WiFi安全的简单介绍


=Start=

缘由:

趁着周末有时间简单学习记录一下WiFi相关的知识,方便以后参考,这一篇记录的主要是WiFi安全相关的内容和建议。

正文:

参考解答:
1. 无线安全协议
WEP – Wired Equivalent Privacy

WEP是有线等效加密的简称,它是IEEE 802.11无线网络的安全算法,可在900 MHz和2.4,3.6,5及60 GHz频带进行通信。WEP于1997年首次推出,之后一直作为主要的WiFi安全算法为用户所使用,直到2003年被Wi-Fi保护访问(WPA)取代,后被宣布弃用。

标准64位WEP所使用的只是一个40位密钥,而且这个密钥是在用户之间共享的,这就为大型机构解决安全问题带来了一系列困难。首个WEP漏洞曝光于2001年,FBI公开表示,普通用户利用网上可免费下载的工具在3分钟内即可能使受WEP保护的网络发生崩溃。

如今,WEP在全球范围内仅为3%的接入点所使用。大多数新路由器甚至并未向其用户提供该选项,同时那些提供WEP使用选项的路由器也会显示警告信息,为用户披露WEP安全算法的众多缺点。

WPA/WPA2

Wi-Fi保护访问(WPA)和Wi-Fi保护访问II(WPA2)是由Wi-Fi联盟开发的安全算法,用于解决WEP安全算法所固有的一系列缺点。

WPA2目前几乎为70%的WiFi路由器所使用,而且大多数路由器制造商已经将其设为默认安全选项。WPA2依赖于高级加密标准(AES)分组密码,这是一种用于加密国家安全局(NSA)批准的用于最高机密信息的电子数据的规范。

尽管WPA2的安全性相比WEP得到了显著的提升,但这并不代表WPA2是完美的。可以说,WPA2最大的问题在于如果用户依赖于弱密码的话,那么它仍然容易受到密码破解的攻击。Wi-Fi联盟想要通过WPA3来修复这个问题,但是WPA3至少需要几年的时间才能得到广泛应用。在此之前,用户应当学习如何创建强密码。


这里是当前从优到劣的WiFi安全方法的基本排名:

  1. WPA2 + AES
  2. WPA + AES
  3. WPA + TKIP/AES (TKIP在这里是作为回退方法)
  4. WPA + TKIP
  5. WEP
  6. 开放网络 (一点也不安全)

最好的方法是停用Wi-Fi保护设置(WPS)并将路由器设置为WPA2 + AES。

2. 常见的家庭WiFi安全问题
  • 被蹭网——主要由弱密码或空密码导致,也存在由类似KRACK漏洞被利用导致
  • 会话劫持——在被蹭网的基础上,路由器管理权限也被获取(空密码、弱密码、默认密码;低版本漏洞;全版本后门)
  • 账号泄露——网络嗅探、dns劫持、会话劫持……
  • 隐私泄露——在账号泄露的基础上进一步出现了隐私泄露……
3. 有用的WiFi安全建议
外部

尽量不要将自己的设备连接进公共的Wi-Fi。即使连入公共Wi-Fi,不要使用涉及到个人隐私的应用,如邮箱,微信,微博,淘宝等(还有就是不同的应用之间不要用相同或相似的帐号密码)。

为进一步保证安全性,可以选择使用加密的网络,比如支持“HTTPS”的网站。另外,如果条件允许,可以考虑使用带动态密码验证的VPN,或对传输的文件进行加密。

家里
  • 选择一个强密码
  • 及时更新您的路由器系统/版本
  • 借助应用/工具及时监测家里的无线网络状态
参考链接:

Wi-Fi 安全协议
https://blog.csdn.net/xiaozy115/article/details/102663326

Wi-Fi 安全协议 – WEP
https://blog.csdn.net/xiaozy115/article/details/102699613

Wi-Fi 安全协议 – WPA
https://blog.csdn.net/xiaozy115/article/details/102745042

Wi-Fi 安全协议 – RSN
https://blog.csdn.net/xiaozy115/article/details/102794855

Wi-Fi 安全协议 – EAP
https://blog.csdn.net/xiaozy115/article/details/102897336

Wi-Fi 安全协议 – 802.1X
https://blog.csdn.net/xiaozy115/article/details/102930808

WLAN 安全协议 – WAPI
https://blog.csdn.net/xiaozy115/article/details/103084841

聊聊安全那些事儿 篇一:Wi-Fi安全浅析
https://post.smzdm.com/p/429718/

https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy

https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access

https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

https://en.wikipedia.org/wiki/CCMP_(cryptography)

https://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol

802.11 无线网络加密介绍
https://zhuanlan.zhihu.com/p/51695002

WiFi安全技术 一:WiFi安全基础知识
https://xz.aliyun.com/t/361
https://xz.aliyun.com/search?keyword=WIFI

