論如何確保無(wú)線網(wǎng)絡(luò)的安全問(wèn)題
今天學(xué)習(xí)啦小編就要跟大家講解下無(wú)線網(wǎng)絡(luò)的安全問(wèn)題~那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!
無(wú)線網(wǎng)絡(luò)的安全問(wèn)題(學(xué)習(xí)啦小編就以如何確保無(wú)線網(wǎng)絡(luò)的安全問(wèn)題為例)
無(wú)線網(wǎng)絡(luò)對(duì)于大部分用戶來(lái)說(shuō)都是不可缺少的,但是很多用戶都沒(méi)有意識(shí)到它存在著安全隱患。在無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是否能被監(jiān)視?在密碼和MAC地址過(guò)濾雙重保護(hù)之下,無(wú)線網(wǎng)絡(luò)仍會(huì)被解除和攻擊嗎?為什么WEP密碼能夠被解除?關(guān)于無(wú)線網(wǎng)絡(luò)安全問(wèn)題的媒體報(bào)道鋪天蓋地,是什么原因?qū)е铝藷o(wú)線網(wǎng)絡(luò)安全事故頻發(fā)?事實(shí)上無(wú)線網(wǎng)絡(luò)的安全性如何?我們應(yīng)該如何保護(hù)自己?下面,CHIP將為大家揭開謎團(tuán)。
危險(xiǎn):門戶大開的無(wú)線網(wǎng)絡(luò)
時(shí)至今日大部分網(wǎng)絡(luò)用戶仍然沒(méi)有將無(wú)線網(wǎng)絡(luò)安全當(dāng)回事,無(wú)論在哪一個(gè)小區(qū),我們都能夠輕松地查找到可以直接連接使用的未加密無(wú)線網(wǎng)絡(luò)。事實(shí)上,如果別人只是瀏覽幾個(gè)網(wǎng)頁(yè),那么并不會(huì)產(chǎn)生什么不良的后果,即使對(duì)方順便下載一點(diǎn)文件,頂多也就是短時(shí)間內(nèi)影響我們使用網(wǎng)絡(luò)的速度。可是,一旦有人突然對(duì)我們局域網(wǎng)絡(luò)中的信息感興趣,或者有了控制我們的無(wú)線網(wǎng)絡(luò)以便長(zhǎng)期使用的念頭,麻煩就大了。而更可怕的是,如果有人利用我們的網(wǎng)絡(luò)做跳板攻擊其他的網(wǎng)絡(luò)用戶,一旦出問(wèn)題我們會(huì)有口難辯,將有可能承擔(dān)嚴(yán)重的法律后果。
如果我們的無(wú)線網(wǎng)絡(luò)路由器仍然采用默認(rèn)的設(shè)置,沒(méi)有采取任何額外的安全防護(hù)措施,那么我們通??梢允褂脼g覽器訪問(wèn)“http://192.168.1.1/”或者“http://192.168.0.1/”之類的IP地址打開無(wú)線網(wǎng)絡(luò)路由器的Web設(shè)置頁(yè)面。如果無(wú)法通過(guò)上面的地址打開,則可以按下[Windwos]+[R]組合鍵打開運(yùn)行對(duì)話框,鍵入“cmd”,運(yùn)行并打開命令提示符窗口,鍵入“ipconfig”命令查詢網(wǎng)絡(luò)信息,在列出的信息中,連接無(wú)線網(wǎng)絡(luò)適配器的“默認(rèn)網(wǎng)關(guān)”應(yīng)該就是無(wú)線網(wǎng)絡(luò)路由器的IP地址,使用瀏覽器訪問(wèn)這個(gè)IP地址就可以看到無(wú)線路由器的設(shè)置界面。
不同品牌無(wú)線網(wǎng)絡(luò)設(shè)備的設(shè)置選項(xiàng)有一定差異,但是基本上我們都能夠在其Web設(shè)置頁(yè)面上通過(guò)“無(wú)線網(wǎng)絡(luò)”選項(xiàng)查看當(dāng)前無(wú)線網(wǎng)絡(luò)的設(shè)置,通過(guò)“無(wú)線網(wǎng)絡(luò)|安全”之類的選項(xiàng)打開安全設(shè)置,需要特別注意無(wú)線網(wǎng)絡(luò)是否已經(jīng)啟用安全功能。在一個(gè)完全沒(méi)有保護(hù)的無(wú)線網(wǎng)絡(luò)中,內(nèi)部局域網(wǎng)中所有的網(wǎng)絡(luò)共享資源,其他人也能夠訪問(wèn)。