有人說坐飛機的安全可靠性很高,出事概率只有幾百萬分之一,但也不能保證100%的安全。
無線局域網同樣也是如此,安全隱患無處不在。把全球頂尖安全專家匯聚在一起,都無法保證無線局域網是100%安全。
802.11i認證
安全專家建議使用802.11i認證 + AES GCM加密,這套安全體系非常安全。每一個接入網絡的客戶端都需要使用TLS安全隧道加密 "username/password" 的組合完成認證,安全性完全依賴於TLS安全可靠性,TLS安全可靠性無容置疑,這裡幾乎沒有什麼安全漏洞。
完成了認證,TLS會輸出一套密鑰供AES GCM算法使用,以保護無線客戶端的用戶流量。這個加密算法為安全專家強烈推薦的算法,安全性也不容置疑。
好像一切都無懈可擊,天衣無縫。那就另闢蹊徑,壞人登場了,弄一個無線熱點,SSID和正規軍一摸一樣,哪些電腦、手機啥的連無線熱點時,會掃描可用的SSID,誰的信號強就撲向誰,假熱點還裝模作樣用戶認證,用戶看到認證框還輸入了“username/password”,電腦手機就綁定到假AP上了,用戶的上網流量全部流經假AP,此時假AP如何操縱流量全看壞人的興趣與心情。
不要忘了,壞人還知道用戶的“username/password”,連入正規軍的熱點小菜一碟。
啊?真的有那麼可怕?這套嚴密的安全體系普遍用在企業無線解決方案裡。如果無線的解決方案不能有效對付假冒的無線AP,那麼這個無線的解決方案是不安全的。
如何對付假冒AP?
無線管理監控系統,需要實時監控無線覆蓋區域假冒AP的存在,發現並定位它,然後將其從網絡裡移走。
當然如果虛假AP在公司圍牆的外部,即使發現並定位它,移走也不一定現實。對付這個不可控區域最好的辦法就是,屏蔽外部無線信號進入園區,同時屏蔽公司內部信號離開園區。
這樣公司員工的電腦想連假冒的SSID也不能夠,因為搜不到虛假的SSID。
共享密碼認證
使用共享密碼的PSK認證方式的無線解決方案,由於每一個用戶都使用同一個密碼連AP,無法控制密碼的擴散範圍,有些甚至擴散到互聯網上。
凡是知道密碼的人都可以連入無線AP,可以盡情地捕獲所有的無線信號數據,然後把加密的無線數據全部解密出來,在明文數據的寶藏裡尋寶了。
WEP加密
這是最弱的一種無線加密方案,弱就弱在使用24位的初始化向量(IV)長度,意味著重複使用相同IV的概率非常高。網上破解無線密碼的教程都是針對這個算法的,使用工具可以非常輕鬆破解之。拿到了密碼就可以免費蹭網了。。。
儘管WEP已經被新一代無線技術標準所拋棄,但是在老款的無線路由器上還是支持的。沒有專業知識的群眾還會無意中繼續使用它。
如果有人還繼續在使用WEP,請無情地拋棄它,因為它很不安全!
閱讀更多 太原錦華計算機學校 的文章