如何隐藏WiFi信号(别人搜不到)?
https://service.tp-link.com.cn/detail_article_2977.html

有关WiFi安全
https://www.netspotapp.com/cn/all-about-wifi-security.html

无线安全协议:WEP, WPA, WPA2, 和 WPA3
https://www.netspotapp.com/cn/wifi-encryption-and-security.html

Get started with Wi-Fi
https://www.digi.com/resources/documentation/digidocs/embedded/dey/2.4/cc6/bsp_r_wifi-get-started#wpa_cli

About WPA PSK TKIP CCMP – Wi-Fi Security Information
https://www.acrylicwifi.com/en/blog/about-wpa-psk-tkip-ccmp-wi-fi-security-information/

=END=

, ,

《“WiFi安全的简单介绍”》 有 6 条评论

  1. WPA
    https://zh.wikipedia.org/wiki/WPA
    `
    WPA(英语:Wi-Fi Protected Access),意即“Wi-Fi访问保护”,是一种保护无线网络(Wi-Fi)访问安全的技术标准。它是应研究者在前一代的有线等效加密(WEP)系统中找到的几个严重的弱点而产生的。目前广泛实现的有WPA、WPA2两个标准,WPA实现了IEEE 802.11i标准的大部分,是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上,但未必能用在第一代的无线接入点上。WPA2具备完整的标准体系,但其不能被应用在某些旧型的网卡上。WPA和WPA2这两个标准都提供了不错的保全能力,但也都存在自己的问题:
    · WPA或WPA2一定要引导并且被选来代替WEP才能生效,但是在某些旧设备的安装指引或默认配置中,WEP标准是默认选项。
    · 在使用家中和小型办公室最可能选用的“个人”(Personal)模式时,为了保全的完整性,所需的密语一定要比过去用户所设置的六到八个字符的密码还长。

    目前最新版标准是2018年1月发表的WPA3。

    预共享密钥模式(pre-shared key (PSK),又称为”-Personal”,即“-个人模式”)是针对承担不起802.1X认证服务器的成本和复杂度的家庭或小型公司网络设计和使用的,每一个用户必须输入预先配置好的相同的密钥来接入网络,而密钥可以是8到63个ASCII字符、或是64个16进制数字(256比特)。用户可以自行斟酌要不要把密钥存在电脑里以省去重复键入的麻烦,但密钥一定要预先配置在Wi-Fi路由器里。

    Wi-Fi联盟已经发布了在WPA及WPA2企业版的认证计划里增加EAP(可扩展认证协议)的消息,这是为了确保通过WPA企业版认证的产品之间可以互通。
    `

    什么是WPA-PSK/ WPA2-PSK, TKIP 和 AES?
    https://support.brother.com/g/b/faqend.aspx?c=cn&lang=zh&prod=p900wcheas&faqid=faqp00100020_000
    `
    WPA简称Wi-Fi®保护访问机制,是一个无线局域网数据加密标准。它改善了WEP的安全功能的使用可扩展身份验证协议(EAP)进行安全的网络访问和数据安全传输的加密方法。

    WPA是专为使用802.1x认证服务器,给每个用户分配不同的钥匙。然而,它也可以用在一个不安全的“预共享密钥(PSK)”模式。PSK是专为家庭和小型办公网络用户有相同的密码。也被称为WPA预共享密钥。WPA-PSK使兄弟无线机采用TKIP或AES加密方法接入点关联。WPA2-PSK使兄弟无线机使用AES加密方法接入点关联。

