WiFi安全问题和安全策略

【 摘 要 】 目前，WiFi已经成为智能终端设备和个人电脑接入互联网的重要方式之一。然而，伴随WiFi应用大规模快速发展而出现的WiFi安全问题也日益严重，各种新问题层出不穷。对各种WiFi安全问题进行分类，并根据实施成本，分别为小型企业和家庭用户、大中型企业设计相应的安全策略。按照WiFi安全策略部署实施WiFi网络，虽然不能做到绝对安全，但能排除或预防绝大多数的安全风险。

【 关键词 】 WiFi；安全问题；安全策略

【 中图分类号 】 TP393 【 文献标识码 】 A

1 引言

互联网改变了我们的生活，而WiFi则改变了我们访问互联网的方式。一方面，随着WiFi技术和应用的发展与创新，以及无线智能终端设备的普及，WiFi技术和应用已经融入到我们日常生活的方方面面，深刻地影响和改变着我们的工作、学习和生活方式；另一方面，与WiFi相关的安全隐患、安全问题也层出不穷，不断出现用户重要隐私泄露、账号被盗等严重安全问题。

2 WiFi面临的安全问题

WiFi（Wireless Fidelity）是当前应用最为广泛的WLAN（无线局域网）技术。与传统有线计算机网络相比，所有常规有线计算机网络中存在的安全威胁和安全隐患都依然存在于WiFi中，而且，由于WiFi在移动设备和传输媒介方面的特殊性，使得一些攻击更容易实施，因此，WiFi所面临的安全问题更多，安全威胁也更加严重。

2.1 WiFi网络资源非法占用问题

一般来说，除了面向公众、为大众用户提供有偿或无偿服务的公共区域WiFi之外，WiFi是为了满足企业或家庭内部需求而建立的，不希望WiFi资源被企业或家庭用户之外的其他用户非法使用。如果非法用户在未经授权的情况下使用WiFi网络，非法占用WiFi信道资源，不仅会影响WiFi的正常使用，还可能会成为黑客进行犯罪行为的跳板，从而引出更多安全问题。

2.2 WiFi安全标准及PSK问题

由于WEP（有限等效保密）标准存在固有缺陷，WPA（WiFi保护接入）/WPA2成为主流标准（主要用于小型企业和家庭WiFi网络）。但WPA标准已经暴露出一些缺点，比如可以依靠WPA加密方式需要的四次握手中，包含与密码有关的信息来进行字典攻击，使得WPA的破解成为可能。

用户在采用WPA-PSK/WPA2-PSK标准时，如果设置的PSK（预共享密钥）过于简单，那么黑客可暴力破解PSK，从而非法获得WiFi网络资源的使用权。另外，由于一个WiFi网络内的全部用户都共享一个相同的PSK，那么，如果某个用户因某种原因泄露了PSK，会给整个WiFi网络带来安全隐患。

2.3 WiFi信息窃听和篡改问题

通过WiFi传输的信息在开放的空间中通过电磁波全方位传输，黑客不需要进入到受限的区域就可以在不引起用户觉察的情况下对WiFi传输的信息进行窃听，并可以进一步进行信息篡改等攻击。如果通过WiFi传输的信息未经加密，或者用户使用的认证协议或加密协议存在漏洞，那么黑客就能很容易地从窃听的信息中得到用户和系统的信息，包括PSK等重要安全信息。

2.4 WiFi主动攻击问题

WiFi主动攻击指黑客恶意攻击WiFi网络，或通过网络对WiFi合法用户进行攻击，破坏WiFi用户终端或局部网络，典型的主动攻击包括重传攻击、假冒攻击、钓鱼攻击、DoS攻击等。

重传攻击是指WiFi传输的信息被黑客窃听获得，黑客再利用适当的时机，将信息重传给接受者。黑客可能伪装成合法的WiFi用户，欺骗WiFi认证机制而非法接入WiFi网络。

