第五單元網(wǎng)絡(luò)安全主要內(nèi)容任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)為了工作方便，奇威公司在辦公區(qū)域安裝了多個無線網(wǎng)絡(luò)器。無線網(wǎng)絡(luò)帶來便捷的同時，也容易遭受攻擊。如果企業(yè)的無線網(wǎng)絡(luò)被攻破，通常情況下，攻擊者能夠順利的進(jìn)入內(nèi)網(wǎng)環(huán)境訪問公司內(nèi)部網(wǎng)絡(luò)敏感資源，或者直接滲透進(jìn)入敏感部門人員使用的計算機獲取重要文檔等。因此，公司領(lǐng)導(dǎo)要求小衛(wèi)介紹一下無線網(wǎng)絡(luò)面臨的安全威脅及安全防護(hù)方法?！救蝿?wù)情境】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)1、 WiFi簡介WiFi普遍的定義是一種允許電子設(shè)備連接到一個無線局域網(wǎng)（WLAN）的技術(shù)，有些WiFi設(shè)置成加密狀態(tài)，也有些WiFi是開放的、不需要密碼即可接入的。最常見的WiFi信號來自于無線路由器，無線路由器如果本身連接到了互聯(lián)網(wǎng)，那么它也可以被稱為熱點。WiFi其實就是一種把有線上網(wǎng)的方式轉(zhuǎn)變?yōu)闊o線上網(wǎng)方式的技術(shù)，幾乎現(xiàn)在所有的智能手機、平板電腦和筆記本電腦都具備WiFi接入功能。WiFi技術(shù)是眾多無線通信技術(shù)中的一個分支，是現(xiàn)在家庭、辦公、酒店、會議場所等常用的一種組網(wǎng)上網(wǎng)方式。【知識準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)2、 WiFi網(wǎng)絡(luò)的硬件組成無線網(wǎng)絡(luò)主要由基本服務(wù)單元（BSS）、站點（station）、接入點（AP）、擴(kuò)展服務(wù)單元（ESS）組成。這里特別說明，在破解WiFi密碼的過程中，BSS可以簡單理解為無線路由器的MAC地址，站點就是已經(jīng)連接到無線路由器的手機、平板等無線終端設(shè)備，接入點AP指無線路由器本身，ESS常見的表現(xiàn)形式是SSID，也就是大家給無線路由器信號設(shè)置的網(wǎng)絡(luò)名稱。組建一套基本的WiFi網(wǎng)絡(luò)環(huán)境，最常見的就是無線路由器和具備無線網(wǎng)卡的上網(wǎng)終端。下圖就是典型的WiFi組網(wǎng)上網(wǎng)示意圖?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【知識準(zhǔn)備】圖5-49WIFI連接示意圖任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)3、 無線網(wǎng)絡(luò)面臨的安全問題目前，無線網(wǎng)絡(luò)所面臨的安全問題主要包括以下幾種類型。（1）由于無線路由器的DNS設(shè)置被暴力篡改，導(dǎo)致用戶在瀏覽網(wǎng)頁過程中出現(xiàn)非法彈窗，或者是進(jìn)入釣魚網(wǎng)站。（2）由于公共場所無線網(wǎng)絡(luò)的開放性，導(dǎo)致黑客對連接該無線網(wǎng)絡(luò)的用戶進(jìn)行監(jiān)聽，用戶信息因此而泄漏。（3）無線網(wǎng)絡(luò)密碼設(shè)置過于簡單，黑客可以采用多種技術(shù)手段在短時間內(nèi)破解密碼，使網(wǎng)絡(luò)風(fēng)險增加。（4）無線網(wǎng)絡(luò)的信號受外部電磁環(huán)境影響較大，不法分子可以利用信號干擾無線網(wǎng)絡(luò)的穩(wěn)定性，甚至影響無線路由器的正常工作?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)4、 無線網(wǎng)絡(luò)安全的防范措施盡管，無線網(wǎng)絡(luò)技術(shù)存在諸多安全風(fēng)險，但是，通過加強以下五個方面的網(wǎng)絡(luò)安全防范措施，無線網(wǎng)絡(luò)存在的風(fēng)險可以大大降低。（1）對無線路由器的SSID進(jìn)行設(shè)置SSID（ServiceSetIdenti?er）是無線路由器的名字，屬于服集標(biāo)識，對于私人無線路由器的設(shè)置方面，因為開啟了SSID廣播功能，將在一定范圍內(nèi)廣播該無線網(wǎng)絡(luò)的名字，也就暴露了網(wǎng)絡(luò)位置，從而導(dǎo)致一定的安全風(fēng)險存在。因此，為確保無線網(wǎng)絡(luò)的安全性，應(yīng)當(dāng)在SSID設(shè)置方面關(guān)閉其廣播功能，并對連接該無線網(wǎng)絡(luò)的移動終端進(jìn)行設(shè)置，使其能夠自由訪問該網(wǎng)絡(luò)。