隨著Wi-Fi不斷普及，其安全問題也凸顯出來(lái)。802.11是IEEE制定的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)。Wi-Fi是一個(gè)商業(yè)化的802.11標(biāo)準(zhǔn)。因?yàn)閃i-Fi聯(lián)盟早期沒有成熟的安全機(jī)制，導(dǎo)致蹭網(wǎng)者泛濫。

本文針對(duì) 隱藏SSID MAC綁定 WEP WPA WPA2及其企業(yè)版等進(jìn)行安全性分析。因?yàn)閃i-Fi聯(lián)盟早期沒有成熟的安全機(jī)制，導(dǎo)致蹭網(wǎng)者泛濫。如何才能更好地加密自己的無(wú)線網(wǎng)絡(luò)，讓蹭網(wǎng)者知難而退呢？這里給大家提供幾點(diǎn)參考。

1、隱藏SSID

防止非法用戶掃描你的無(wú)線網(wǎng)絡(luò)。
但極易被破解。只要有數(shù)據(jù)通過，一些嗅探軟件很容易掃描到不廣播的無(wú)線網(wǎng)絡(luò)，得到你的SSID和AP MAC。
因此，只可作為無(wú)線安全的輔助手段。
安全等級(jí)：很低。

2、修改SSID

當(dāng)用戶使用wpa或wpa2加密時(shí)，修改過的SSID能有效防止通過現(xiàn)成的table來(lái)暴力破解。
破解wpa或者wpa2，現(xiàn)用的方法就是獲得四次握手包后暴力破解。用已經(jīng)HASH好的table，破解速度可以翻幾百倍。此HASH是把SSID和密碼共同作為變量的。很多黑客已經(jīng)做好常用的SSID和通過社會(huì)工程學(xué)做好的密碼計(jì)算而成的HASH table，可以網(wǎng)絡(luò)下載，有些甚至是免費(fèi)的。如果你的SSID不在此列，就沒有現(xiàn)成的table。而做table本身比掛字典破解更費(fèi)時(shí)間，因此就失去意義。
安全等級(jí)：較高（需和wpa wpa2配合使用）。

3、使用MAC過濾

表面看來(lái)是極完美的防蹭方案。但可以通過偽造你的MAC來(lái)上網(wǎng)。極易破解。而且MAC值是極容易被嗅探到的。
安全等級(jí)：很低。

4、使用wep加密

極易被破解。在今天，使用wep加密和不加密基本等同，沒有任何安全性可言。即使再?gòu)?fù)雜的密碼，也可以在數(shù)分鐘內(nèi)破解。
安全等級(jí)：很低。

5、使用wpa或wpa2個(gè)人版加密

迄今為止，破解方法只有一個(gè)：暴力破解。如果你設(shè)置一個(gè)強(qiáng)密碼，破解的概率幾乎為0。另外，加密算法選擇AES。
盡量選擇wpa2，因?yàn)閣pa2比wpa具有更好的安全性。wpa2是真正的802.11i，而wpa只是其草案3，有很多不足。
暴力破解的速度是極其低下的。一般只有300key / s，就算采取所謂的GPU加速，速度也不過是10000 key / s，對(duì)于一個(gè)8位數(shù)字 字母 字符的復(fù)雜密碼破解時(shí)間都需要2900年！即使采用100臺(tái)分布式，也需要29年！
安全等級(jí)：較高。

說(shuō)到這里，大家應(yīng)該看到：如果你不加密或者用wep，即使采取了1，2，3手段也沒有任何意義。破解都是分分鐘的事。但如果你只用了wpa2，且密碼極其復(fù)雜，破解都是以年計(jì)算的。

現(xiàn)在我再提一下更為先進(jìn)的wifi保全手段。

1、Wpa2企業(yè)版

wpa2企業(yè)版需要radius撥號(hào)服務(wù)器，為802.1x提供認(rèn)證。
個(gè)人版中的PMK=PSK，PSK是固定的。雖然在之后的通信中，密匙是變化的，但初始密匙是固定的。這就是可以通過最初的四個(gè)握手包破解的原因（上文提到的HASH即為PSK的生成HASH，在四次握手中還有其他HASH計(jì)算）。而且整個(gè)WLAN中，PSK具唯一性。一旦泄漏，具有災(zāi)難性后果。一般要重新設(shè)置路由器和所有的合法客戶端。
Wpa2中，PMK的獲取依賴于802.1x認(rèn)證的結(jié)果，認(rèn)證失敗則無(wú)法得到PMK。而且每次認(rèn)證得到的PMK都是隨機(jī)的。所以上述暴力破解在這里完全沒有意義。除非先破解認(rèn)證機(jī)制，得到用戶名和密碼。
而目前的802.1x安全性還是不錯(cuò)的。一般用一個(gè)比較好的EAP就有很好的安全性了。以下是幾種最常見的EAP方式：LEAP    EAP-TLS   EAP-TTLS   PEAP 。所有EAP方法都支持雙向認(rèn)證，這樣可以阻止中間人攻擊——因?yàn)榭蛻粜枰獙?duì)服務(wù)器進(jìn)行認(rèn)證，反之亦然。偽造的無(wú)線接入點(diǎn)無(wú)法偽造服務(wù)器端安全認(rèn)證。
即使一個(gè)帳號(hào)，密碼泄漏，則只有一個(gè)非法用戶上網(wǎng)。在認(rèn)證服務(wù)器上取消此帳號(hào)，就OK了。

2、修改路由器密碼

最好修改路由器的登錄密碼，最好禁止用無(wú)線網(wǎng)絡(luò)登錄。做到即使有蹭網(wǎng)，也無(wú)法修改無(wú)線路由器。

3、啟用PPPOE服務(wù)器

用戶必須用PPPOE撥號(hào)后，才可訪問路由器和Internet。
用PPPOE可以有效防止ARP攻擊，同時(shí)增強(qiáng)無(wú)線網(wǎng)絡(luò)的安全。即使用戶破解無(wú)線密碼，也毫無(wú)意義，和沒有破解等同。而破解PPPOE并非易事。
通過專業(yè)的設(shè)置，可以讓PPPOE更安全。比如，指定服務(wù)名（ISP名稱），只選擇CHAP，不選擇明文傳輸?shù)腜AP等等。

這就是本人想到的讓無(wú)線網(wǎng)絡(luò)更安全的幾點(diǎn)方案及其分析。較粗淺，如有謬誤，請(qǐng)給予斧正。