保护嵌入式802.11 Wi-Fi设备时需要考虑的10件事

保护嵌入式802.11 Wi-Fi设备时需要考虑的10件事

10 things to consider when securing an embedded 802.11 Wi-Fi device

随着无线技术的普及，使用无线技术的用户面临的风险也越来越大。黑客正变得越来越复杂，所以无线设备制造商必须妥善保护他们的设备。从无线认证协议到设备部署的环境，在保护嵌入式802.11设备时有许多考虑因素。             

保护嵌入式802.11设备时的十大注意事项包括：             

1．考虑部署应用程序的环境             

a、 这很容易忘记，但对应用程序的安全性至关重要。嵌入式系统部署在现实世界中。物理安全是这些系统的一个大问题，因为攻击者通常可以通过物理访问更容易地危害设备。此外，同一地区的其他应用程序（尤其是使用同一无线电频段的应用程序）产生的噪音会对通信造成严重破坏——一个简单的微波炉就可以成为一种有效的拒绝服务武器。             

2．无线网络本质上比有线网络更不安全（理论上）。             

a、 在无线网络中，你不断地向任何有接收器的人广播信息。在有线网络中，数据是沿着电缆传输的，获取这些数据要困难得多。当然，攻击者可以使用感应式传感器来测量数据，但这是一种更为专业的攻击，你可以将电缆包在法拉第笼中，然后埋在混凝土中。使用无线，您没有任何选择。

 图1.  无线通信不如有线通信安全（理论上）             

3. 不要使用WEP             

a、 WEP（Wired Equivalent Privacy）是802.11网络安全的最初尝试。不幸的是，协议几乎从发布的那一刻起就被破坏了，现在可以通过免费的软件工具在几秒钟内就被破坏了。尽管如此，WEP部署了大量设备，并且至今仍在使用。仔细考虑一下通过WEP进行连接，如果是这样，请确保使用了其他身份验证和加密方法。             

4. WPA-TKIP可能也是个坏主意。             

a、 WPA是作为对WEP被破坏的响应而开发的，其设计目的是使用相同的硬件。不幸的是，有迹象表明，也该放弃它了。它几乎没有WEP那么脆弱，但新的攻击显示它很弱，很可能很快就会加入WEP。幸运的是，WPA2是作为一个完整的（非硬件兼容的）替代品开发的。如果您正在使用Wi-Fi加密，您应该始终选择WPA2。              

5. Wi-Fi加密（WPA、WPA2等）是不够的-您需要TLS或类似的加密             

a、 使用Wi-Fi加密协议的一个主要警告是，它们只在数据在设备和Wi-Fi访问之间传输时保护数据点。一次数据到达接入点，被解密并在没有任何保护的情况下传递。在私人公司网络上这可能是可以的，但是如果你的设备连接到互联网上，你也可以关闭你的WPA2-在这一点上没有安全性。因此，建议使用更高级别的安全协议，如传输层安全（TLS）或安全外壳（SSH）协议。这些协议对从设备到数据目的地的所有内容进行加密，而不管数据在哪个网络上传输。             

6. 您需要企业身份验证吗？             

a、 身份验证是安全性中一个容易被忽视的方面，它与加密一样重要。如果没有身份验证，攻击者可以伪装成直接从您的设备接收信息的合法接收者。可以通过以下方式提供身份验证：需要简单的密码、预先共享密钥、使用TLS或类似协议的内置身份验证，或者使用全面的企业身份验证，这种身份验证需要专用的身份验证服务器来保证所有设备的身份。最常见的身份验证方法是EAP-TLS和PEAP.企业身份验证是一个复杂的问题，需要一些时间来解决，但对于某些应用程序来说，没有其他选择。

图2. 企业WiFi身份验证             

7. 如何部署和管理证书和密钥？             

a、 无论使用身份验证方法还是仅使用预共享密钥，都需要管理密钥和/或数字证书（证书用于企业身份验证和TLS）。如果您想要最好的安全性，每个设备都应该有一个唯一的证书或密钥。你可以将同一个密钥分发给你的所有设备，但是如果一个设备被破坏，你的整个系统也会被破坏。在每个设备上使用相同的证书有点困难，因为身份验证机制将证书与设备的地址相匹配。在任何情况下，您都需要开发一种方法来分发密钥和证书，并根据需要更新它们（建议频繁更新密钥以提高安全性）。             

8. Wi-Fi安全协议又大又慢             

a、 如果您正在开发一个具有数百或数千个单元的嵌入式应用程序，则单位成本可能是一个问题。这意味着您可能需要缩减设备的性能，但请记住，加密是处理器（有时是内存）密集型的，Wi-Fi安全协议旨在实现最佳安全性，性能是次要要求。在确定硬件要求的范围时，请确保包含所需安全级别的要求。             

9. 你的网络基础设施是什么？             

a、 如果您的设备直接连接到Internet，则与连接到您可以控制的专用网络相比，您会遇到一组截然不同的问题。您还应该查看故障点–例如，如果您的所有设备都与单个访问点通信，则该访问点将成为整个系统的单一故障点，并可能成为任何攻击者的目标。在基础设施中添加一些冗余可以帮助减轻这种类型的安全问题。              

10. 别忘了，在任何安全系统中，最薄弱的部分是用户。             

a、 在任何系统中，用户在很大程度上是最薄弱的环节。太简单的密码，在纸条上写密码，或者仅仅是单纯的愚蠢，往往是任何成功攻击的根源。通过承认这一事实，您可以做一些事情来减轻您的用户（包括您自己）可能遇到的问题因为。需要密码要经常更新，并检查长度（8个字符可以，多个更好）和内容（确保有非字母数字字符和字母和数字的混合）。你还应该考虑谁拥有对系统的访问权限，限制用户的权限并不是一个坏主意，这正是大多数操作系统具有不同级别权限的原因。              

无线技术的迅猛发展和它的发展将继续。所以对于开发者来说，在黑客面前保持领先是极其重要的，以确保他们的无线设备和网络安全。通过遵循这些提示，组织可以确保他们的机密信息不受掠夺者的攻击。