現(xiàn)在在很多的公告產(chǎn)所都有提供免費(fèi)的WIFI，而移動(dòng)用戶(hù)為節(jié)省流量，也會(huì)盡量的想辦法蹭免費(fèi)的WIFI，但是，天下沒(méi)有免費(fèi)午餐，公共場(chǎng)合WIFI存在很大的安全隱患，最容易遭到惡意攻擊。其實(shí)不管是企業(yè)、家庭還是運(yùn)營(yíng)商，在無(wú)線網(wǎng)絡(luò)的布置中，度存在種種安全隱患和威脅。

　　常見(jiàn)的無(wú)線網(wǎng)安全威脅

　　無(wú)線網(wǎng)的傳輸和接收數(shù)據(jù)是通過(guò)在空氣中廣播的射頻信號(hào)。由于無(wú)線局域網(wǎng)使用的廣播性質(zhì)，存在黑客可以訪問(wèn)或損壞數(shù)據(jù)的威脅。安全隱患主要有以下幾點(diǎn)：

　　1、未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)

　　如果無(wú)線局域網(wǎng)設(shè)置為開(kāi)放式訪問(wèn)方式，非法用戶(hù)可以不經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅占用寶貴的無(wú)線信道資源，增加帶寬費(fèi)用，降低合法用戶(hù)的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶(hù)沒(méi)有遵守相應(yīng)的條款，甚至可能導(dǎo)致法律糾紛。

　　2、地址欺騙和會(huì)話(huà)攔截(中間人攻擊)

　　在無(wú)線環(huán)境中，非法用戶(hù)通過(guò)偵聽(tīng)等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。

　　此外，非法用戶(hù)很容易裝扮成合法的無(wú)線接入點(diǎn)，誘導(dǎo)合法用戶(hù)連接該接入點(diǎn)進(jìn)入網(wǎng)絡(luò)，從而進(jìn)一步獲取合法用戶(hù)的鑒別身份信息，通過(guò)會(huì)話(huà)攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。

　　由于無(wú)線網(wǎng)一般是有線網(wǎng)的延伸部分，一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。而多數(shù)部署的無(wú)線網(wǎng)都在防火墻之后，這樣無(wú)線網(wǎng)的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無(wú)線網(wǎng)絡(luò)，就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶(hù)面前。

　　無(wú)線網(wǎng)的安全措施

　　為了緩解上述的安全問(wèn)題，所有的無(wú)線網(wǎng)都需要增加基本的安全認(rèn)證、加密和加密功能，包括：

　　●用戶(hù)身份認(rèn)證，防止未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)資源。

　　●數(shù)據(jù)加密以保護(hù)數(shù)據(jù)完整性和數(shù)據(jù)傳輸私密性。

　　身份認(rèn)證方式包括：

　　一、開(kāi)放式認(rèn)證。開(kāi)放認(rèn)證基本上是一個(gè)空認(rèn)證算法，允許任何設(shè)備向接入點(diǎn)(AP)發(fā)送認(rèn)證要求。開(kāi)放驗(yàn)證中客戶(hù)端使用明文傳輸關(guān)聯(lián)AP。如果沒(méi)有加密功能，任何知道無(wú)線局域網(wǎng)SSID的設(shè)備都可以進(jìn)入該網(wǎng)絡(luò)。如果在AP上啟用了有線對(duì)等加密協(xié)議(WEP)，WEP密鑰則成為一種訪問(wèn)控制的手段。沒(méi)有正確的WEP密鑰的設(shè)備即使認(rèn)證成功也不能通過(guò)AP傳輸數(shù)據(jù)，同時(shí)這樣的設(shè)備也不能解密由AP發(fā)出的數(shù)據(jù)。

　　現(xiàn)在在很多的公告產(chǎn)所都有提供免費(fèi)的WIFI，而移動(dòng)用戶(hù)為節(jié)省流量，也會(huì)盡量的想辦法蹭免費(fèi)的WIFI，但是，天下沒(méi)有免費(fèi)午餐，公共場(chǎng)合WIFI存在很大的安全隱患，最容易遭到惡意攻擊。其實(shí)不管是企業(yè)、家庭還是運(yùn)營(yíng)商，在無(wú)線網(wǎng)絡(luò)的布置中，度存在種種安全隱患和威脅。