對(duì)于使用Windows XP操作系統(tǒng)的用戶來(lái)說(shuō)文檔隱私會(huì)受到嚴(yán)重威脅,特別是使用Windows XP家庭版的用戶,因?yàn)槟J(rèn)設(shè)置下該版本的系統(tǒng)不會(huì)對(duì)網(wǎng)絡(luò)資源啟用密碼保護(hù)。由于搜索網(wǎng)絡(luò)的共享資源會(huì)調(diào)用系統(tǒng)的“Guest”用戶,因此可以在“cmd”命令行模式下執(zhí)行“net user guest YourNewPassword”命令,嘗試為“Guest”用戶創(chuàng)建一個(gè)密碼,以提高安全性。不過(guò),這樣能夠提供的保護(hù)相當(dāng)有限,如果希望更有效地保護(hù)家庭網(wǎng)絡(luò)的安全,建議使用新的Windows 7操作系統(tǒng),它提供了一系列網(wǎng)絡(luò)保護(hù)措施,并且局域網(wǎng)內(nèi)部的家庭用戶電腦可以通過(guò)“家庭組”共享資源,相對(duì)比較安全。
但無(wú)論如何,門戶大開的無(wú)線網(wǎng)絡(luò)都是危險(xiǎn)的,攻擊者在接入無(wú)線網(wǎng)絡(luò)之后,可以通過(guò)各種網(wǎng)絡(luò)嗅探器攔截用戶的數(shù)據(jù)包,所有未經(jīng)加密的數(shù)據(jù)都將一覽無(wú)遺。
無(wú)效:過(guò)時(shí)的無(wú)線網(wǎng)絡(luò)安全技術(shù)
有兩種無(wú)線網(wǎng)絡(luò)的安全技術(shù)非常流行,一個(gè)是MAC地址過(guò)濾,一個(gè)是隱藏SSID(網(wǎng)絡(luò)名稱)。不過(guò),它們提供的保護(hù)能力非常脆弱。對(duì)于攻擊者來(lái)說(shuō),只需要使用一個(gè)經(jīng)過(guò)修改的網(wǎng)絡(luò)適配器驅(qū)動(dòng),將網(wǎng)絡(luò)適配器設(shè)置為監(jiān)測(cè)模式,再使用一個(gè)類似Kismet之類的嗅探器,即可監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)通訊,并在用戶客戶端連接網(wǎng)絡(luò)的過(guò)程中操縱數(shù)據(jù)包,從而引發(fā)網(wǎng)絡(luò)客戶端出現(xiàn)連接錯(cuò)誤,而當(dāng)網(wǎng)絡(luò)客戶端嘗試再次進(jìn)行連接時(shí),即可捕獲SSID。這聽起來(lái)好像很復(fù)雜和很費(fèi)時(shí),但實(shí)際上整個(gè)攻擊的過(guò)程只需要幾分鐘即可完成。同樣,使用這種簡(jiǎn)單的解除方法也可以繞過(guò)MAC地址過(guò)濾,攻擊者只需捕獲用戶設(shè)備的MAC地址,并將自己設(shè)備網(wǎng)卡的MAC地址偽裝成用戶的MAC地址,即可順利地登錄網(wǎng)絡(luò)。
另外,將無(wú)線網(wǎng)絡(luò)進(jìn)行WEP加密也同樣沒(méi)有太大的作用。攻擊者解除WEP加密的速度,甚至比捕獲SSID信息的速度還要快。使用互聯(lián)網(wǎng)上流傳的解除工具,攻擊者在幾分鐘內(nèi)就能夠解除WEP密碼。例如比較有名的Aircrack-ng,它包含一個(gè)嗅探器,另外也包含修補(bǔ)方案。工具能夠執(zhí)行PTW攻擊,按照FMS/KoreK方法從數(shù)據(jù)包中計(jì)算WEP密鑰。
注意:另外一種流傳甚廣的無(wú)線網(wǎng)絡(luò)保護(hù)措施是限制網(wǎng)絡(luò)的功率,讓無(wú)線網(wǎng)絡(luò)只有在非常近的范圍內(nèi)可以訪問(wèn)。這種方法同樣沒(méi)用,因?yàn)椴⒉皇俏覀兊泥従右粑覀兊臒o(wú)線網(wǎng)絡(luò),真正的攻擊者通常使用大功率的無(wú)線網(wǎng)絡(luò)天線,因此,減弱無(wú)線網(wǎng)絡(luò)信號(hào)沒(méi)有任何意義。
WPA2:安全與否取決于用戶
