保護(hù)嵌入式802.11 Wi-Fi設(shè)備時(shí)需要考慮的10件事

10 things to consider when securing an embedded 802.11 Wi-Fi device

隨著無(wú)線技術(shù)的普及，使用無(wú)線技術(shù)的用戶面臨的風(fēng)險(xiǎn)也越來(lái)越大。黑客正變得越來(lái)越復(fù)雜，所以無(wú)線設(shè)備制造商必須妥善保護(hù)他們的設(shè)備。從無(wú)線認(rèn)證協(xié)議到設(shè)備部署的環(huán)境，在保護(hù)嵌入式802.11設(shè)備時(shí)有許多考慮因素。

保護(hù)嵌入式802.11設(shè)備時(shí)的十大注意事項(xiàng)包括：

1．考慮部署應(yīng)用程序的環(huán)境

a、 這很容易忘記，但對(duì)應(yīng)用程序的安全性至關(guān)重要。嵌入式系統(tǒng)部署在現(xiàn)實(shí)世界中。物理安全是這些系統(tǒng)的一個(gè)大問(wèn)題，因?yàn)楣粽咄ǔ？梢酝ㄟ^(guò)物理訪問(wèn)更容易地危害設(shè)備。此外，同一地區(qū)的其他應(yīng)用程序（尤其是使用同一無(wú)線電頻段的應(yīng)用程序）產(chǎn)生的噪音會(huì)對(duì)通信造成嚴(yán)重破壞——一個(gè)簡(jiǎn)單的微波爐就可以成為一種有效的拒絕服務(wù)武器。

2．無(wú)線網(wǎng)絡(luò)本質(zhì)上比有線網(wǎng)絡(luò)更不安全（理論上）。

a、 在無(wú)線網(wǎng)絡(luò)中，你不斷地向任何有接收器的人廣播信息。在有線網(wǎng)絡(luò)中，數(shù)據(jù)是沿著電纜傳輸?shù)?#xff0c;獲取這些數(shù)據(jù)要困難得多。當(dāng)然，攻擊者可以使用感應(yīng)式傳感器來(lái)測(cè)量數(shù)據(jù)，但這是一種更為專業(yè)的攻擊，你可以將電纜包在法拉第籠中，然后埋在混凝土中。使用無(wú)線，您沒(méi)有任何選擇。

圖1. 無(wú)線通信不如有線通信安全（理論上）

3. 不要使用WEP

a、 WEP（Wired
Equivalent Privacy）是802.11網(wǎng)絡(luò)安全的最初嘗試。不幸的是，協(xié)議幾乎從發(fā)布的那一刻起就被破壞了，現(xiàn)在可以通過(guò)免費(fèi)的軟件工具在幾秒鐘內(nèi)就被破壞了。盡管如此，WEP部署了大量設(shè)備，并且至今仍在使用。仔細(xì)考慮一下通過(guò)WEP進(jìn)行連接，如果是這樣，請(qǐng)確保使用了其他身份驗(yàn)證和加密方法。

4. WPA-TKIP可能也是個(gè)壞主意。

a、 WPA是作為對(duì)WEP被破壞的響應(yīng)而開發(fā)的，其設(shè)計(jì)目的是使用相同的硬件。不幸的是，有跡象表明，也該放棄它了。它幾乎沒(méi)有WEP那么脆弱，但新的攻擊顯示它很弱，很可能很快就會(huì)加入WEP。幸運(yùn)的是，WPA2是作為一個(gè)完整的（非硬件兼容的）替代品開發(fā)的。如果您正在使用Wi-Fi加密，您應(yīng)該始終選擇WPA2。
5. Wi-Fi加密（WPA、WPA2等）是不夠的-您需要TLS或類似的加密

a、 使用Wi-Fi加密協(xié)議的一個(gè)主要警告是，它們只在數(shù)據(jù)在設(shè)備和Wi-Fi訪問(wèn)之間傳輸時(shí)保護(hù)數(shù)據(jù)點(diǎn)。一次數(shù)據(jù)到達(dá)接入點(diǎn)，被解密并在沒(méi)有任何保護(hù)的情況下傳遞。在私人公司網(wǎng)絡(luò)上這可能是可以的，但是如果你的設(shè)備連接到互聯(lián)網(wǎng)上，你也可以關(guān)閉你的WPA2-在這一點(diǎn)上沒(méi)有安全性。因此，建議使用更高級(jí)別的安全協(xié)議，如傳輸層安全（TLS）或安全外殼（SSH）協(xié)議。這些協(xié)議對(duì)從設(shè)備到數(shù)據(jù)目的地的所有內(nèi)容進(jìn)行加密，而不管數(shù)據(jù)在哪個(gè)網(wǎng)絡(luò)上傳輸。