除此之外，由于無線路由器廠商習(xí)慣性的命名方式，在SSID設(shè)置方面通常使用數(shù)字、字母組合的形式，即便關(guān)閉了SSID廣播功能，黑客依然可以借助工具來尋找范圍內(nèi)的無線網(wǎng)絡(luò)?；诖祟惞ぞ叨酁閲夂诳烷_發(fā)設(shè)計，還無法識別中文名字命名的無線網(wǎng)絡(luò)，所以，將SSID修改成中文，能夠有效避免黑客通過此類工具攻擊、控制無線網(wǎng)絡(luò)。【知識準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)（2）啟動無線路由器中的MAC地址過濾功能所謂MAC地址，是指移動數(shù)字終端的硬件地址，該硬件地址具有唯一性，長度為48bit，為16進(jìn)制排列的數(shù)字組合。在無線路由器設(shè)置中，啟動MAC地址過濾，可以有效防止非法MAC地址訪問。然而，基于MAC地址過濾技術(shù)的無線網(wǎng)絡(luò)安全防御策略依然存在漏洞，黑客能夠通過克隆MAC地址的方式接入無線網(wǎng)絡(luò)，因此，在采用MAC地址過濾方法的同時，還應(yīng)與其它技術(shù)相配合，以提高無線網(wǎng)絡(luò)的安全性。（3）更改無線路由器的初始帳號與密碼無論是公共無線網(wǎng)絡(luò)，還是個人無線網(wǎng)絡(luò)，大多數(shù)人在設(shè)置無線網(wǎng)絡(luò)帳號、密碼時，為了圖方便，經(jīng)常默認(rèn)無線路由器的出廠設(shè)置，甚至是不對無線路由器進(jìn)行加密。這些無線路由器的帳號、密碼較為簡單，如不加以修改，他人可以輕松進(jìn)入無線網(wǎng)絡(luò)系統(tǒng)，進(jìn)而對網(wǎng)絡(luò)安全造成隱患。因此，在設(shè)置無線路由器的過程中，注意修改默認(rèn)的無線網(wǎng)絡(luò)名稱，并盡量使用復(fù)雜的字母、數(shù)字、符號排列模式，提高無線互聯(lián)網(wǎng)的安全性?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)（4）選擇正確的無線路網(wǎng)絡(luò)加密模式提高無線網(wǎng)絡(luò)安全性的指標(biāo)之一就是選擇相對應(yīng)的加密模式，目前，無線路由器的主要加密方法有WEP技術(shù)、WPA技術(shù)和WPA2三種類型。其中，作為最早的無線網(wǎng)絡(luò)加密方式，WEP存在大量的安全漏洞，作為替代技術(shù)的WPA雖然采用了動態(tài)加密協(xié)議，卻依然則能夠通過詞典窮舉的方法進(jìn)行破解，后期的WPA2加密方式則是在WPA的基礎(chǔ)上增加了AES加密技術(shù)，提高了無線網(wǎng)絡(luò)的安全性。（5）關(guān)閉無線路由器的WPS功能WPS技術(shù)是Wi-Fi的一種可選設(shè)置，啟用WPS設(shè)置，能夠簡化無線網(wǎng)絡(luò)配置過程中繁瑣的步驟，同樣也包括無線網(wǎng)絡(luò)加密設(shè)置。然而，當(dāng)前WPS一鍵設(shè)置功能所實用的字符串是隨機的，所以，黑客能夠利用軟件進(jìn)行破解，從而進(jìn)入無線路由器內(nèi)部進(jìn)行管理。在這種情況下，應(yīng)當(dāng)關(guān)閉無線路由器的WPS一鍵設(shè)置功能，通過人工設(shè)置提高網(wǎng)絡(luò)的安全性?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)5、 關(guān)于移動終端無線上網(wǎng)安全的幾點建議隨著移動終端的普及，通過移動終端訪問網(wǎng)絡(luò)已經(jīng)成為網(wǎng)絡(luò)發(fā)展的流行趨勢，因此，在關(guān)注基于無線路由器的無線網(wǎng)絡(luò)安全時，關(guān)于移動終端無線上網(wǎng)安全也應(yīng)當(dāng)提高警惕。（1）謹(jǐn)慎接入公共無線網(wǎng)絡(luò)為方便人們上網(wǎng)，一些大型商場、公共設(shè)施、娛樂場所均提供免費Wi-Fi服務(wù)，這些Wi-Fi中，也包括黑客在公共場所布置的無需密碼即可上網(wǎng)的無線網(wǎng)絡(luò)，當(dāng)移動終端接入此類網(wǎng)絡(luò)后，相關(guān)信息均通過后臺被黑客獲取，存在較大安全隱患。因此，在使用移動終端連接公共無線網(wǎng)絡(luò)時，應(yīng)提高警惕性，關(guān)閉移動終端的無線網(wǎng)絡(luò)自動接入功能，避免連接不明網(wǎng)絡(luò)，造成信息泄漏等網(wǎng)絡(luò)安全問題?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)（2）安裝網(wǎng)絡(luò)安全防護(hù)軟件移動終端因體積、能耗等問題，無法通過硬件進(jìn)行網(wǎng)絡(luò)安全防護(hù)，在接入無線網(wǎng)絡(luò)時，必然面臨被黑客入侵等一系列危險。