《信息安全技术基础》课件 5.4无线网络安全防护

第五单元网络安全主要内容任务4无线网络安全防护任务4无线网络安全防护为了工作方便，奇威公司在办公区域安装了多个无线网络器。无线网络带来便捷的同时，也容易遭受攻击。如果企业的无线网络被攻破，通常情况下，攻击者能够顺利的进入内网环境访问公司内部网络敏感资源，或者直接渗透进入敏感部门人员使用的计算机获取重要文档等。因此，公司领导要求小卫介绍一下无线网络面临的安全威胁及安全防护方法。【任务情境】任务4无线网络安全防护1、 WiFi简介WiFi普遍的定义是一种允许电子设备连接到一个无线局域网（WLAN）的技术，有些WiFi设置成加密状态，也有些WiFi是开放的、不需要密码即可接入的。最常见的WiFi信号来自于无线路由器，无线路由器如果本身连接到了互联网，那么它也可以被称为热点。WiFi其实就是一种把有线上网的方式转变为无线上网方式的技术，几乎现在所有的智能手机、平板电脑和笔记本电脑都具备WiFi接入功能。WiFi技术是众多无线通信技术中的一个分支，是现在家庭、办公、酒店、会议场所等常用的一种组网上网方式。【知识准备】任务4无线网络安全防护2、 WiFi网络的硬件组成无线网络主要由基本服务单元（BSS）、站点（station）、接入点（AP）、扩展服务单元（ESS）组成。这里特别说明，在破解WiFi密码的过程中，BSS可以简单理解为无线路由器的MAC地址，站点就是已经连接到无线路由器的手机、平板等无线终端设备，接入点AP指无线路由器本身，ESS常见的表现形式是SSID，也就是大家给无线路由器信号设置的网络名称。组建一套基本的WiFi网络环境，最常见的就是无线路由器和具备无线网卡的上网终端。下图就是典型的WiFi组网上网示意图。【知识准备】任务4无线网络安全防护【知识准备】图5-49WIFI连接示意图任务4无线网络安全防护3、 无线网络面临的安全问题目前，无线网络所面临的安全问题主要包括以下几种类型。（1）由于无线路由器的DNS设置被暴力篡改，导致用户在浏览网页过程中出现非法弹窗，或者是进入钓鱼网站。（2）由于公共场所无线网络的开放性，导致黑客对连接该无线网络的用户进行监听，用户信息因此而泄漏。（3）无线网络密码设置过于简单，黑客可以采用多种技术手段在短时间内破解密码，使网络风险增加。（4）无线网络的信号受外部电磁环境影响较大，不法分子可以利用信号干扰无线网络的稳定性，甚至影响无线路由器的正常工作。【知识准备】任务4无线网络安全防护4、 无线网络安全的防范措施尽管，无线网络技术存在诸多安全风险，但是，通过加强以下五个方面的网络安全防范措施，无线网络存在的风险可以大大降低。（1）对无线路由器的SSID进行设置SSID（ServiceSetIdentifier）是无线路由器的名字，属于服集标识，对于私人无线路由器的设置方面，因为开启了SSID广播功能，将在一定范围内广播该无线网络的名字，也就暴露了网络位置，从而导致一定的安全风险存在。因此，为确保无线网络的安全性，应当在SSID设置方面关闭其广播功能，并对连接该无线网络的移动终端进行设置，使其能够自由访问该网络。除此之外，由于无线路由器厂商习惯性的命名方式，在SSID设置方面通常使用数字、字母组合的形式，即便关闭了SSID广播功能，黑客依然可以借助工具来寻找范围内的无线网络。基于此类工具多为国外黑客开发设计，还无法识别中文名字命名的无线网络，所以，将SSID修改成中文，能够有效避免黑客通过此类工具攻击、控制无线网络。【知识准备】任务4无线网络安全防护（2）启动无线路由器中的MAC地址过滤功能所谓MAC地址，是指移动数字终端的硬件地址，该硬件地址具有唯一性，长度为48bit，为16进制排列的数字组合。在无线路由器设置中，启动MAC地址过滤，可以有效防止非法MAC地址访问。然而，基于MAC地址过滤技术的无线网络安全防御策略依然存在漏洞，黑客能够通过克隆MAC地址的方式接入无线网络，因此，在采用MAC地址过滤方法的同时，还应与其它技术相配合，以提高无线网络的安全性。（3）更改无线路由器的初始帐号与密码无论是公共无线网络，还是个人无线网络，大多数人在设置无线网络帐号、密码时，为了图方便，经常默认无线路由器的出厂设置，甚至是不对无线路由器进行加密。这些无线路由器的帐号、密码较为简单，如不加以修改，他人可以轻松进入无线网络系统，进而对网络安全造成隐患。因此，在设置无线路由器的过程中，注意修改默认的无线网络名称，并尽量使用复杂的字母、数字、符号排列模式，提高无线互联网的安全性。【知识准备】任务4无线网络安全防护（4）选择正确的无线路网络加密模式提高无线网络安全性的指标之一就是选择相对应的加密模式，目前，无线路由器的主要加密方法有WEP技术、WPA技术和WPA2三种类型。