安全手段全無效 誰來保障你的無線安全?
原創【51CTO.com獨家快譯】無線網絡安全并不是一件很困難的事情。簡單的說,它的領域非常的小。然而,仍然有很多技術性的出版物里充斥著技術性錯誤的文章,許多博客里也充滿了技術性錯誤。
舉個例子,Consumer Reports Magazine雜志是所有人都信賴的信息來源,我也是該雜志的忠實讀者,已經訂閱該雜志的印刷版多年了。但是,當涉及到計算機方面時,他們就不再這樣可信賴了。
2009年8月6日,在該雜志網站的博客上貼出了一篇文章,建議用戶使用WEP來保障無線網絡的安全性,而這卻是非常糟糕的建議。在文章公布一個星期之后,編輯糾正了它,說他們建議使用WPA,但這也不是最好的選擇。即使該雜志非常羞愧的糾正了他們的錯誤,可是他們仍然是錯的。
因此,我獻上這篇文章,因為大多數人(包括Consumer Reports Magazine)都需要了解有關無線網絡的安全問題。
從最開始說起
首先,有四種類型的Wi-Fi網絡(802.11A,802.11G,802.11g和802.11n)。但是,無線網絡安全不依賴于任何一種類型。
如果你無需輸入密碼就能夠連接到一個無線網絡,那么這就沒有安全性可言了。在這種情況下,術語“安全”就是指當數據在空中傳輸的時候對其進行加密。
這種方法就是為了防止一些別有用心的人捕獲從肉雞里面進出的信息,盡管那些人在幾百英尺遠的地方。
Wi-Fi網絡安全提供三種選擇:WEP,WPA和WPA2。作為一個簡單的介紹,我們認為WEP相對來說最差, WPA好一些,WPA2是最好的。
WEP是最為陳舊的安全選項,它已被證明是非常脆弱的。它可能比不采用任何安全措施來的要好,但是也好不到哪里去,所以請盡量不要使用它。就連Consumer Reports Magazine最近一篇建議使用WEP的文章也是發表于2005年。
WPA其實是一個技術上的認證,而不是一個安全標準,但由于它僅包括了一個安全協議TKIP,所以人們常常為此感到困惑。其實,當人們引用WPA時,他們真正引用的是TKIP協議。
WPA與TKIP結合,雖然不是最好,但也相當不錯。如果你有一個選擇,應該選擇最安全的(下一段將要講到);如果你沒有選擇(更多、更高的版本),那么TKIP也是相當不錯的。
WPA2跟WAP一樣,也是一種技術上的認證,而不是一個安全標準。 WPA2的安全標準,包括兩個安全標準:TKIP和CCMP。如果用戶使用了TKIP,那就不用管路由器WPA還是WPA2了,因為兩種TKIP指的是同一個東西。
最好的安全方式是CCMP,它只存在于WPA2中,所以人們又一次的把安全協議與安全認證相混淆了。當人們引用WPA2時,他們真正引用其實是CCMP協議。
但是,沒有人引用CCMP(不要問它代表什么)。不管什么原因,把CCMP安全協議引用為AES都是錯誤的。所以,當你配置路由器時,您首先需要選擇的WPA2,然后你需要選擇AES(而不是TKIP),以獲得最好的安全和加密。
WPA TKIP的缺陷
TKIP安全協議(通常稱為WPA)是有缺陷的。有關它的第一個漏洞曝光于2008年11月,第二個則是在上個月剛曝光的。但是,這兩個漏洞都并非那么嚴重。
第一個漏洞可以通過禁用路由器的Quality of Service(QOS)防御。但是極少數人會使用QOS。
第二個漏洞是由安全專家Steve Gibson介紹的。例如,它要求在受害者的電腦在無線路由器接收范圍以外。攻擊者必須一邊連接到路由器,一邊連接到用戶電腦上。所以攻擊者在邏輯上和物理上都處于用戶和路由器之間的位置。
每一個漏洞都能讓別人找到密碼,但是它們只支持解密非常小的數據包。而這些小數據包不會包含用戶的任何資料。
但并不是這些缺點本身使WPA2-AES成為最好的選擇。事實上,是WAP的大壩已經出現了裂縫,有誰能知道明年會變成了什么呢?WPA2-AES是開發和建立得比較晚的安全協議,它在早期的安全協議上做了很多的改進工作,而且到目前為至還沒有在其身上發現已知的安全威脅。
在WPA2使用中會遇到的問題
每個人其實都能選擇使用WPA2-AES,但也許會遇到許多阻礙。
WPA2-AES比WPA-TKIP需要更大的功率。較舊的路由器可能沒有足夠的功率。如果你的路由器不提供WPA2,你可以檢查固件更新,但更有可能的是你必須購買新的路由器,以獲得最佳的安全性。
其次,因為它是最新的,也是最好的,可是你計算機、手機、游戲機、互聯網廣播或任何其他你可以使用無線網絡的設備也可能不支持WPA2-AES。
例如,Windows XP SP2中不支持WPA2,即使它已經保持了對補丁的更新。需要另外安裝一個“修復補丁”(KB893357)來使你的Windows XP SP2 支持WPA2。
一個WPA2的路由器可以同時提供TKIP和AES。可以只使用AES,也是很好的。某些時候,你只有選擇這個方法才能支持較舊的設備。
因為AES-CMMP協議的姍姍來遲,一些不愿意苦苦等待的硬件制造商把該協議的草案加入到了WPA路由器。由于這些是早期的草案,而不是最終版本的協議,他們在更新型的硬件下可能無法工作。
不過,如果更換舊的WPA路由器是一件重要的事,我想還是值得一試的。
兩個其他方面的安全
WPA和WPA2都有兩種版本,個人和企業。個人版只有一個密碼,而使用企業版的每一個無線網絡用戶都有一個自己的密碼。個人版也稱為預共享密鑰或簡稱為PSK。
因此,從技術上來說,為消費者和小型企業帶來最佳的安全體驗的版本應該是WPA2-PSK-AES-CCMP.
但是,如果你選擇了一個糟糕的口令,整個一堆字母的組合還是會經不起推敲的。
數據仍然在空中傳輸,壞家伙們仍然可以抓到它們,然后保存下來,并在不聯網的情況下進行破解。以這種每秒上千次的破解計算速度而言,不到一天,你的密碼還是會被破解的。
當你以這種方式進行連接時,也許沒有人會攻擊你。但是如果攻擊者真的這樣做了,唯一的防御是一個很長的、合理的隨機密碼。WPA和WPA2的密碼最多可以支持63個字符長。所以更好的理解是,把密碼看成是“一個句子”,而不是“一個單詞”。
【51CTO.com獨家譯稿,轉載請注明來出處】
原文:The Best Security for Wireless Networks 作者:Michael Horowitz
【編輯推薦】