WiFi假冒攻击是指黑客通过接管用户与服务器之间的会话来对用户通信进行欺骗。黑客一般通过控制AP设备或者通过ARP欺骗、IP欺骗等方式接管会话，使用户误以为自己正与合法的服务器进行通信，黑客从中获取重要信息。

钓鱼攻击是指黑客通过架设恶意WiFi网络，对不小心接入该WiFi网络的用户进行攻击，如通过提供WiFi接入服务的AP，或者伪装成某个提供接入服务的AP，使用户在使用WiFi时进入黑客设置的陷阱。黑客通过WiFi钓鱼的方式可以盗取用户关键安全信息。

DoS（拒绝服务）和DDoS（分布式拒绝服务）攻击问题是指黑客通过控制预先植入到用户计算机设备上的间谍软件，利用WiFi网络向其它网络及系统发起DoS攻击或DDoS攻击，从而使其它用户的Internet连接或运营商的网络服务系统失效，最终使合法用户无法得到服务。WiFi网络容易受到DoS的攻击和干扰，而且DoS攻击、DDoS攻击的破坏性极大。

2.5 WiFi网络中主机系统等软件安全漏洞问题

WiFi网络利用无线电等传输技术把多台主机连接在一起构成网络，如果主机系统软件存在安全漏洞，且未能及时修补，就会给黑客带来可乘之机。以病毒形式对WiFi网络中主机系统的攻击也会导致主机的安全问题，从而导致WiFi安全问题。

黑客还可以利用身份认证服务、Web服务、邮件服务等网络服务的漏洞绕开WiFi网络访问控制，从而达到无需经过授权即可访问WiFi网络资源的目的。黑客进入WiFi网络，可能会进一步入侵其他系统，会导致整个网络都处于危险状态。

2.6 WiFi AP等设备的安全问题

WiFi智能终端可以在非常大的范围内移动，导致AP没有足够的物理防范，黑客可能在任何位置对AP设备实施攻击，窃听、破坏或劫持WiFi传输的信息。WiFi AP所使用的技术不完善，安全漏洞不能及时修补，也会给黑客带来可乘之机，导致WiFi的安全问题。2013年，国家信息安全漏洞共享平台CNVD收录了TP-LINK路由器存在的一个后门漏洞（收录编号：CNVD-2013-20783）。曝光的产品主要用于企业或家庭WiFi的组建，利用漏洞，黑客可以完全控制WiFi路由器，对WiFi用户构成严重的威胁。

病毒也会导致WiFi网络设备出现安全问题。当WiFi网络与互联网连接之后，病毒的攻击也会随之加剧，除了目前常规有线网络上流行的病毒之外，还出现了专门针对WiFi网络设备的病毒（如“变色龙”病毒等）。

2.7 WiFi网络边界的不确定性问题

WiFi信息在开放的空间通过电磁波传输，没有明确的网络边界，黑客可能从四面八方对每个接入点进行直接或间接的攻击。这种开放性给WiFi网络带来了一系列的信息安全问题。例如，对于企业来说，企业外部人员可能通过WiFi接入绕过防火墙，进入企业内部网络；企业内部员工可能通过WiFi以端对端模式与外部直接连接，暴露企业内部网络。

2.8 自然环境万化导致的安全问题

由于WiFi信息是在空气中传输的，传输介质、传输路径会随时间而改变，同时电磁辐射、强磁场、强电场、高温、湿度、风灾、火灾、反射等都有可能损坏WiFi传输的信息。

3 WiFi安全策略

WiFi安全策略就是从不同角度、不同层次来实现WiFi信息保密、用户身份验证和访问控制等功能。按照WiFi安全策略部署实施WiFi网络，虽然不能做到绝对安全，但能排除或预防绝大多数的安全风险。

