统委员会国家商用安全算法（CNSA）套件相兼容，将进一步保护政府、国防和工业等更高安全要求的Wi-Fi网络。

图11 Wi-Fi Protected Access 3加密协议

（3）过滤MAC地址

图12 MAC地址过滤

通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。

图13 查看本机MAC地址

（4）增强认证机制

图14 增加认证方式

在一些安全性较高的场合会选择组合式认证方式，比如既要通过密码认证、同时还需要再使用其他方式认证一次，比如本地认证（输入用户名和密码）、短信认证、卡券认证、云端认证等。

图15 本地账户、短信认证配置页面

（5）做好边界防护

建议用户在无线网络与办公网、生产网之间部署工业互联防火墙，通过防火墙实时的对流量进行分析，从数据链路层到应用层有效的阻断网络中的攻击和病毒行为，通过自主研发的深度数据包解析引擎，威努特工业互联防火墙能够检测出100+种例如ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流厂商工控协议，和发现对应厂家的工控设备类型，基于协议和设备类型实现工业流量的可视化，保护用户的关键网络及数据。

图16 边界防护确保内部安全

（6）及时更新版本

定期升级无线网络设备可以提高网络的稳定性和安全性，修复漏洞和安全问题，以及支持新的技术和协议，修复兼容性等问题。建议用户定期检查无线网络设备的版本，并及时更新以保护网络安全。

图17 定期进行AC/AP升级

（7）增强安全意识

提高无线安全意识。通过组织学习法律法规及无线安全知识，进一步增强工作人员的无线安全意识，减少认识上的误区和盲区。

图18 做好安全宣传，网络安全无小事

结语

随着无线网络的普及，我们必须认识到其中存在的安全威胁，并采取相应的措施来保障网络的安全性。通过修改SSID广播、使用更安全的加密协议、过滤MAC地址等措施，我们可以有效降低网络受到攻击的风险。同时，强化认证机制、加强边界防护以及定期更新版本，也是维护无线网络安全的重要手段。此外，培养用户的安全意识和加强信息保护的教育同样不可忽视。只有通过共同努力，我们才能建立起安全可靠、充满信任的无线网络环境，确保我们的网络连接畅通而安全。

威努特无线通信系列产品不仅支持大规模用户并发，同时也支持IP、MAC的ACL和防火墙安全策略、L2TP/PPTP、IPSEC、GRE和SSL等丰富的VPN协议、ARP Scan、DHCP Snooping ARP防欺骗功能、Anti-Flood、Ping of Death、Tear-drop、WinNuke、Smurf攻击防护等安全特性，确保在无线环境下的，为用户远程分支组网提供一个安全可控的高性价比的解决方案。

图19 威努特无线通信产品全家福

目前，威努特无线通信系列产品包括室外型、吸顶式、入墙式三大系列，全面支持最新的Wi-Fi6技术，广泛适用于各种无线通信场景。

图20 威努特无线通信系列产品广泛适用于各种无线通信场景

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121