四项鲜为人知的WiFi安全威胁及其应对方案

译文
CIOAge 新闻
Wifi广为使用,但仅仅设置访问密码是否就安全无恙呢?

【51CTO.com快译】十几年来,设定高强度密码、拒绝未知访客接入以及众多我们耳熟能详的WiFi保护实践已经深入人心。然而,陈旧的有线等效私密性(简称WEP)机制已然脆弱不堪,在攻击者面前形同虚设。

而在使用WiFi访问保护2(简称WPA2)的情况下,以下四种威胁场景应当引起大家的足够重视。

[[184284]]

 

变更默认无线设置

一部分调制解调器/路由器制造商及ISP会使用默认密码对WiFi进行预先加密,并将相关信息打印在设备本身或者包装盒上。很明显,这样的默认设置极不可靠。

目前不少企业将设备MAC地址及或默认SSID(网络名称)的一部分添加至WiFi密码内,这同样可能带来安全隐患。例如,时代华纳有线提供的ARRIS网关默认采用TG1672G02作为其2.4 GHz网络SSID,5 GHz网络则为TG1672G02-5G——二者皆采用TG1672G1E1F02作为默认密码。虽然看似安全,但其中包含了TG1672G这一网关型号以及部分MAC地址。而且,WiFi Analyzer应用可以帮助任意访问者知悉连接WiFi所需要的密码内容。

在了解到默认WiFi密码的构成后,我们完全可以接入到其它采用同样网关设备的网络当中。因此,为了防止使用同类设备所带来的隐患,请花几秒钟时间更改路由器及/或网关设备的默认SSID与登录密码。

 

丢失或被盗WiFi设备可能成为安全隐患

即使采用合格的高强度密码,但如果您的手机、平板乃至笔记本等联网设备丢失,那么拾取者无疑能够借此获得我们的WiFi信息。根据恢复者的知识水平及拾取设备的具体位置,他们甚至能够了解WiFi网络的所处地点。而窃贼能够利用Nirsoft的WirelessKevView等合法程序查看设备上已保存的全部WiFi密码。

因此一旦移动设备丢失,请首先考虑能否对其进行远程锁定甚至清除。另外,最好变更全部该设备曾经接入之网络的登录密码。如果您曾利用其接入企业网络,请马上将情况上报给相关管理者。

另外,对于家庭用户而言,变更联网密码可能问题不大。但对于需要面向大量员工及其设备的企业而言,变更密码则很可能带来一系列麻烦。

此类设备通常提供一种行之有效的密码破解应对办法,但其较为复杂且对基础设施存在一定要求,因此并不适合普通用户。这项功能通常提供“企业模式”WPA或WPA2,其要求不同用户使用惟一的ID与密码进行登录。任何个人帐户都能够独立更改或者撤销,而不会对他人产生影响。

企业模式的弊端在于802.1X用户验证要求在网络上添加一套用于运行RADIUS(即远程认证拨入用户服务)协议的服务器。

因此,如果您运营着一家小型企业或者只打算保护家庭网络安全,同时需要使用多种云及托管服务,那么请尽量不要选择企业模式——这将给管理带来巨大负担。

 

路由器WPS按钮暗藏风险

很多无线路由器上自带的WiFi保护设置(简称WPS)功能能够以一键或者输入PIN码的方式快速保护WiFI网络及联网设备。然而多年之前此项协议中即被发现存在漏洞,意味着黑客能够在无需破解WiFi密码的前提下实现接入。因此,在使用此功能时请务必慎重。

出于安全考虑,请禁用相关设备上的WPS,且千万不要购买无法禁用该功能的产品。另外,及时更新固件以确保该漏洞得到修复。

 

禁用SSID广播实际弊大于利

禁用网络SSID广播的作法同样相当常见。人们普遍认为这能够隐藏自己的网络并确保黑客无法发现我们的网络。但事实证明,这样做弊大于利。

在禁用SSID广播时,我们实际上只是把SSID从WiFi路由器发送给周边设备的网络存在通知内的信令中剔除出来。这些信令负责为笔记本、手机及平板提供周边可用网络列表信息。虽然不包含SSID,对方仍然能够意识到网络的存在,只是将其显示为“隐藏网络”、空白名称或者不显示网络条目,但实际是“隐藏网络”仍会显示在Windows网络列表中。

这意味着无论是否广播SSID,窃听者仍然能够拦截相关WiFi流量。例如SSID会被包含在关联过程中,因此当设备连接或者重连时,窃听者可以借此捕获对应SSID。目前的Kismet、CommView for WiFi以及Airmagnet等工具都能实现这样的效果。

考虑到这一点,请千万不要通过禁用广播来代替加密举措。另外,虽然使用强密码登录后再将SSID禁用能够阻止大多数黑客攻击活动,但这可能会增加后台网络传输流量,进而导致大型网络性能遭受负面影响。

原文标题:Four lesser-known Wi-Fi security threats and how to defend against them,原文作者:Eric Geier

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:wangxuze 来源: 51cto.com
相关推荐

2018-11-06 14:17:23

2009-07-09 17:38:35

2010-01-07 10:05:51

IT顾问特质

2010-06-07 10:14:21

桌面虚拟化

2011-05-03 13:13:52

编程PHPJava

2014-04-22 16:38:12

GitHubGitHub 使用技巧

2023-09-26 12:34:29

Python迭代过滤函数

2022-05-30 09:01:13

CSS技巧前端

2009-09-14 09:45:20

Chrome谷歌操作系统

2014-07-29 14:25:43

Unix命令

2019-10-08 16:24:33

Chrome浏览器

2023-04-23 15:11:26

2015-06-09 11:12:31

Swift语言Swift特性

2015-08-18 10:57:52

机房制冷数据中心

2024-04-30 08:32:18

CSS元素网格

2017-11-08 14:55:16

Linux命令sudo

2017-12-22 11:05:28

云技术混合云信息化

2017-12-12 12:35:07

云安全云服务安全

2019-12-12 20:49:05

JavaScript语言运算符

2009-02-09 09:16:28

热键自注销漏洞

51CTO技术栈公众号