由于WiFi移动设备在存储能力、计算能力和电源供电时间等方面存在局限性，使得原来在常规有线网络环境下的许多安全方案和安全技术不能直接应用于WiFi环境，WiFi需要新的安全策略。由于实施WiFi安全策略存在成本，而且不同用户对WiFi的安全需求不同，下面将WiFi安全策略分为针对小型企业与家庭用户的WiFi安全策略和针对大中型企业的WiFi安全策略两类。对于小型企业和家庭用户来说，使用WiFi的范围相对较小、WiFi终端数量一般较少而且相对固定不变，成本低、配置方便的简单安全策略就可以满足其安全需求。对于大中型企业（包括金融机构等）来说，网络安全是生命线，一旦出现信息泄露，损失非常大，因此需要采用相对复杂的安全策略实现WiFi网络更高的安全性。

3.1 小型企业与家庭用户WiFi安全策略

WiFi的便捷性极大地方便了人们的生活，然而大多数小型企业与家庭用户对WiFi的安全防范意识差，忽略了WiFi的安全性，养成了许多不安全的WiFi使用习惯（如WiFi设备长期处于开启状态、随意将终端设备接入陌生WiFi等）。这些习惯行为有可能带来麻烦和损失，因此提高WiFi安全性，首先就要提高安全防范意识（如在热点区域使用WiFi时，如果不能确定WiFi安全，那么就不要提交或透露敏感信息，并尽量缩短在线时间），改变不安全的习惯行为。

停止WiFi SSID广播。关闭WiFi SSID广播功能，隐藏WiFi名称，需要访问WiFi网络时通过手动添加SSID。

关闭DHCP。当WiFi网络中的站点数量较少，而且相对固定不变时，关闭DHCP服务，手动配置WiFi网络。

MAC地址过滤。利用AP内置的MAC地址过滤功能，允许或者禁止具有指定MAC地址的终端访问WiFi。同停止WiFi SSID广播、关闭DHCP的作用一样，虽然MAC地址过滤并不能防止地址欺骗，但能够增加潜在黑客的入侵成本。同时，通过定期检查AP日志，有助于发现WiFi入侵风险。

选择合适的安全标准，启用WPA2，设置安全的PSK。使用WPA-PSK/WPA2-PSK，并在WiFi网络设备和智能终端支持的情况下，尽量采用WPA2-PSK。在进行PSK设置的时候，应包含大小写字母、数字和特殊符号且长度满足要求，并定期或不定期地改变已经使用了一段时间的PSK。

修改WiFi AP出厂默认配置。厂家批量生产的AP，其默认配置信息都相同或具有一定的规律性。其中SSID和PSK信息是访问WiFi的关键，更需要及时进行修改。

减少WiFi信号暴露。采用专用发射天线定向覆盖需要WiFi网络的范围，或调整AP发射功率，把WiFi电磁信号尽可能收敛在可信任区域，减少WiFi信号的暴露。

3.2 大中型企业WiFi安全策略

对大中型企业来说，提高WiFi安全性，除下述安全策略，企业还需要制定相应的无线网络安全使用规定等制度，加强安全保密教育，培训员工安全使用WiFi；对不同级别的用户设置不同的访问权限以降低风险；跟踪研究最新的WiFi安全技术，时机一旦成熟即可采用最新的安全策略等。

3.2.1 采用更安全的认证技术

端口认证可以提高WiFi认证的安全性。端口认证是一种WLAN安全防范措施，对接入端口进行身份认证，当客户端需要访问WiFi网络时需进行802.1x认证。认证服务器可以采用RADIUS（Remote Authentication Dial In User Service，远程认证拨号用户服务）认证服务器。RADIUS是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议，用户连接WiFi的用户名和密码等安全信息资料保存于RADIUS认证服务器中，更为安全。

3.2.2 使用正确配置的防火墙

根据WiFi网络和系统等实际情况，配置防火墙。安全策略可以放在端口上面（第一代防火墙），也可以放在移动用户身上（第二代防火墙），或者放在用户和手持终端上（第三代防火墙）。