針對此類情況，國內(nèi)大型網(wǎng)絡(luò)安全公司均提供了免費防護(hù)軟件，這些安全防護(hù)軟件不僅能夠?qū)τ脩暨B接的外部網(wǎng)絡(luò)進(jìn)行甄別，還能夠?qū)崟r監(jiān)控手機安全狀態(tài)，在必要時，對安全風(fēng)險因素進(jìn)行攔截，并提醒用戶，使無線網(wǎng)絡(luò)接入更加安全?！局R準(zhǔn)備】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)目前企業(yè)和家庭基本都是利用無線路由器創(chuàng)建自己的無線網(wǎng)絡(luò)，本次任務(wù)我們以TP-LINK無線路由器為例進(jìn)行相應(yīng)的安全設(shè)置，學(xué)習(xí)掌握如何安全配置無線路由器，以減少無線網(wǎng)絡(luò)帶來的安全問題。步驟1：創(chuàng)建管理員的登錄密碼。這里的密碼要盡量設(shè)置復(fù)雜一些，如字母、數(shù)字及特殊符號的組合，不要使用12345、admin等弱口令?！救蝿?wù)實施】圖5-50打開WINFI登錄界面任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)步驟2：設(shè)置無線網(wǎng)絡(luò)接入名稱及密碼。盡量不要使用路由相關(guān)和自己相關(guān)的無線名稱，最好更改為中文名稱并關(guān)閉無線廣播功能，設(shè)置完成后單擊“保存”按鈕，如下圖所示?！救蝿?wù)實施】圖5-51設(shè)置無線網(wǎng)絡(luò)名稱和密碼任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)步驟3：訪客網(wǎng)絡(luò)設(shè)置。進(jìn)入應(yīng)用管理設(shè)置如下圖5-55所示，點擊訪客網(wǎng)絡(luò)的的“進(jìn)入”按鈕，進(jìn)入到訪客網(wǎng)絡(luò)的詳細(xì)設(shè)置界面如下圖5-56所示，除了要設(shè)置連接密碼外，從安全的角度更要設(shè)置不準(zhǔn)許訪問內(nèi)網(wǎng)資源。【任務(wù)實施】圖5-52進(jìn)入訪客網(wǎng)絡(luò)設(shè)置圖5-53對訪客網(wǎng)絡(luò)進(jìn)行安全設(shè)置任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)步驟4：管理員身份限定設(shè)置。無線路由器默認(rèn)情況下，任何設(shè)備都可以通過后臺登錄頁面對路由器進(jìn)行管理，存在較大的安全隱患?？梢酝ㄟ^設(shè)置特定MAC地址登錄的方式，限制管理路由器的設(shè)備。在應(yīng)用管理中，進(jìn)入“管理員身份設(shè)定”功能，在下來菜單中選擇“僅允許指定MAC地址的設(shè)備管理路由器”，如下圖5-57所示。選擇“從已連接設(shè)備中選擇添加”，如下圖5-58所示。從彈出的對話框中，勾選要做為為管理的設(shè)備，如下圖5-59所示。選擇完成后點擊“保存”按鈕，即刻生效，如下圖5-60所示。提示：也可以手動輸入MAC地址的方式進(jìn)行設(shè)置?！救蝿?wù)實施】圖5-54僅允許指定MAC地址的設(shè)備管理路由器任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【任務(wù)實施】圖5-55選擇從已連接設(shè)備中選擇添加任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【任務(wù)實施】圖5-56勾選管理設(shè)備任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【任務(wù)實施】圖5-57點擊“保存”按鈕任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)步驟5：無線設(shè)備接入控制設(shè)置。為了進(jìn)一步提升安全性，小衛(wèi)決定對網(wǎng)絡(luò)準(zhǔn)入進(jìn)行更嚴(yán)格的控制，即使無線密碼被破解或者泄露也無法隨意接入網(wǎng)絡(luò)。首先開啟“無線接入控制功能”，如下圖5-61所示。然后添加允許接入的設(shè)備，有兩種方法，一種是選擇目前已經(jīng)接入網(wǎng)絡(luò)的設(shè)備進(jìn)行綁定，另一種是手工輸入MAC地址的方式，在本任務(wù)中，小衛(wèi)選擇了第一種。在允許接入設(shè)備列表中，單擊“選擇設(shè)備添加”按鈕，如下圖5-62所示。完成后，允許接入設(shè)備列表就出現(xiàn)了剛才勾選的設(shè)備，最后點擊“保存”按鈕設(shè)置生效，如下圖5-63所示。【任務(wù)實施】任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【任務(wù)實施】圖5-58開啟“接入控制功能”按鈕任務(wù)4無線網(wǎng)絡(luò)安全防護(hù)【任務(wù)實施】圖