其中，作为最早的无线网络加密方式，WEP存在大量的安全漏洞，作为替代技术的WPA虽然采用了动态加密协议，却依然则能够通过词典穷举的方法进行破解，后期的WPA2加密方式则是在WPA的基础上增加了AES加密技术，提高了无线网络的安全性。（5）关闭无线路由器的WPS功能WPS技术是Wi-Fi的一种可选设置，启用WPS设置，能够简化无线网络配置过程中繁琐的步骤，同样也包括无线网络加密设置。然而，当前WPS一键设置功能所实用的字符串是随机的，所以，黑客能够利用软件进行破解，从而进入无线路由器内部进行管理。在这种情况下，应当关闭无线路由器的WPS一键设置功能，通过人工设置提高网络的安全性。【知识准备】任务4无线网络安全防护5、 关于移动终端无线上网安全的几点建议随着移动终端的普及，通过移动终端访问网络已经成为网络发展的流行趋势，因此，在关注基于无线路由器的无线网络安全时，关于移动终端无线上网安全也应当提高警惕。（1）谨慎接入公共无线网络为方便人们上网，一些大型商场、公共设施、娱乐场所均提供免费Wi-Fi服务，这些Wi-Fi中，也包括黑客在公共场所布置的无需密码即可上网的无线网络，当移动终端接入此类网络后，相关信息均通过后台被黑客获取，存在较大安全隐患。因此，在使用移动终端连接公共无线网络时，应提高警惕性，关闭移动终端的无线网络自动接入功能，避免连接不明网络，造成信息泄漏等网络安全问题。【知识准备】任务4无线网络安全防护（2）安装网络安全防护软件移动终端因体积、能耗等问题，无法通过硬件进行网络安全防护，在接入无线网络时，必然面临被黑客入侵等一系列危险。针对此类情况，国内大型网络安全公司均提供了免费防护软件，这些安全防护软件不仅能够对用户连接的外部网络进行甄别，还能够实时监控手机安全状态，在必要时，对安全风险因素进行拦截，并提醒用户，使无线网络接入更加安全。【知识准备】任务4无线网络安全防护目前企业和家庭基本都是利用无线路由器创建自己的无线网络，本次任务我们以TP-LINK无线路由器为例进行相应的安全设置，学习掌握如何安全配置无线路由器，以减少无线网络带来的安全问题。步骤1：创建管理员的登录密码。这里的密码要尽量设置复杂一些，如字母、数字及特殊符号的组合，不要使用12345、admin等弱口令。【任务实施】图5-50打开WINFI登录界面任务4无线网络安全防护步骤2：设置无线网络接入名称及密码。尽量不要使用路由相关和自己相关的无线名称，最好更改为中文名称并关闭无线广播功能，设置完成后单击“保存”按钮，如下图所示。【任务实施】图5-51设置无线网络名称和密码任务4无线网络安全防护步骤3：访客网络设置。进入应用管理设置如下图5-55所示，点击访客网络的的“进入”按钮，进入到访客网络的详细设置界面如下图5-56所示，除了要设置连接密码外，从安全的角度更要设置不准许访问内网资源。【任务实施】图5-52进入访客网络设置图5-53对访客网络进行安全设置任务4无线网络安全防护步骤4：管理员身份限定设置。无线路由器默认情况下，任何设备都可以通过后台登录页面对路由器进行管理，存在较大的安全隐患。可以通过设置特定MAC地址登录的方式，限制管理路由器的设备。在应用管理中，进入“管理员身份设定”功能，在下来菜单中选择“仅允许指定MAC地址的设备管理路由器”，如下图5-57所示。选择“从已连接设备中选择添加”，如下图5-58所示。从弹出的对话框中，勾选要做为为管理的设备，如下图5-59所示。选择完成后点击“保存”按钮，即刻生效，如下图5-60所示。提示：也可以手动输入MAC地址的方式进行设置。【任务实施】图5-54仅允许指定MAC地址的设备管理路由器任务4无线网络安全防护【任务实施】图5-55选择从已连接设备中选择添加任务4无线网络安全防护【任务实施】图5-56勾选管理设备任务4无线网络安全防护【任务实施】图5-57点击“保存”按钮任务4无线网络安全防护步骤5：无线设备接入控制设置。为了进一步提升安全性，小卫决定对网络准入进行更严格的控制，即使无线密码被破解或者泄露也无法随意接入网络。首先开启“无线接入控制功能”，如下图5-61所示。然后添加允许接入的设备，有两种方法，一种是选择目前已经接入网络的设备进行绑定，另一种是手工输入MAC地址的方式，在本任务中，小卫选择了第一种。在允许接入设备列表中，单击“选择设备添加”按钮，如下图5-62所示。完成后，允许接入设备列表就出现了刚才勾选的设备，最后点击“保存”按钮设置生效，如下图5-63所示。【任务实施】任务4无线网络安全防护【任务实施】图5-58开启“接入控制功能”按钮任务4无线网络安全防护【任务实施】图