3.2.3 对WiFi网络和系统进行入侵检测和监控

入侵检测和监控是设计安全网络的关键因素之一。入侵检测技术作为实现网络安全防护的重要手段，在传统有线网络环境中已有较为成熟的应用，但由于无线网络的特殊性，将其运用到WiFi网络仍然面临着许多技术难点（如何从繁杂的无线射频信号中检测出WiFi非法行为等）。使用WiFi网络安全监控，可以掌握WiFi网络的使用和接入情况，一旦发现非法接入或者遭受攻击，可以采取相应措施来保护WiFi安全。

入侵检测策略包括确定WiFi网络界限，检测该界限是否被攻破；监控WiFi网络中未被授权的流量，流量异常是一个警报信号。进一步提高安全性可以配置设备检查非法进入的WiFi频段电磁波，防止扰和攻击；在接口处部署入侵检测系统，把非法和恶意AP找出来并进行定位和处理。

3.2.4 进行安全扫描

安全扫描也称为脆弱性评估，是检测远程或本地系统安全脆弱性的一种有效的主动防御技术，能发现隐患于未然。通过安全扫描，可以发现网络和主机存在的对外开放的端口、系统错误配置、已知安全漏洞等。如果结合入侵检测系统和防火墙等安全技术，能为WiFi网络提供更高的安全性。

3.2.5 应用VPN（虚拟专用网）技术

VPN技术是指在一个公共网络平台上通过隧道以及加密技术保证数据的安全性，目前已经广泛应用于企业网络的远程接入和数据在公网平台上的传输。对安全性要求高的大中型企业等组建的WiFi网络，可以在使用802.1x认证机制的基础上，采用VPN技术进一步提高安全性能，实现站点与WiFi网络之间端到端的安全接入。使用具有VPN功能的防火墙，在无线基站和AP之间建立VPN隧道，整个WiFi网络的安全性得到大幅提高，能够有效地保护数据的完整性、可信性和可确认性。VPN技术还可以提供基于RADIUS的用户认证。

3.2.6 采用无线信号扩频技术

无线信号扩频技术是用来进行数据保密传输的一种通信技术。这种技术使无线信号的通信频率不断变换，扩展频谱发送器将无线信号按顺序发送到各个频率通道上，并在每一通道上停留固定的时间，周期性转换前将覆盖所有频率通道。如果不知道在每一频率通道上停留的时间长短和跳频图案等规则信息，就无法接收和译码无线通信数据。

4 结束语

WiFi网络安全问题主要分为两类：一类是WiFi网络的访问控制策略以及网络传输数据的保密性和完整性问题；另一类是基于WiFi的Intranet网络拓扑设计、网络设备的安装与参数配置方面的安全问题。

从构成信息系统的服务器、网络、终端三个层面分析，现有的保护手段是逐层递减，忽略了对数量庞大的终端保护。要提高WiFi网络的安全性，在设计WiFi网络时就要考虑网络的整体安全，对网络用途、安全性要求等进行规划论证，根据实际情况全面分析潜在的安全威胁和隐患，把网络安全性纳入网络的规划设计，从而实现WiFi的安全性要求。

参考文献

[1] 韩韦.WiFi及其安全性研究[J].无线互联科技，2013.01：6-7.

[2] 朱俊.无线网络安全问题及其防范措施[J].计算机与网络，2013. 21：71-73.

[3] 刘嵩鹤.无线网络安全问题及其应对[J].通讯世界，2014.19：23-24.

[4] 彭海深.基于WiFi的企业网信息安全研究[J].科技通报，2012. 08：145-147.

基金项目：

辽宁开放大学校园网基于WiFi的移动IP安全性研究科研课题项目（编号2015XB01-10）。

作者简介：

张明（1969-），男，辽宁沈阳人，计算机应用专业硕士，辽宁广播电视大学/辽宁装备制造职业技术学院，高级工程师；主要研究方向和关注领域：信息系统及网络设计与安全。