WiFi安全为何重要
无线网络已经成为我们日常生活中不可或缺的基础设施。然而,WiFi的便利性也带来了安全隐患。与有线网络不同,无线信号可以穿越墙壁被周围的任何设备接收。一个不安全的WiFi网络就像一扇敞开的门,任何人都可以窥探你的网络活动。
Kaspersky的研究显示,全球约25%的WiFi热点没有使用任何加密,而使用过时WEP加密的网络仍有约6%。
WiFi加密协议演进
| 协议 | 发布年份 | 加密方式 | 安全性 | 当前状态 |
|---|---|---|---|---|
| WEP | 1997 | RC4 | 极弱 | 已淘汰 |
| WPA | 2003 | TKIP | 弱 | 不推荐 |
| WPA2-Personal | 2004 | AES-CCMP | 中 | 可接受 |
| WPA2-Enterprise | 2004 | AES-CCMP+802.1X | 高 | 推荐 |
| WPA3-Personal | 2018 | SAE+AES-GCMP | 高 | 强烈推荐 |
| WPA3-Enterprise | 2018 | 192位加密套件 | 极高 | 企业推荐 |
WPA3引入了SAE(Simultaneous Authentication of Equals)握手机制,解决了WPA2容易遭受离线字典攻击的问题。如果你的路由器支持WPA3,强烈建议升级。
路由器安全配置
基本安全设置
路由器安全配置清单:
1. 更改默认管理密码
- 使用15个字符以上的强密码
- 不要使用admin/password等默认凭据
2. 更改默认SSID
- 不要使用包含路由器型号的名称
- 不要使用个人信息(如姓名、门牌号)
3. 启用WPA3加密(如不支持则选WPA2-AES)
- 绝对不要使用WEP或WPA-TKIP
- WiFi密码至少20个字符
4. 更新固件
- 检查并安装最新固件
- 如支持,启用自动更新
5. 禁用WPS(WiFi Protected Setup)
- WPS存在已知的暴力破解漏洞
6. 禁用远程管理
- 仅允许通过LAN管理路由器
7. 更改管理端口
- 将管理界面端口从80改为其他端口
8. 启用防火墙
- 路由器内置防火墙应保持启用状态
高级安全配置
高级设置:
1. MAC地址过滤
- 虽然可以被绕过,但增加了一层门槛
2. 隐藏SSID
- 不广播网络名称(安全性有限但可减少被发现的概率)
3. 分离访客网络
- 为访客创建独立的WiFi网络
- 限制访客网络的带宽和访问权限
- 隔离访客网络与主网络
4. 使用DNS过滤
- 设置路由器使用安全DNS(如1.1.1.3或9.9.9.9)
- 过滤恶意域名和钓鱼网站
5. 启用日志记录
- 监控连接到网络的设备
- 定期检查异常连接
检测蹭网设备
# 使用nmap扫描网络中的设备
nmap -sn 192.168.1.0/24
# 使用arp-scan发现网络设备
sudo arp-scan --localnet
# 输出格式化的设备列表
sudo arp-scan --localnet | awk '/[0-9a-f]{2}:/{print $1, $2, $3}'
常见设备识别
| MAC前缀 | 厂商 | 常见设备 |
|---|---|---|
| 00:50:56 | VMware | 虚拟机 |
| B8:27:EB | Raspberry Pi | 树莓派 |
| AC:DE:48 | Apple | iPhone/iPad |
| 3C:5A:B4 | Pixel/Nest | |
| FC:A1:83 | Amazon | Echo/Kindle |
公共WiFi安全
公共WiFi的风险
公共WiFi(如咖啡店、机场)是中间人攻击的高发区域。攻击者可以:
- 截取未加密的通信数据
- 设置恶意热点(Evil Twin攻击)
- 注入恶意内容到HTTP页面
- 捕获登录凭据
公共WiFi安全建议
- 始终使用VPN:在公共WiFi上使用VPN加密所有流量
- 只访问HTTPS网站:确保浏览的网站使用HTTPS加密
- 关闭自动连接:禁止设备自动连接已知WiFi
- 不进行敏感操作:避免在公共WiFi上登录银行或输入密码
- 使用手机热点替代:如果需要处理敏感事务,使用移动数据
# Linux下检查当前连接的WiFi安全类型
nmcli device wifi list | head -5
# 查看保存的WiFi网络
nmcli connection show
# 检测附近的WiFi网络和安全类型
sudo iwlist wlan0 scan | grep -E "(ESSID|Encryption|IE:)"
企业WiFi安全
对于企业环境,推荐使用WPA2/WPA3-Enterprise配合RADIUS认证:
# FreeRADIUS基本配置示例
# /etc/freeradius/3.0/clients.conf
client wifi-ap {
ipaddr = 192.168.1.0/24
secret = strong_shared_secret
nas_type = other
}
# 用户认证配置
# /etc/freeradius/3.0/users
employee1 Cleartext-Password := "individual_password"
Reply-Message := "Welcome, Employee 1"
WiFi安全检测工具
使用这些工具检测你的WiFi网络安全状况:
# 安装aircrack-ng套件(仅用于授权测试)
sudo apt install aircrack-ng -y
# 监控模式
sudo airmon-ng start wlan0
# 扫描周围的WiFi网络
sudo airodump-ng wlan0mon
# 检测是否有Evil Twin热点
# 查找相同SSID但不同BSSID的网络
更多关于网络安全的基础知识,请参阅网络安全入门指南。
总结
WiFi安全是网络安全的基础环节。升级到WPA3加密,使用强密码,禁用不必要的功能,定期检查连接设备——这些简单的步骤就能大幅提升你的无线网络安全。在公共场所,永远不要在没有VPN保护的情况下使用公共WiFi处理敏感事务。