戳穿謠言:隱藏無線網絡的SSID真的安全嗎?
似乎每個無線網絡安全指南都會告訴你,禁止廣播 SSID 能使網絡更安全。但那真的有用嗎? 讓我們瞧瞧這個荒謬的謠言。
這個謠言傳了相當久,我們沒指望人人都樂于接受這篇文章。歡迎各位在評論里發表看法,說說為什么隱藏無線網絡是很贊的,但我們覺得如果你能繼續讀下去,就會了解其實那并不是一項安全特性。
無線SSID并非設計成隱藏的
如果制造商開發的技術沒有遵循商定好的、用來保證供應商間互操作性的技術文檔,那就壓根沒好事 -- 一般這是他們為了賺更多錢而采用的一種辦法,通過綁定供應商來迫使你買他們的設備。
對于這兒的情況,802.11 無線協議要求接入點廣播它們的 SSID,而且這是起碼要做的。參見 Microsoft’s Steve Riley:
SSID只是網絡名, 并非 -- 強調下,不是 -- 密碼。無線網絡需要一個SSID來和周圍其它的無線網絡區分開。SSID絕非設計成隱藏的, 所以即便你設法去隱藏它,也不會給你的網絡帶來任何保護。
顯然是由特性需求驅動了技術規范,所以即使每個人都去支持隱藏SSID,但結果仍不會帶來任何的安全。繼續。
找出隱藏的SSID很簡單
找出隱藏網絡的ID灰常容易--你要做的就是使用諸如 inSSIDer, NetStumbler, 或Kismet 等程序掃描,一會兒就能找到當前周圍的所有網絡。簡單的不得了,做這種事有大把的工具可用。
不信?隨便下載一個,安裝運行,開始掃描 -- 1分鐘內你就能看見周圍所有網絡的列表。還能分辨出哪個用的是 WEP,然后破掉它。
更新:一些評論者抱怨說根本看不見網絡… 我們這里必須澄清一下:在這個工具的1.0版里,隱藏網絡僅顯示為Unknown,但其它信息都可以顯示,比如加密類型和MAC地址。inSSIDer 2.0的版本就可以顯示隱藏網絡的SSID了。你可以看看下面的截圖,那個 lhdevnet 網絡,我已經在路由器中設為隱藏。
實際黑客都會用如Kismet或Aircrack之類的來找出所要破解網絡的SSID。所以這個工具能否正確顯示數據并不重要。但建議你可以用它去試試 調整無線路由器頻段以優化無線信號。
隱藏的無線網絡是需要面對的不爽
既然你已經知道獲取你的ID是多么容易,干嘛不干脆使用默認網絡設置呢?這樣自己也能方便的從列表中選擇網絡。為啥還要經過好幾步去連接一個隱藏網絡?
例如,在你的win7面板上,你必須通過Network and Sharing Center –> Manage Wireless Networks –> Add –> Manually Create a network profile 這些步驟去設置隱藏網絡的所有細節。而對于廣播ID的網絡,鼠標只需點兩下就行。
怎么說win7也簡化了無線網絡設置--必須完成設備的所有設置頁是可笑的。#p#
隱藏網絡可能導致連接問題
對win7來說這不算什么問題,但對xp來講隱藏SSID可能導致連接上的問題,更別說掉線或連錯網絡了。實際上,Windows會試圖自動連接非優先的廣播網絡而不是優先的、隱藏SSID的網絡--唯一的解決辦法是禁用自動連接到廣播網絡,但這樣設置還是挺煩。
這種情況同樣適用于一些其它的設備--我的Android手機就碰到過,你用google一搜就能發現一堆類似問題,但都通過不隱藏SSID而解決了。
隱藏網絡名還有個問題:這與設備有關,許多設備都不會自動連接隱藏網絡。但如果你勾選了自動連接,實際你已經暴露了自己的網絡名。我們下面會講。
隱藏無線SSID實際泄露了你的SSID名
當你在路由器上設置隱藏無線SSID,實際這個舉動背后將是你的筆記本或移動設備會開始向周圍ping以找到你的路由器--無論你身在何處。所以當你坐在附近的咖啡店里,你的筆記本或iPhone正告訴周圍的網絡掃描者,你的家或公司里有個隱藏網絡。
微軟的Technet詳細解釋了 為何隱藏SSID不是項安全特性,尤其對于老客戶端:
win7或vista要好點,只要你不設成自動連接--為了不暴露網絡名,你只能禁用自動連接到隱藏網絡功能。微軟的解釋:
那該如何保證安全性?
對于無線網絡安全,只有一個原則需要遵守: 使用WPA2加密,并確保自己使用了足夠強的網絡密鑰。如果你沒在用自己的熱點,一定要讀讀這篇guide to keeping secure on a public wireless hotspot。
如果你沒用加密,或在用杯具的WEP加密模式,那隱藏你的SSID,過濾MAC地址,或把你的頭裹在保鮮膜里,都是浮云——你的網絡對黑客入侵就是敞著的,也就幾分鐘的事。
【編輯推薦】
