有人说坐飞机的安全可靠性很高,出事概率只有几百万分之一,但也不能保证100%的安全。
无线局域网同样也是如此,安全隐患无处不在。把全球顶尖安全专家汇聚在一起,都无法保证无线局域网是100%安全。
802.11i认证
安全专家建议使用802.11i认证 + AES GCM加密,这套安全体系非常安全。每一个接入网络的客户端都需要使用TLS安全隧道加密 "username/password" 的组合完成认证,安全性完全依赖于TLS安全可靠性,TLS安全可靠性无容置疑,这里几乎没有什么安全漏洞。
完成了认证,TLS会输出一套密钥供AES GCM算法使用,以保护无线客户端的用户流量。这个加密算法为安全专家强烈推荐的算法,安全性也不容置疑。
好像一切都无懈可击,天衣无缝。那就另辟蹊径,坏人登场了,弄一个无线热点,SSID和正规军一摸一样,哪些电脑、手机啥的连无线热点时,会扫描可用的SSID,谁的信号强就扑向谁,假热点还装模作样用户认证,用户看到认证框还输入了“username/password”,电脑手机就绑定到假AP上了,用户的上网流量全部流经假AP,此时假AP如何操纵流量全看坏人的兴趣与心情。
不要忘了,坏人还知道用户的“username/password”,连入正规军的热点小菜一碟。
啊?真的有那么可怕?这套严密的安全体系普遍用在企业无线解决方案里。如果无线的解决方案不能有效对付假冒的无线AP,那么这个无线的解决方案是不安全的。
如何对付假冒AP?
无线管理监控系统,需要实时监控无线覆盖区域假冒AP的存在,发现并定位它,然后将其从网络里移走。
当然如果虚假AP在公司围墙的外部,即使发现并定位它,移走也不一定现实。对付这个不可控区域最好的办法就是,屏蔽外部无线信号进入园区,同时屏蔽公司内部信号离开园区。
这样公司员工的电脑想连假冒的SSID也不能够,因为搜不到虚假的SSID。
共享密码认证
使用共享密码的PSK认证方式的无线解决方案,由于每一个用户都使用同一个密码连AP,无法控制密码的扩散范围,有些甚至扩散到互联网上。
凡是知道密码的人都可以连入无线AP,可以尽情地捕获所有的无线信号数据,然后把加密的无线数据全部解密出来,在明文数据的宝藏里寻宝了。
WEP加密
这是最弱的一种无线加密方案,弱就弱在使用24位的初始化向量(IV)长度,意味着重复使用相同IV的概率非常高。网上破解无线密码的教程都是针对这个算法的,使用工具可以非常轻松破解之。拿到了密码就可以免费蹭网了。。。
尽管WEP已经被新一代无线技术标准所抛弃,但是在老款的无线路由器上还是支持的。没有专业知识的群众还会无意中继续使用它。
如果有人还继续在使用WEP,请无情地抛弃它,因为它很不安全!
閱讀更多 太原錦華計算機學校 的文章