　　常見(jiàn)的無(wú)線網(wǎng)安全威脅

　　無(wú)線網(wǎng)的傳輸和接收數(shù)據(jù)是通過(guò)在空氣中廣播的射頻信號(hào)。由于無(wú)線局域網(wǎng)使用的廣播性質(zhì)，存在黑客可以訪問(wèn)或損壞數(shù)據(jù)的威脅。安全隱患主要有以下幾點(diǎn)：

　　1、未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)

　　如果無(wú)線局域網(wǎng)設(shè)置為開(kāi)放式訪問(wèn)方式，非法用戶(hù)可以不經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅占用寶貴的無(wú)線信道資源，增加帶寬費(fèi)用，降低合法用戶(hù)的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶(hù)沒(méi)有遵守相應(yīng)的條款，甚至可能導(dǎo)致法律糾紛。

　　2、地址欺騙和會(huì)話(huà)攔截(中間人攻擊)

　　在無(wú)線環(huán)境中，非法用戶(hù)通過(guò)偵聽(tīng)等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。

　　此外，非法用戶(hù)很容易裝扮成合法的無(wú)線接入點(diǎn)，誘導(dǎo)合法用戶(hù)連接該接入點(diǎn)進(jìn)入網(wǎng)絡(luò)，從而進(jìn)一步獲取合法用戶(hù)的鑒別身份信息，通過(guò)會(huì)話(huà)攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。

　　由于無(wú)線網(wǎng)一般是有線網(wǎng)的延伸部分，一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。而多數(shù)部署的無(wú)線網(wǎng)都在防火墻之后，這樣無(wú)線網(wǎng)的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無(wú)線網(wǎng)絡(luò)，就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶(hù)面前。

　　無(wú)線網(wǎng)的安全措施

　　為了緩解上述的安全問(wèn)題，所有的無(wú)線網(wǎng)都需要增加基本的安全認(rèn)證、加密和加密功能，包括：

　　●用戶(hù)身份認(rèn)證，防止未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)資源。

　　●數(shù)據(jù)加密以保護(hù)數(shù)據(jù)完整性和數(shù)據(jù)傳輸私密性。

　　身份認(rèn)證方式包括：

　　一、開(kāi)放式認(rèn)證。開(kāi)放認(rèn)證基本上是一個(gè)空認(rèn)證算法，允許任何設(shè)備向接入點(diǎn)(AP)發(fā)送認(rèn)證要求。開(kāi)放驗(yàn)證中客戶(hù)端使用明文傳輸關(guān)聯(lián)AP。如果沒(méi)有加密功能，任何知道無(wú)線局域網(wǎng)SSID的設(shè)備都可以進(jìn)入該網(wǎng)絡(luò)。如果在AP上啟用了有線對(duì)等加密協(xié)議(WEP)，WEP密鑰則成為一種訪問(wèn)控制的手段。沒(méi)有正確的WEP密鑰的設(shè)備即使認(rèn)證成功也不能通過(guò)AP傳輸數(shù)據(jù)，同時(shí)這樣的設(shè)備也不能解密由AP發(fā)出的數(shù)據(jù)。

　　開(kāi)放認(rèn)證是一個(gè)基本的驗(yàn)證機(jī)制，可以使用不支持復(fù)雜的認(rèn)證算法無(wú)線設(shè)備。802.11規(guī)范中認(rèn)證的是面向連接的。對(duì)于需要驗(yàn)證允許設(shè)備得以快速進(jìn)入網(wǎng)絡(luò)的設(shè)計(jì)，在這種情況下，您可以使用開(kāi)放式身份驗(yàn)證。而開(kāi)放認(rèn)證沒(méi)辦法檢驗(yàn)是否客戶(hù)端是一個(gè)有效的客戶(hù)端，不管你是不是黑客或是惡意攻擊者的客戶(hù)端。如果你使用不帶WEP加密的開(kāi)放驗(yàn)證，任何知道無(wú)線局域網(wǎng)SSID的用戶(hù)都可以訪問(wèn)網(wǎng)絡(luò)。

