什么是无线网络安全

其核心目标是确保：

1.  机密性： 只有授权用户才能访问通过网络传输的数据（防止窃听）。

2.  完整性： 确保数据在传输过程中不被篡改。

3.  可用性： 确保合法用户能够可靠地访问网络资源（防止拒绝服务攻击）。

4.  访问控制： 只允许授权设备连接到网络。

• 信号容易被截获： 任何在信号覆盖范围内的设备都有可能“听到”传输的数据。
• 攻击者无需物理连接： 攻击者可以在停车场、隔壁房间或街对面发起攻击，而无需物理接触网络线缆。

①威胁： 攻击者使用无线嗅探工具捕获在空气中传播的数据包。

②风险： 如果数据未加密或加密强度弱，攻击者可以读取电子邮件、登录凭证、聊天记录、浏览历史等敏感信息。

2. 未经授权的访问：

①威胁： 攻击者连接到未受保护或保护薄弱的无线网络。

②风险：

• 带宽盗用： 占用你的网络带宽，导致网速变慢。
• 非法活动： 利用你的网络进行黑客攻击、下载非法内容等，使你承担法律责任。
• 内部网络渗透： 如果攻击者连接到你的家庭或办公网络，他们可能尝试访问你网络上的其他设备（如电脑、打印机、NAS存储、智能家居设备）。

3. 中间人攻击：

①威胁： 攻击者在你（客户端）和合法的无线接入点之间建立一个“恶意”接入点，或者设法让自己成为通信的中间节点。

②风险： 你的所有网络流量都经过攻击者的设备，他们可以窃听、篡改你访问的网站内容（如插入恶意代码）、窃取登录凭证等。常见手段包括“Evil Twin”攻击（假冒合法Wi-Fi热点）。

4. 拒绝服务攻击：

①威胁： 攻击者发送大量干扰信号或特定的管理帧，淹没无线网络或接入点。

②风险： 导致合法用户无法连接到网络或网络连接极其不稳定。

5. 密码破解：

①威胁： 针对使用弱密码或老旧、易破解加密协议（如WEP）的网络，攻击者使用工具进行暴力破解或利用协议漏洞恢复出网络密码。

②风险： 获得网络的完全访问权限。

6. 配置不当：

①威胁： 路由器或接入点使用默认管理员密码、启用不安全的服务（如WPS）、未及时更新固件修补已知漏洞等。

②风险： 为攻击者大开方便之门，使其更容易控制你的网络设备。

• 首选：WPA3。这是目前最安全、最新的Wi-Fi加密标准。它引入了强大的“Simultaneous Authentication of Equals”，能有效防止离线密码猜测攻击，并提供更强的数据加密。
• 次选（如果设备不支持WPA3）：WPA2-AES。这是之前的主流标准，使用CCMP/AES加密，目前仍然是安全的，但前提是使用强密码。绝对避免使用 WEP 和 WPA-TKIP，它们已被证明非常容易被破解。

2.  设置强密码：

• Wi-Fi密码： 长度至少12-15个字符，包含大小写字母、数字和符号。避免使用字典单词、个人信息或简单序列。定期更换。
• 路由器管理密码： 必须更改默认管理员用户名和密码！这是防止攻击者控制你路由器的关键。

3.  更改默认SSID：

修改无线网络的名称（SSID）。虽然这不能隐藏网络，但避免使用默认名称（如“Linksys”或“NETGEAR”）可以避免暴露路由器型号，减少被针对性攻击的风险。

4.  禁用WPS：

Wi-Fi Protected Setup 本意是方便连接设备，但存在设计缺陷（尤其是PIN码方式），容易被暴力破解。强烈建议在路由器设置中禁用WPS功能。

5.  启用网络防火墙：

确保路由器内置的防火墙处于开启状态，以阻止来自互联网的恶意流量。

6.  禁用远程管理：

除非有特殊需求，否则关闭路由器设置界面的“远程管理”或“从互联网访问”功能。这样只能从你的内部网络访问管理界面。

7.  保持固件更新：

至关重要！ 路由器制造商会发布固件更新来修复安全漏洞。定期检查并安装最新固件是维护网络安全的重要环节。

8.  启用客户端隔离（访客网络）：

• 访客网络： 为访客创建一个独立的无线网络（使用不同的SSID和密码）。启用“客户端隔离”或“AP隔离”功能，防止访客设备访问你的主网络内部设备（如你的电脑、NAS）。
• 主网络隔离（可选）： 一些高级路由器允许在主网络内部也启用设备间的隔离，增强内部安全性。

9.  关闭网络时：

如果长时间不使用网络（如外出度假），可以关闭无线路由器。

10.  谨慎使用公共Wi-Fi：

避免在公共Wi-Fi上进行敏感操作（如网银、登录重要账户）。如果必须使用，务必连接 VPN 来加密你的所有流量。

11.  高级企业级安全：

• 802.1X/EAP： 在企业环境中，使用基于证书或用户名/密码的强身份认证（如EAP-TLS, PEAP-MSCHAPv2），通常配合RADIUS服务器。
• 无线入侵检测/防御系统： 监控无线环境，检测并阻止恶意活动。

• 初始配置优化：首次登录后立即修改默认管理账号密码（如路由器 IP 192.168.1.1 的默认账号 “admin”）。
• 自定义 SSID 名称，避免包含个人信息（如 “Zhang's Home Wi-Fi”），降低被针对性攻击的风险。
• 物理安全防护：将 AP 放置在隐蔽且不易接触的位置，防止被恶意接入或篡改硬件（如插入 U 盘植入恶意程序）。
• 禁用 AP 的 USB 接口或其他扩展端口（若无需使用）。

 

2. 企业级 AP 安全部署

• 集中管理与监控：通过 AC（无线控制器）统一管理所有 AP，实时查看设备状态、流量异常及安全事件日志。
• 配置告警规则，当 AP 出现固件异常、接入未知设备或遭受攻击时自动通知管理员。
• 射频资源管理：自动调整 AP 的发射功率和工作信道，避免同频干扰或被恶意设备利用弱信号区域渗透。
• 使用频谱分析工具检测非法 AP 或干扰源，及时定位并排除。

 

3. 公共场景 AP 安全（如机场、商场）

• 强制门户（Captive Portal）：用户连接后需通过短信验证、微信认证或网页登录等方式完成身份确认，防止匿名接入带来的安全隐患。
• 流量限速与行为审计：对访客网络设置带宽上限，避免被用于 P2P 下载或 DDoS 攻击；记录用户上网日志（如 IP、访问时间），便于安全事件追溯。