保護嵌入式802.11 Wi-Fi設備時需要考慮的10件事

10 things to consider when securing an embedded 802.11 Wi-Fi device

隨著無線技術的普及，使用無線技術的用戶面臨的風險也越來越大。黑客正變得越來越復雜，所以無線設備制造商必須妥善保護他們的設備。從無線認證協議到設備部署的環境，在保護嵌入式802.11設備時有許多考慮因素。

保護嵌入式802.11設備時的十大注意事項包括：

1．考慮部署應用程序的環境

a、 這很容易忘記，但對應用程序的安全性至關重要。嵌入式系統部署在現實世界中。物理安全是這些系統的一個大問題，因為攻擊者通常可以通過物理訪問更容易地危害設備。此外，同一地區的其他應用程序（尤其是使用同一無線電頻段的應用程序）產生的噪音會對通信造成嚴重破壞——一個簡單的微波爐就可以成為一種有效的拒絕服務武器。

2．無線網絡本質上比有線網絡更不安全（理論上）。

a、 在無線網絡中，你不斷地向任何有接收器的人廣播信息。在有線網絡中，數據是沿著電纜傳輸的，獲取這些數據要困難得多。當然，攻擊者可以使用感應式傳感器來測量數據，但這是一種更為專業的攻擊，你可以將電纜包在法拉第籠中，然后埋在混凝土中。使用無線，您沒有任何選擇。

圖1. 無線通信不如有線通信安全（理論上）

3. 不要使用WEP

a、 WEP（Wired
Equivalent Privacy）是802.11網絡安全的最初嘗試。不幸的是，協議幾乎從發布的那一刻起就被破壞了，現在可以通過免費的軟件工具在幾秒鐘內就被破壞了。盡管如此，WEP部署了大量設備，并且至今仍在使用。仔細考慮一下通過WEP進行連接，如果是這樣，請確保使用了其他身份驗證和加密方法。

4. WPA-TKIP可能也是個壞主意。

a、 WPA是作為對WEP被破壞的響應而開發的，其設計目的是使用相同的硬件。不幸的是，有跡象表明，也該放棄它了。它幾乎沒有WEP那么脆弱，但新的攻擊顯示它很弱，很可能很快就會加入WEP。幸運的是，WPA2是作為一個完整的（非硬件兼容的）替代品開發的。如果您正在使用Wi-Fi加密，您應該始終選擇WPA2。
5. Wi-Fi加密（WPA、WPA2等）是不夠的-您需要TLS或類似的加密

a、 使用Wi-Fi加密協議的一個主要警告是，它們只在數據在設備和Wi-Fi訪問之間傳輸時保護數據點。一次數據到達接入點，被解密并在沒有任何保護的情況下傳遞。在私人公司網絡上這可能是可以的，但是如果你的設備連接到互聯網上，你也可以關閉你的WPA2-在這一點上沒有安全性。因此，建議使用更高級別的安全協議，如傳輸層安全（TLS）或安全外殼（SSH）協議。這些協議對從設備到數據目的地的所有內容進行加密，而不管數據在哪個網絡上傳輸。

6. 您需要企業身份驗證嗎？

a、 身份驗證是安全性中一個容易被忽視的方面，它與加密一樣重要。如果沒有身份驗證，攻擊者可以偽裝成直接從您的設備接收信息的合法接收者。可以通過以下方式提供身份驗證：需要簡單的密碼、預先共享密鑰、使用TLS或類似協議的內置身份驗證，或者使用全面的企業身份驗證，這種身份驗證需要專用的身份驗證服務器來保證所有設備的身份。最常見的身份驗證方法是EAP-TLS和PEAP.企業身份驗證是一個復雜的問題，需要一些時間來解決，但對于某些應用程序來說，沒有其他選擇。

圖2. 企業WiFi身份驗證

7. 如何部署和管理證書和密鑰？

a、 無論使用身份驗證方法還是僅使用預共享密鑰，都需要管理密鑰和/或數字證書（證書用于企業身份驗證和TLS）。如果您想要最好的安全性，每個設備都應該有一個唯一的證書或密鑰。你可以將同一個密鑰分發給你的所有設備，但是如果一個設備被破壞，你的整個系統也會被破壞。在每個設備上使用相同的證書有點困難，因為身份驗證機制將證書與設備的地址相匹配。在任何情況下，您都需要開發一種方法來分發密鑰和證書，并根據需要更新它們（建議頻繁更新密鑰以提高安全性）。

8. Wi-Fi安全協議又大又慢

a、 如果您正在開發一個具有數百或數千個單元的嵌入式應用程序，則單位成本可能是一個問題。這意味著您可能需要縮減設備的性能，但請記住，加密是處理器（有時是內存）密集型的，Wi-Fi安全協議旨在實現最佳安全性，性能是次要要求。在確定硬件要求的范圍時，請確保包含所需安全級別的要求。

9. 你的網絡基礎設施是什么？

a、 如果您的設備直接連接到Internet，則與連接到您可以控制的專用網絡相比，您會遇到一組截然不同的問題。您還應該查看故障點–例如，如果您的所有設備都與單個訪問點通信，則該訪問點將成為整個系統的單一故障點，并可能成為任何攻擊者的目標。在基礎設施中添加一些冗余可以幫助減輕這種類型的安全問題。

10. 別忘了，在任何安全系統中，最薄弱的部分是用戶。

a、 在任何系統中，用戶在很大程度上是最薄弱的環節。太簡單的密碼，在紙條上寫密碼，或者僅僅是單純的愚蠢，往往是任何成功攻擊的根源。通過承認這一事實，您可以做一些事情來減輕您的用戶（包括您自己）可能遇到的問題因為。需要密碼要經常更新，并檢查長度（8個字符可以，多個更好）和內容（確保有非字母數字字符和字母和數字的混合）。你還應該考慮誰擁有對系統的訪問權限，限制用戶的權限并不是一個壞主意，這正是大多數操作系統具有不同級別權限的原因。

無線技術的迅猛發展和它的發展將繼續。所以對于開發者來說，在黑客面前保持領先是極其重要的，以確保他們的無線設備和網絡安全。通過遵循這些提示，組織可以確保他們的機密信息不受掠奪者的攻擊。

總結

以上是生活随笔為你收集整理的保护嵌入式802.11 Wi-Fi设备时需要考虑的10件事的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。