　　二、共享密鑰認(rèn)證。該方式與開(kāi)放驗(yàn)證類(lèi)似而有一個(gè)主要的區(qū)別。當(dāng)你使用帶WEP加密密鑰的開(kāi)放認(rèn)證時(shí)，WEP密鑰是用來(lái)加密和解密數(shù)據(jù)，但在認(rèn)證的步驟中卻不使用。在共享密鑰認(rèn)證中，WEP加密被用于驗(yàn)證。和開(kāi)放驗(yàn)證類(lèi)似，共享密鑰認(rèn)證需要客戶(hù)端和AP具有相同的WEP密鑰。AP使用共享密鑰認(rèn)證發(fā)出一個(gè)挑戰(zhàn)文本包到客戶(hù)端，客戶(hù)端使用本地配置的WEP密鑰來(lái)加密挑戰(zhàn)文本并且回復(fù)隨后而來(lái)的身份驗(yàn)證請(qǐng)求。如果AP可以解密認(rèn)證要求，并恢復(fù)原始的挑戰(zhàn)文本，AP將回復(fù)一個(gè)準(zhǔn)許訪問(wèn)的認(rèn)證響應(yīng)給該客戶(hù)端。

　　在共享密鑰認(rèn)證中，客戶(hù)端和AP的交換挑戰(zhàn)文本(明文)并且加密的該挑戰(zhàn)文本。因此，這種認(rèn)證方式易受到中間人攻擊。黑客可以收到未加密的挑戰(zhàn)文本和已加密的挑戰(zhàn)文本，并從這些信息中提取WEP密鑰(共享密鑰)。當(dāng)黑客知道WEP密鑰時(shí)，整個(gè)認(rèn)證機(jī)制將受到威害并且黑客可以自由訪問(wèn)該WLAN網(wǎng)絡(luò)。這是共享密鑰認(rèn)證的主要缺點(diǎn)。

　　除了WEP之外，現(xiàn)在還有WPA和WPA2機(jī)制。

　　WPA是一種基于Wi-Fi聯(lián)盟的標(biāo)準(zhǔn)安全解決方案，以解決本地?zé)o線局域網(wǎng)漏洞。WPA為WLAN系統(tǒng)提供了增強(qiáng)的數(shù)據(jù)保護(hù)和訪問(wèn)控制。WPA在原來(lái)的IEEE802.11標(biāo)準(zhǔn)的執(zhí)行基礎(chǔ)上解決了所有已知的有線等效保密(WEP)的漏洞，給WLAN網(wǎng)絡(luò)帶來(lái)了直接的安全解決方案，包括企業(yè)和小型辦公室，家庭辦公室(SOHO)這樣的WLAN網(wǎng)絡(luò)環(huán)境。

　　WPA2是新一代的Wi-Fi安全協(xié)議。WPA2是Wi-Fi聯(lián)盟共同實(shí)施批準(zhǔn)的IEEE802.11i標(biāo)準(zhǔn)。WPA2執(zhí)行國(guó)家標(biāo)準(zhǔn)和技術(shù)局(NIS)建議基于高級(jí)加密標(biāo)準(zhǔn)(AES)加密算法的計(jì)數(shù)器模式及密碼區(qū)塊鏈信息認(rèn)證碼協(xié)議(CCMP)。AES計(jì)數(shù)器模式是一種分組密碼，該模式每次用一個(gè)128位密鑰加密128位的數(shù)據(jù)塊。WPA2比WPA提供了更高級(jí)別的安全性。

