保护嵌入式802.11 Wi-Fi设备时应考虑的10件事
时间:2020-06-02 来源:原创
随着无线技术的普及,对无线技术用户的风险已经增加。黑客变得越来越老练,因此无线设备制造商正确保护其设备非常重要。 从无线身份验证协议到设备部署的环境,保护嵌入式802.11设备时需要考虑许多因素。
保护嵌入式802.11设备的十大注意事项包括:
1.考虑部署应用程序的环境
一个。这很容易忘记,但对应用程序的安全性至关重要。嵌入式系统已部署在现实世界中。对于这些系统而言,物理安全性是一个大问题,因为攻击者通常可以通过物理访问更轻松地破坏设备。此外,同一区域内其他应用程序(尤其是使用相同无线电频段的应用程序)所产生的噪声可能会严重破坏通信-简单的微波炉可以成为有效的拒绝服务武器。
2.无线网络本质上不如有线网络安全。
一个。在无线网络中,您一直在向拥有接收器的任何人不断广播信息。在有线网络中,数据沿电缆定向,因此获取数据要困难得多。当然,攻击者可以使用感应传感器来测量数据,但这是一种更专门的攻击,您始终可以将电缆包裹在法拉第笼中,然后将其埋在混凝土中。使用无线,您没有任何选择。
图1.无线通信不如有线安全
3.不要使用WEP
一个。WEP(用于有线等效保密)是保护802.11网络安全的最初尝试。不幸的是,该协议几乎从发布之初就被破坏了,现在可以通过免费提供的软件实用程序在几秒钟内破坏该协议。话虽这么说,但迄今为止,大量设备已通过WEP部署,并且仍在使用。想一想通过WEP进行连接,如果确实如此,请确保您正在使用其他身份验证和加密方法(请参阅#6)。
4. WPA-TKIP也可能不是一个好主意。
一个。WPA是为应对WEP损坏而开发的,旨在与相同的硬件一起使用。不幸的是,它显示出可能也应该删除它的迹象。它的破坏程度不及WEP,但新的攻击表明它很弱,很可能很快会加入WEP。幸运的是,WPA2被开发为完全(非硬件兼容)替代产品。如果您使用的是Wi-Fi加密,则应始终选择WPA2。
5. Wi-Fi加密(WPA,WPA2等)还不够–您需要TLS或类似的加密技术
一个。使用Wi-Fi加密协议的一个主要警告是,它们仅在设备和Wi-Fi接入点之间传输数据时保护数据,一旦数据到达接入点,则将其解密并传递而没有任何保护措施。在私有公司网络上这可能没问题,但是如果您的设备已连接到Internet,则最好只关闭WPA2 –此时没有安全性。因此,建议使用更高级别的安全协议,例如传输层安全性(TLS)或安全外壳(SSH)协议。这些协议对从设备到数据目的地的所有内容进行加密,无论数据在哪个网络上传输。
6.您需要企业认证吗?
一个。身份验证是安全性中一个容易被忽视的方面,它与加密同样重要。未经身份验证,攻击者可能会直接从您的设备冒充合法的信息接收者。可以通过要求简单的密码,预共享密钥,使用TLS或类似协议的内置身份验证,或使用需要专用身份验证服务器来保证所有设备身份的成熟企业身份验证来提供身份验证。身份验证最常见的方法是EAP-TLS和PEAP。企业身份验证是一个复杂的主题,需要花费一些时间才能弄清楚,但是对于某些应用程序没有其他选择。
图2.企业WiFi身份验证
7.您如何部署和管理证书和密钥?
一个。无论您使用身份验证方法还是仅使用预共享密钥,都需要管理密钥和/或数字证书(证书用于企业身份验证和TLS)。如果要获得最佳安全性,每个设备都应具有唯一的证书或密钥。您可以将相同的密钥分发给所有设备,但是如果其中一台设备遭到破坏,则整个系统也会被破坏。由于身份验证机制会将证书与设备的地址匹配,因此在每个设备上使用相同的证书会有点困难。无论如何,您都需要开发一种分发密钥和证书并根据需要进行更新的方法(建议对密钥进行频繁更新以提高安全性)。
8. Wi-Fi安全协议又大又慢
一个。如果要开发具有数百或数千个单元的嵌入式应用程序,则每单元成本可能是个问题。这意味着您可能需要缩减设备的性能,但是请记住加密是处理器(有时是内存)密集型的,并且Wi-Fi安全协议旨在获得最佳安全性,而性能是次要要求。在确定硬件要求时,请确保包括所需的安全级别要求。
9.您的网络基础架构是什么?
一个。如果您的设备直接连接到Internet,则与连接到您可以控制的专用网络相比,您遇到的问题将大不相同。您还应该查看故障点–例如,如果所有设备都与单个访问点通信,则该访问点将成为整个系统的单个故障点,并且很可能成为任何攻击者的目标。在基础架构中添加一些冗余可以帮助减轻这种类型的安全隐患。
10.不要忘记,任何安全系统中最薄弱的部分就是用户。
一个。在任何系统中,用户很大程度上都是最弱的链接。太简单的密码,将密码写在纸条上或者仅仅是愚蠢的密码通常都是成功攻击的根源。通过确认这一事实,您可以采取一些措施来减轻用户(包括您自己)可能引起的问题。要求经常更新密码,并检查其长度(8个字符可以,最好是更好)和内容(请确保(非字母数字字符以及字母和数字的混合)。您还应该考虑谁可以访问系统,并且限制用户可以执行的操作不是一个坏主意-这正是大多数操作系统具有不同级别的操作系统的原因。权限。
无线技术正处于发展之中,并且仍将继续发展,因此对于开发人员而言,保持领先地位以确保其无线设备和网络安全是至关重要的。通过遵循这些重要技巧,组织可以确保其机密信息不受攻击掠食者。
