Wi-Fi 接入有哪些安全漏洞和隐患
Wi-Fi 接入有以下安全漏洞和隐患:
Cookie安全问题:Cookie是一种Web浏览器支持的、为自动识别用户身份而由服务器向用户终端上写入特殊身份数据的机制。Cookie信息的存储、传输安全存在隐患,可能被破解/复制,从而导致欺诈问题。
伪AP接入钓鱼攻击:伪AP接入钓鱼攻击是指私设SSID(ServiceSetIdentifier,服务集标识)为运营商的AP,诱使用户连接到此AP,并伪造登录页面,收集用户的WLAN账号,建议取消WLAN手机用户的静态密码登录方式,从而使钓鱼攻击失去驱动。
接入非授权假冒AP:对于AP模式,入侵者只要接入非授权的假冒AP,也可以进行登录,欺骗网络AP为合法。由于WLAN易于访问和配置简单的特性,使网络管理员非常头痛。因为计算机很容易通过非法AP,不经过授权而连入网络。很多个人或者组织可以自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
IP地址冒用攻击:用户认证通过后AC会维护会话状态表,后续会话访问只通过IP地址进行识别,这样留下了安全隐患。攻击者可冒用正常用户IP地址,非法进入WLAN。针对IP地址冒用攻击的问题,可通过在AC判断是否放行用户访问时,同时判断IP地址和MAC地址,增加攻击者的利用难度。
WLAN服务的数据安全:IEEE802.11协议致力于解决WLAN的安全问题,主要方法是对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他设备虽然可以接收到数据报文,但是由于没有相应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全保护。
手机用户接入认证问题:PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,则PSK接入认证成功;如果密钥不同,则PSK接入认证失败。MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。通过手工维护一组允许访问的MAC地址列表,实现对客户物理地址过滤,但这种方法的效率会随着终端数目的增加而降低,因此MAC地址认证适用于安全需求不高的场合,如家庭、小型办公室等环境。
加强无线安全的措施有以下这些:
修改AP登录密码:首先,要保证无线局域网安全就必须更改无线AP或无线宽带路由器的默认设置密码。最好将默认的登录密码改为自己易记的密码,以防非法用户轻易对无线AP或无线宽带路由器进行控制。
修改SSID标识:在初次安装好无线局域网时,必须及时登录到无线网络节点的管理页面,修改默认的SSID初始化字符串,并且在条件允许的前提下,取消SSID的网络广播,从而将黑客入侵的机会降到最低限度。
禁止SSID广播:在默认情况下,SSID采用广播方式通知客户端。为了保证无线网络安全,应当禁止SSID广播,这样,由于非授权客户端无法通过广播获得SSID,从而无法连接到无线网络。否则,再复杂的SSID设置也没有任何意义。
设置MAC过滤:因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。MAC地址控制可以有效地防止未经过授权的用户非法接入无线网络。虽然攻击者通过将自己设备的MAC地址修改成合法设备的MAC地址,有可能出现MAC地址欺骗,但这种方法仍然可以使对网络的攻击变得困难。
设置WEP加密传输:利用自动无线网络配置,可以指定进入网络时用于身份验证的网络密钥,也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密。启用数据加密时,生成共享加密密钥,并由源台和目标台来改变帧位,因而可避免泄露给偷听者。因此通过加密可以保证数据的安全,但加密后,传输速率将会有所降低。
禁用DHCP服务:如果启用无线AP的DHCP,那么恶意用户将能够自动获取IP地址信息,从而轻松地接入到无线网络。如果禁用无线AP的DHCP功能,那么恶意用户将不得不猜测和破译IP地址、子网掩码、默认网关等一切所需的TCP/IP参数。
合适放置无线AP和天线:由于无线AP是有线信号和无线信号的转换点,无线AP以及无线的类型和位置,不但能够决定无线局域网信号的传输速度、通信信号强弱,而且还能影响无线网络的通信安全。因此,无线AP摆放的位置很重要。当局域网中安装了接入点时,整个网络都处于风险之中。网络中不受保护的接入点就像一扇打开的大门,将吸引攻击者进入。因此,需要把接入点放在网络中一个风险尽可能小的地方(攻击者很难修改或者篡改接入点设置的位置)。