　　此外，還有其他兩個(gè)常用的機(jī)制用于無(wú)線網(wǎng)安全：

　　●基于SSID認(rèn)證

　　●MAC地址認(rèn)證

　　服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配

　　無(wú)線客戶(hù)端必需設(shè)置與無(wú)線訪問(wèn)點(diǎn)AP相同的SSID，才能訪問(wèn)AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶(hù)群體分組，避免任意漫游帶來(lái)的安全和訪問(wèn)性能的問(wèn)題。可以通過(guò)設(shè)置隱藏接入點(diǎn)(AP)及SSID區(qū)域的劃分和權(quán)限控制來(lái)達(dá)到保密的目的，SSID是允許邏輯劃分無(wú)線局域網(wǎng)的一種機(jī)制，SSID沒(méi)有提供任何數(shù)據(jù)隱私功能，而且SSID也不對(duì)AP提供真正驗(yàn)證客戶(hù)端的功能。

　　物理地址(MAC)過(guò)濾

　　每個(gè)無(wú)線客戶(hù)端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識(shí)，可在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。

　　這種方法的效率會(huì)隨著終端數(shù)目的增加而降低，而且非法用戶(hù)通過(guò)網(wǎng)絡(luò)偵聽(tīng)就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶(hù)完全可以盜用合法用戶(hù)的MAC地址來(lái)非法接入。

　　建議使用的無(wú)線網(wǎng)策略

　　1、不建議使用WEP加密方式，而應(yīng)該使用WPA和WPA2的加密認(rèn)證方式，而現(xiàn)在絕大多數(shù)家用AP是支持WPA和WPA2加密認(rèn)證的。

　　2、改變家用無(wú)線路由器的常規(guī)設(shè)置：家用無(wú)線路由器通常默認(rèn)的DHCP服務(wù)(自動(dòng)分配IP地址)是開(kāi)啟的，這樣其他用戶(hù)如果進(jìn)入了認(rèn)證系統(tǒng)，不用猜測(cè)網(wǎng)絡(luò)的IP地址是多少，就可以獲得網(wǎng)絡(luò)IP地址了，從而降低了攻擊者的難度，提高了風(fēng)險(xiǎn)。具體來(lái)看，可以禁用DHCP服務(wù)和SSID廣播服務(wù)，并且更改路由器內(nèi)網(wǎng)網(wǎng)關(guān)的IP地址，能夠大大增加攻擊的難度。

　　3、綁定MAC地址：在家用無(wú)線路由器上開(kāi)啟MAC地址綁定功能，任何接入網(wǎng)絡(luò)的設(shè)備一定是預(yù)先錄入綁定的MAC地址，這樣能夠直接拒絕攻擊者設(shè)備連接入網(wǎng)的機(jī)率。

　　4、公共場(chǎng)所無(wú)線用戶(hù)自身的安全策略：由于在公共場(chǎng)合里，所有連接無(wú)線網(wǎng)絡(luò)的電腦邏輯上都處于同一個(gè)網(wǎng)絡(luò)里，所以要注意設(shè)置自身上網(wǎng)設(shè)備的安全性。主要需要關(guān)注的：

　　●不使用未知的無(wú)線信號(hào)，在公共場(chǎng)合，由于無(wú)線接入設(shè)備可以獲取所有的交互信息，對(duì)于未知的無(wú)線網(wǎng)絡(luò)一定需要加以鑒別后進(jìn)行使用；

　　●開(kāi)啟防火墻、安全軟件和禁用網(wǎng)絡(luò)發(fā)現(xiàn)等功能，防止其他人利用公共網(wǎng)絡(luò)對(duì)個(gè)人設(shè)備進(jìn)行非法訪問(wèn)；

　　●默認(rèn)口令和弱口令需要進(jìn)行修改，上網(wǎng)的設(shè)備管理員需要使用強(qiáng)口令，并且定期更改，防止使用弱口令以阻止非法用戶(hù)獲得管理員權(quán)限從而入侵我們的設(shè)備；

　　此外，還有一些常見(jiàn)的操作可以采用，例如禁用共享功能、安裝防病毒軟件、訪問(wèn)安全性高的網(wǎng)站。