    TKIP(为临时密钥完整性协议的简称)是一种加密方法。TKIP提供每包密钥将消息完整性和密钥更新机制。

    AES(高级加密标准的简称)是Wi-Fi®授权强加密标准。

    WPA-PSK/WPA2-PSK 和 TKIP 或 AES 使用共享密钥 (PSK)的字符长度最少8个字符,最多63个字符。
    `

  2. A Method for Comparing and Analyzing Wireless Security Situations in Two Capital Cities
    http://acta.uni-obuda.hu/Dobrilovic_Stojanov_Jager_Rajnai_70.pdf
    `
    Generally, WEP uses WEP encryption, WPA uses TKIP, and WPA2 uses CCMP.
    There is a possibility that WPA or WPA2 method uses both TKIP and CCMP due to the vendor’s attempt to maintain legacy compatibility.
    The personal WPA and WPA2 use PSK (Pre-shared key) for local authentication and Enterprise WPA and WPA2 use 802.1x (EAP) and an external authentication server (RADIUS).

    2.5 Wireless Authentication
    (2.5.0 empty auth)
    2.5.1 Personal Networks
    2.5.2 Enterprise Networks
    `

  3. 无线局域网路由器和接入点的推荐设置
    https://support.apple.com/zh-cn/HT202068
    `
    # 安全性
    设置为WPA3 个人级以提高安全性
    设置为WPA2/WPA3 过渡级以兼容旧款设备

    安全性设置定义了您的路由器所用的认证和加密类型,以及通过路由器网络传输的数据的隐私保护级别。无论您选取哪种设置,请务必要设置一个高安全性密码来加入网络。
    * WPA3 个人级是目前可用于无线局域网设备的最新、最安全的协议。它适用于所有支持 Wi-Fi 6 (802.11ax) 无线局域网的设备以及某些旧款设备。
    * WPA2/WPA3 过渡级是一种混合模式,能够将 WPA3 个人级应用于支持这种安全协议的设备,同时允许旧款设备使用 WPA2 个人级 (AES)。
    * WPA2 个人级 (AES)是您在无法使用上述任何更安全的模式时的适当之选。在这种情况下,还要选取 AES 作为加密或密码类型(如果可用)。

    # 避免在路由器上使用的低安全性设置
    请勿创建或加入使用已弃用的旧安全协议的网络。以下这些协议都不再安全,它们会降低网络可靠性和网络性能,并会导致您的设备显示一条安全警告:
    * WPA/WPA2 混合模式
    * WPA 个人级
    * WEP,包括开放式 WEP、共享式 WEP、WEP 过渡安全网络或动态 WEP(附带 802.1X 的 WEP)
    * TKIP,包括名称中包含 TKIP 的任何安全性设置
    另外,强烈建议不要使用关闭安全功能的设置,例如“None”(无)、“Open”(开放)或“Unsecured”(不安全)。关闭安全功能会停用认证和加密,并允许任何人加入您的网络,访问网络上的共享资源(包括打印机、电脑和智能设备),使用您的互联网连接,以及监控您访问的网站和通过您的网络或互联网连接传输的其他数据。即使安全功能只是暂时关闭或只对客人网络关闭,依然存在这种风险。

    # 隐藏网络

    路由器可能会配置为隐藏网络名称 (SSID)。您的路由器可能会错误地使用“closed”(关闭)表示隐藏,使用“broadcast”(广播)表示未隐藏。
    隐藏网络名称并不能隐藏网络使其不被发现,也无法保护网络免受未经授权的访问。此外,由于设备搜索和连接无线局域网的方式,使用隐藏网络可能会暴露一些信息,进而通过这些信息有可能识别到您和您所使用的隐藏网络(例如您的家庭网络)。正是因为这种隐私风险,当连接到隐藏网络时,您的设备可能会显示隐私警告。

    为确保安全访问您的网络,请改用适当的安全性设置。

    # MAC 地址过滤、认证和访问控制

    启用这项功能后,路由器可设置为仅允许具有指定 MAC(媒体访问控制)地址的设备加入网络。出于以下原因,您不应依靠这项功能来防止网络受到未经授权的访问:
    * 这一功能无法阻止网络观察程序监视或拦截网络上的流量。
    * 可能很容易拷贝、伪造(假冒)或更改 MAC 地址。
    * 为了帮助保护用户隐私,有些 Apple 设备会在每个无线局域网上使用不同的 MAC 地址。

    为确保安全访问您的网络,请改用适当的安全性设置。
    `

发表评论

您的电子邮箱地址不会被公开。