还记得Google的气球计划吗?其利用气球装载上网设备,搭建天空Wi-Fi网络的壮举一度让世人惊叹。目前像Google一样普及Wi-Fi的商业巨头已达数十个,并纷纷将其作为下一步获取稳定客户和新业务突破点的主要途径。
在Wi-Fi网络成为趋势,越来越多的用户将自己的智能手机、平板电脑、PC接入Wi-Fi网络中时,一个关键问题开始涌现:Wi-Fi网络真的安全吗?
网络攻击呈现多样化
伴随数据流量的爆炸式增长,网络上受到的攻击方式也呈现多样化特点,在Wi-Fi网络中,比较常见的安全威胁包括非法用户伪造身份接入、流氓AP、会话拦截与监听、恶意流量注入攻击阻塞网络服务等方式。
在Ruckus中国区解决方案架构总监聂小云看来,WLAN面临安全威胁比有线网络多,而且Wi-Fi由于传输介质的开放性和工作原理,更容易受到窃听分析(Eavesdropping)、Honeypot(蜜罐)、密码/PIN攻击、DoS攻击、中间人等攻击。例如最近流行的通过密码攻击(字典攻击和猜测得到用户名码)获取无线路由器的管理权限,从而了解拥有者相关信息的情况,就属于“窃听分析+密码攻击”。
特别值得注意的是,现在用户在公共场所接入免费Wi-Fi已成为习惯,然而“开放的Wi-Fi接入意味着所有传输的数据对窃听者来说都是开放的,可以获得使用者的全部数据。Honeypot可以模仿开放热点获取几乎使用者的全部认证和访问数据。”聂小云说到。
公共Wi-Fi威胁几乎无抵抗力
目前业界针对Wi-Fi网络的防范,主要从接入控制鉴权和数据加密两个角度入手。前者目的是为了验证使用者的身份,防止身份伪造;后者是避免数据在传输过程中被窃取或伪造。中兴无线专家指出,实际上Wi-Fi系统里对这两方面都做了详细的防护规范,比如WPA2就是目前安全防护等级较高的标准。
据悉,WPA2采用EAP的身份认证系统,通过专门的认证服务器来保证接入用户的身份,每次登陆的密钥由认证服务器生成,安全性远高于用户名密码方式,并且可以防范终端MAC伪造;同时WPA2可以对数据进行AES 128位加密,避免数据被窃取或篡改。
“不过从目前的应用来看,大量的Wi-Fi网络都是Open模式,即不对接入者进行身份认证,也不对数据进行加密,直接用明文发送。”中兴专家说到。同时,对于防范非法AP,锐捷网络无线产品经理朱继明也表示用户基本是“无能为力”的,“因为当SSID名称一致时,用户无法分辨哪个是真哪个是假。”
除此以外,即使在家庭环境等封闭网络中,安全隐患同样存在,例如近段时间爆发的路由器DNS劫持事件,一旦路由器DNS被黑客篡改,所有连接这个路由器上网的电脑、手机、Pad等设备都会被黑客劫持,可能出现的情况包括知名网站被插入广告,访问网银等重要站点被带到假冒的钓鱼页面,导致账号密码泄露等后果。
用户防备
那么对于个人用户,应该如何应对这些安全威胁呢?
上海斐讯家庭终端业务市场经理汪君红建议,个人用户在公共区域使用免费Wi-Fi时,尽量不使用无密码的免费Wi-Fi,“尤其在公共场所连接Wi-Fi时,应向管理处咨询,确认无线网络名称和密码,并开设安全VPN通道后方可使用。”对于没有条件使用VPN通道的用户,可以使用一些随身Wi-Fi安全产品来搭建临时加密通道,以确保Wi-Fi上网安全。
同时在公共场所连接Wi-Fi时,多位专家建议尽量不要使用网银、在线支付、电子邮箱等含有重要信息的应用,一旦发现网络访问异常、弹出恶意广告或陌生链接时,应立刻断开Wi-Fi;在使用公共场所的WiFi浏览网站时,应手动输入网站地址,并使用https协议打开网站;如果必须在公共Wi-Fi的环境下使用邮箱,应将重要内容放在邮件附件中,并尽量为附件进行压缩加密。在使用电子邮件程序时,应勾选SSL、SMTPS、POP3S、IMAPS等安全选项,以确保邮件内容的安全。
在家庭热点方面,聂小云建议不要使用WPS/PIN码验证。同时其认为应设置WPA2安全,而不是WPA甚至WEP,密钥长度和内容也需要随机且长度足够长(16位以上,采用数字、大小写字母混编字符,如果怕忘记,请记录到某个地方)。当然,对于普通用户,应选择专业厂家的产品,保证系统本身的安全和访问数据不被窃取。
|