自2004年以來(lái),WAP2已經(jīng)成為了最受歡迎的無(wú)線網(wǎng)絡(luò)加密算法,目前,幾乎所有新的無(wú)線網(wǎng)絡(luò)設(shè)備都支持這種加密方法。不過(guò),與其他的加密算法一樣,再安全的加密方法也有可能被解除。最簡(jiǎn)單的方法是采用字典方式或者暴力方式解除密碼,這種攻擊手段雖然落后,但在很多時(shí)候都能夠獲得成功。因?yàn)榻^大多數(shù)的人都采用非常簡(jiǎn)單的密碼,并且長(zhǎng)期不更換。通過(guò)字典攻擊,攻擊者可以迅速地測(cè)試所有人們常用的密碼,它們通常是一些編號(hào)或者名字的組合,類似“1234”這樣的密碼可以被瞬間解除。
相比之下,暴力方式解除不使用任何定義好的字典,而是測(cè)試所有可能的組合,因此,理論上攻擊者必然可以解除密碼,唯一的問(wèn)題是需要花費(fèi)多少時(shí)間。根據(jù)NASA(美國(guó)宇航局)的密碼安全準(zhǔn)則,一個(gè)安全的密碼至少應(yīng)該有8個(gè)字符的長(zhǎng)度,最好的選擇是超過(guò)16個(gè)字符。更重要的是,密碼中應(yīng)該包含數(shù)字、大小寫字母以及特殊字符,這樣攻擊者可能需要花費(fèi)數(shù)十年的時(shí)間才能夠解除。如果需要的話,我們可以使用一些密碼生成器之類的工具軟件,生成一個(gè)高強(qiáng)度的密碼。另外,部分網(wǎng)絡(luò)設(shè)備也提供類似的功能,可以直接產(chǎn)生一個(gè)強(qiáng)度足夠高的密碼,確保攻擊者無(wú)計(jì)可施。
通過(guò)設(shè)置安全密碼等方式,網(wǎng)絡(luò)設(shè)備將可以避免通過(guò)解除密碼等普通方式的侵入,但是我們?nèi)匀徊荒芨哒頍o(wú)憂。所有程序都可能存在漏洞,無(wú)線網(wǎng)絡(luò)設(shè)備的固件也不例外,而且無(wú)線網(wǎng)絡(luò)設(shè)備的固件漏洞一經(jīng)發(fā)現(xiàn)可能會(huì)很快就在互聯(lián)網(wǎng)上流傳,各種蹭網(wǎng)軟件與硬件都將利用這些漏洞。
這些漏洞有可能讓攻擊者能夠打開設(shè)備的管理界面,也有可能僅僅是將設(shè)備初始化,恢復(fù)所有默認(rèn)設(shè)置,所有我們所做的安全設(shè)置都將完全作廢。例如2010年D-Link路由器由于家庭網(wǎng)絡(luò)管理協(xié)議(HNAP)存在漏洞,使攻擊者可以輕松地接管設(shè)備。
因而,我們必須定期檢查網(wǎng)絡(luò)設(shè)備,如果網(wǎng)絡(luò)設(shè)備提供自動(dòng)更新功能,那么應(yīng)該打開它,確保漏洞能夠在第一時(shí)間被修復(fù)。
在解決無(wú)線網(wǎng)絡(luò)設(shè)備的漏洞之后,我們還需要關(guān)注客戶端可能存在的危險(xiǎn)。局域網(wǎng)中所有能夠接入無(wú)線網(wǎng)絡(luò)的設(shè)備,都可能成為無(wú)線網(wǎng)絡(luò)的安全隱患,這些設(shè)備的使用者有可能會(huì)錯(cuò)誤地修改無(wú)線網(wǎng)絡(luò)的設(shè)置,也有可能在設(shè)備被入侵之后成為攻擊者攻擊整個(gè)網(wǎng)絡(luò)的跳板。因而,我們應(yīng)該加強(qiáng)無(wú)線網(wǎng)絡(luò)管理權(quán)限的限制,在網(wǎng)絡(luò)設(shè)備支持的情況下,禁止通過(guò)無(wú)線網(wǎng)絡(luò)修改路由器的設(shè)置,只有采用有線連接才可以修改路由器,以便最大限度地提高無(wú)線網(wǎng)絡(luò)的安全性。
來(lái)賓訪問(wèn):保護(hù)家庭網(wǎng)絡(luò)
強(qiáng)度足夠高的WAP2密碼被解除的可能性很低,但是當(dāng)親友來(lái)到家中,要求使用他們的智能手機(jī)、平板電腦、筆記本電腦接入無(wú)線網(wǎng)絡(luò)時(shí),我們的無(wú)線網(wǎng)絡(luò)將再次面臨危險(xiǎn),因?yàn)槲覀儫o(wú)法確定這些設(shè)備上是否存在惡意程序。為此,貝爾金與Fritz-Box等一些廠商為無(wú)線網(wǎng)絡(luò)路由器添加了來(lái)賓訪問(wèn)賬戶。路由器將創(chuàng)建一個(gè)單獨(dú)的無(wú)線網(wǎng)絡(luò)以及獨(dú)立的WAP2密碼,原有的家庭網(wǎng)絡(luò)一切保持不變。這樣就可以確保臨時(shí)接入的無(wú)線網(wǎng)絡(luò)用戶不至于對(duì)家庭網(wǎng)絡(luò)產(chǎn)生太大的危險(xiǎn),確保家庭網(wǎng)絡(luò)的安全。
