2014年中国计算机网络安全年会5月27日在广东汕头召开。该年会由国家计算机网络应急技术处理协调中心主办,历经11年发展,目前已成为国内外网络安全领域进行技术业务交流的重要平台。来自政府和重要信息系统部门、行业企业、高校和科研院所等单位的代表共600余人参加了本次会议。
在本次大会上,天融信阿尔法实验室作为唯一的安全培训单位,在27号上午汕头帝豪酒店举行了“无线路由的攻击与防御”专题培训,吸引了来自全国各地众多网络安全技术人员和爱好者参加。27号下午大会组织的攻防大赛中,天融信阿尔法实验室提供了跳板机和大赛裁判的支持,助力培训顺利进行。
近年来,随着网络技术的普及,为了使上网更便捷,很多企业或个人家中或都配备了无线路由器,而路由器等网络设备作为网络公共出口,其安全不仅影响网络正常运行,还可能导致企业和个人信息泄露。
专题培训中由天融信阿尔法实验室安全研究员宋君易授课,介绍无线网络的发展历程与现状,从原理出发讲解无线网路通信加密协议存在的缺陷,并了解相关无线密码破解方法。通过了解攻击方法找到切实有效的防御办法。培训还针对日益流行的无线AP钓鱼攻击进行还原与分析,帮助抵御无线钓鱼,并介绍针对无线监听与路由自身漏洞的防御办法。最后对路由器自身的安全与设计缺陷进行分析,结合现有攻击手法与路由器缺陷给出路由器安全配置方案,配置更加安全的路由。
培训主要分为两个部分,第一个部分主要讲无线通信协议发展、然后是针对不同通信加密协议的原理讲解并了解攻击与防御方法。之后演示一个针对WPS协议的攻击,最后总结了针对无线密码破解的防御手段。第二部分主要讲解较新的无限攻击方法,这些并非针对协议通过破解密码达到攻击目的,而是通过监听、钓鱼、针对路由自身攻击造成危害或影响,也针对不同攻击方法提供防御手段。最后提供一个安全的路由配置方案。
培训中针对不同无线网络加密协议讲解原理和相应的缺陷或攻击入手点,培训不仅仅局限于破解工具的介绍和使用,而是结合原理讲解实战,使得培训效果更好。在培训中通过多个视频演示和实际演示,证明了当前无线网络环境中,无线网络的脆弱性。在防御手段部分,提供了较为完善的防御策略。防御策略分为两层,第一层是基础策略,较为基础是每个用户都应当进行配置的防御策略:
不要使用不安全的WEP协议,使用WPA/WPA2。
如不需要应禁用WPS功能。
修改管理界面登录口令。
定期升级路由,修补安全漏洞。
第二层防御策略为高级策略,适合那些对于无线网络安全性很高的用户进行配置,这些策略的应用会对网络使用的便捷性造成影响。高级策略有:
1.关闭DHCP服务,改用静态IP分配。
2.设置上网控制管理,只有白名单才可以通过路由。
3.开启IP-MAC绑定。
4.更改路由管理界面默认地址。
5.关闭SSID广播。
6.配合准入设备加强准入控制。
7.使用Web认证方式。
针对路由密码,培训中提供了高强度密码的配置方案,密码应该保持10位以上,应是大小写字母、数字、特殊符号的组合。不应使用生日、姓名、电话等常见弱口令。这样的密码可以保证在有效的时间内抵御暴力破解攻击。
此次安全培训不仅从原理上讲解了无线网络加密协议的问题,并提出相应防御手段。通过多种演示和讲解证明无线网络脆弱性,最后对无线网络安全现状进行总结并且给予一个完善的无线路由配置方案。 