6. 您需要企業(yè)身份驗(yàn)證嗎？

a、 身份驗(yàn)證是安全性中一個(gè)容易被忽視的方面，它與加密一樣重要。如果沒(méi)有身份驗(yàn)證，攻擊者可以偽裝成直接從您的設(shè)備接收信息的合法接收者。可以通過(guò)以下方式提供身份驗(yàn)證：需要簡(jiǎn)單的密碼、預(yù)先共享密鑰、使用TLS或類似協(xié)議的內(nèi)置身份驗(yàn)證，或者使用全面的企業(yè)身份驗(yàn)證，這種身份驗(yàn)證需要專用的身份驗(yàn)證服務(wù)器來(lái)保證所有設(shè)備的身份。最常見(jiàn)的身份驗(yàn)證方法是EAP-TLS和PEAP.企業(yè)身份驗(yàn)證是一個(gè)復(fù)雜的問(wèn)題，需要一些時(shí)間來(lái)解決，但對(duì)于某些應(yīng)用程序來(lái)說(shuō)，沒(méi)有其他選擇。

圖2. 企業(yè)WiFi身份驗(yàn)證

7. 如何部署和管理證書和密鑰？

a、 無(wú)論使用身份驗(yàn)證方法還是僅使用預(yù)共享密鑰，都需要管理密鑰和/或數(shù)字證書（證書用于企業(yè)身份驗(yàn)證和TLS）。如果您想要最好的安全性，每個(gè)設(shè)備都應(yīng)該有一個(gè)唯一的證書或密鑰。你可以將同一個(gè)密鑰分發(fā)給你的所有設(shè)備，但是如果一個(gè)設(shè)備被破壞，你的整個(gè)系統(tǒng)也會(huì)被破壞。在每個(gè)設(shè)備上使用相同的證書有點(diǎn)困難，因?yàn)樯矸蒡?yàn)證機(jī)制將證書與設(shè)備的地址相匹配。在任何情況下，您都需要開發(fā)一種方法來(lái)分發(fā)密鑰和證書，并根據(jù)需要更新它們（建議頻繁更新密鑰以提高安全性）。

8. Wi-Fi安全協(xié)議又大又慢

a、 如果您正在開發(fā)一個(gè)具有數(shù)百或數(shù)千個(gè)單元的嵌入式應(yīng)用程序，則單位成本可能是一個(gè)問(wèn)題。這意味著您可能需要縮減設(shè)備的性能，但請(qǐng)記住，加密是處理器（有時(shí)是內(nèi)存）密集型的，Wi-Fi安全協(xié)議旨在實(shí)現(xiàn)最佳安全性，性能是次要要求。在確定硬件要求的范圍時(shí)，請(qǐng)確保包含所需安全級(jí)別的要求。

9. 你的網(wǎng)絡(luò)基礎(chǔ)設(shè)施是什么？

a、 如果您的設(shè)備直接連接到Internet，則與連接到您可以控制的專用網(wǎng)絡(luò)相比，您會(huì)遇到一組截然不同的問(wèn)題。您還應(yīng)該查看故障點(diǎn)–例如，如果您的所有設(shè)備都與單個(gè)訪問(wèn)點(diǎn)通信，則該訪問(wèn)點(diǎn)將成為整個(gè)系統(tǒng)的單一故障點(diǎn)，并可能成為任何攻擊者的目標(biāo)。在基礎(chǔ)設(shè)施中添加一些冗余可以幫助減輕這種類型的安全問(wèn)題。

10. 別忘了，在任何安全系統(tǒng)中，最薄弱的部分是用戶。

a、 在任何系統(tǒng)中，用戶在很大程度上是最薄弱的環(huán)節(jié)。太簡(jiǎn)單的密碼，在紙條上寫密碼，或者僅僅是單純的愚蠢，往往是任何成功攻擊的根源。通過(guò)承認(rèn)這一事實(shí)，您可以做一些事情來(lái)減輕您的用戶（包括您自己）可能遇到的問(wèn)題因?yàn)椤Ｐ枰艽a要經(jīng)常更新，并檢查長(zhǎng)度（8個(gè)字符可以，多個(gè)更好）和內(nèi)容（確保有非字母數(shù)字字符和字母和數(shù)字的混合）。你還應(yīng)該考慮誰(shuí)擁有對(duì)系統(tǒng)的訪問(wèn)權(quán)限，限制用戶的權(quán)限并不是一個(gè)壞主意，這正是大多數(shù)操作系統(tǒng)具有不同級(jí)別權(quán)限的原因。

無(wú)線技術(shù)的迅猛發(fā)展和它的發(fā)展將繼續(xù)。所以對(duì)于開發(fā)者來(lái)說(shuō)，在黑客面前保持領(lǐng)先是極其重要的，以確保他們的無(wú)線設(shè)備和網(wǎng)絡(luò)安全。通過(guò)遵循這些提示，組織可以確保他們的機(jī)密信息不受掠奪者的攻擊。

總結(jié)

以上是生活随笔為你收集整理的保护嵌入式802.11 Wi-Fi设备时需要考虑的10件事的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。