保護(hù)無(wú)線網(wǎng)絡(luò)安全的措施很多,例如對(duì)于安全需求較高的用戶,甚至還可以安裝一個(gè)服務(wù)器,使用NTOP(http://www.省略/)之類的軟件監(jiān)控網(wǎng)絡(luò),通過(guò)監(jiān)控所有的網(wǎng)絡(luò)傳輸數(shù)據(jù),發(fā)現(xiàn)是否有陌生人闖入。對(duì)于普通家庭用戶來(lái)說(shuō),只需按照上面的介紹正確地選擇和執(zhí)行保護(hù)措施,基本上即可安然無(wú)恙。
無(wú)線網(wǎng)絡(luò)的安全協(xié)議
無(wú)線加密協(xié)議(Wireless Encryption Protocol)簡(jiǎn)稱為WEP。WEP是1999年9月通過(guò)的IEEE 802.11標(biāo)準(zhǔn)的一部分,使用RC4(Rivest Cipher)串流加密技術(shù),該技術(shù)由于加密算法本身存在缺陷,所以存在多種弱點(diǎn)。
WPA全稱為Wi-Fi Protected Access,是基于WEP的架構(gòu)并結(jié)合TKIP(Temporal Key Integrity Protocol,TKIP)動(dòng)態(tài)密鑰的一種加密技術(shù),攻擊者可以通過(guò)Ohigashi Morii和Beck Tews的攻擊方法在TKIP的工作過(guò)程中對(duì)單個(gè)數(shù)據(jù)包進(jìn)行解碼,進(jìn)而操縱它們并滲透網(wǎng)絡(luò)。
WPA2全稱為Wi-Fi Protected Access 2,該技術(shù)使用了安全的AES(Advanced Encryption Standard,高級(jí)加密標(biāo)準(zhǔn))對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行加密。還有同樣是基于AES的CCMP(Counter- Mode/CBC-MAC protocol)保護(hù)。該協(xié)議目前仍然是安全的,攻擊者唯一的選擇是通過(guò)字典攻擊和暴力解除方法嘗試解除,這在密碼強(qiáng)度較高的情況下基本上是不可能短時(shí)間內(nèi)完成的。
未受保護(hù)的無(wú)線局域網(wǎng)
沒(méi)有設(shè)置無(wú)線網(wǎng)絡(luò)密碼。
攻擊:無(wú)需攻擊,任何人可以使用。
所需時(shí)間:按一次按鈕的時(shí)間。
安全性:極差,可能被盜取資料或成為他人攻擊的跳板。
保護(hù)措施薄弱的無(wú)線局域網(wǎng)
設(shè)置過(guò)于簡(jiǎn)單的WAP2密碼。
攻擊:字典攻擊,暴力解除。
所需時(shí)間:20~120分鐘。
安全性:對(duì)于有經(jīng)驗(yàn)的攻擊者來(lái)說(shuō)可以輕松解除。
保護(hù)措施落后的無(wú)線局域網(wǎng)
WEP密鑰、MAC地址過(guò)濾、隱藏SSID。
攻擊:PTW攻擊,F(xiàn)MS/KoreK方法。
所需時(shí)間:5~15分鐘。
安全性:差,即使非專業(yè)人士也能夠輕松地解除。
保護(hù)措施完善的無(wú)線局域網(wǎng)
高強(qiáng)度WPA2密碼,來(lái)賓使用獨(dú)立網(wǎng)絡(luò)。
攻擊:字典攻擊,暴力解除。
所需時(shí)間:超過(guò)一個(gè)世紀(jì)。
安全:攻擊者在有生之年可能無(wú)法解除密碼。
無(wú)線網(wǎng)絡(luò)公共熱點(diǎn)安全問(wèn)題
在許多酒店和公共場(chǎng)所,我們都可以使用商家提供的無(wú)線網(wǎng)絡(luò)接入互聯(lián)網(wǎng),這通常是免費(fèi)的,但卻非常危險(xiǎn)。公共熱點(diǎn)是數(shù)據(jù)竊賊的天堂,與我們使用同一個(gè)無(wú)線網(wǎng)絡(luò)的用戶可以捕獲我們的數(shù)據(jù)包,在未經(jīng)加密的情況下,我們的數(shù)據(jù)內(nèi)容一覽無(wú)遺,而且攻擊者還可以利用捕獲的信息連接我們所使用的網(wǎng)絡(luò)服務(wù)。
Cookie攻擊在公共熱點(diǎn)上執(zhí)行起來(lái)非常簡(jiǎn)單,任何人都可以輕松使用工具實(shí)施攻擊。以Firefox附加組件Firesheep作為攻擊工具為例,它能夠自動(dòng)讀取和列出網(wǎng)絡(luò)中其他用戶的賬戶,例如亞馬遜、谷歌、Facebook和Twitter之類的賬戶,攻擊者可以隨便選擇一個(gè)而以對(duì)方的身份訪問(wèn)該服務(wù)。Firesheep并不會(huì)嘗試解除用戶的密碼,而是簡(jiǎn)單地復(fù)制當(dāng)前網(wǎng)絡(luò)中活躍并未經(jīng)加密的Cookie。為了確保不會(huì)在公共熱點(diǎn)中受到類似的攻擊,我們必須使用HTTPS協(xié)議訪問(wèn)服務(wù)商站點(diǎn)。例如使用Firefox的附加組件“HTTPS Everywhere”(http://www.省略/https-everywhere)、谷歌瀏覽器的“HTTPS Everywhere”(https://chrome.省略/webstore/detail/beaholcfmnpbabojbldnhlikfmnjmoma)或者谷歌瀏覽器的HSTS技術(shù)(打開“chrome://net-internals”,單擊切換到“HSTS”選項(xiàng)卡設(shè)置)強(qiáng)制使用HTTPS協(xié)議訪問(wèn)服務(wù)站點(diǎn)。不過(guò),對(duì)于沒(méi)有相關(guān)插件和技術(shù)的瀏覽器,我們自己就必須小心了。
智能手機(jī)是另一個(gè)攻擊者的伊甸園,移動(dòng)通訊設(shè)備制造商不斷地開發(fā)新功能,但安全措施卻沒(méi)有相應(yīng)地跟上。類似Android漏洞攻擊之類的安全事件越來(lái)越多,要保護(hù)我們的智能手機(jī),請(qǐng)參考本刊本期“信息安全”欄目“手機(jī)病毒:風(fēng)險(xiǎn)與日俱增”一文中的介紹。同時(shí),建議大家盡可能少地使用公共熱點(diǎn)或(Virtual Private Network,虛擬專用網(wǎng)絡(luò))連接互聯(lián)網(wǎng)。
Wardrivers與無(wú)線網(wǎng)絡(luò)公共熱點(diǎn)
Wardrivers可以收集所有門戶大開的無(wú)線網(wǎng)絡(luò)的信息,它只是為了創(chuàng)建一個(gè)沒(méi)有害處的公共熱點(diǎn)地圖,還是為了其他不可告人的目的?
事實(shí)上,Wardrivers所做的只是簡(jiǎn)單地為筆記本電腦裝備天線,并將無(wú)線網(wǎng)絡(luò)模塊切換到監(jiān)測(cè)模式,使用一個(gè)數(shù)據(jù)包嗅探器捕獲無(wú)線網(wǎng)絡(luò)公共熱點(diǎn)。至于它是好是壞,其實(shí)關(guān)鍵在于使用者的出發(fā)點(diǎn)。
實(shí)際上,在Wardrivers出現(xiàn)之初,并不是作為一種攻擊方式或者攻擊工具存在的,也不存在任何貶義的含義,人們稱呼熱衷于使用Wardrivers的人為“掃站客”,他們四處尋找無(wú)線網(wǎng)絡(luò)公共熱點(diǎn),然后將數(shù)據(jù)與其他用戶分享,或者在互聯(lián)網(wǎng)站點(diǎn)上與其他人共享,其目的主要是能夠在需要時(shí)使用公共熱點(diǎn)接入互聯(lián)網(wǎng)。但是很快別有用心之人開始留意到了無(wú)線網(wǎng)絡(luò)公共熱點(diǎn)是數(shù)據(jù)盜竊的伊甸園,從此,利用Wardrivers查找公共熱點(diǎn)的目的開始改變,人們也將這些目的不再只是為了上網(wǎng)的“掃站客”視為危險(xiǎn)分子,Wardrivers逐漸成為了攻擊或者攻擊工具的代名詞。