最近,fbi向人們證明了這樣乙個事實,人們可以很容易的分析攻擊有線等效加密,從而可以獲得那些使用了這個安全協議的無線網路的訪問權。根據這個公告,jonathan yarden正在考慮進行這樣的一次檢驗,也就是對安全性在無線網路中扮演的角色進行一次檢驗,並且根據這個檢驗的結果,他將針對如何保護無線網路的安全提出一些建議。
多年以前,在網路概念股非常繁榮時期的一次計算機展覽上,我在乙個現在已經癱瘓了的高速無限網路提供商的展台前駐足,針對這個提供商的無線網路,我向他們諮詢了一些關於無線網路的安全性方面的問題。因為802.11是當時非常流行的一種無線網路規格,因此在這些問題中,我還專門提到了802.11標準本身所固有的不安全因素。
當時在這個展台上服務的工程師向我保證,該公司的無線訪問技術當然是非常安全的,但是他無法向我解釋他們是如何實現這種無線網路的安全性的,並且沒有解釋這種技術為什麼是安全的。非常明顯的一點是,對於我作為乙個潛在的客戶,竟然能夠提出這樣簡單的問題,他們甚至感到非常可笑,並且看起來他當時對我的態度非常惡劣,除了想讓我從展台前離開外,他不想回答我的任何問題。
當然,這個展台是經過精心製作的,完全使用了當時非常流行的a/v 展覽,並且每個經過展台的觀眾都回被他們那非常現眼的著裝所吸引。但是,他們這種外表掩飾了他們的無知,因為他們不了解自己產品中所存在的不安全性。
雖然我們中的大多數人都認識到這種事實:表面現象往往很容易欺騙自己,但是,既便是這樣,對於絕大多數人來說,外表仍然能夠代表幾乎所有的一切。所以,我對聯邦調查局這個非常正規的機構最近一次向人們的演示感到非常讚賞:他們最後向人們演示了這樣的乙個事實,那就是絕大多數的無線網路都是不安全的。另外,該機構還宣稱802.11b也是一種不安全的技術,雖然我在幾年前曾經非常關注802.11b這種技術,它使用有線等效加密技術來代替標準的802.11a進行訪問。這種技術被認為是802.11a的一種安全替代技術,曾經得到了大家的大力追捧。
我真的希望這個事實能夠讓人們能夠相信,一定要有充分的資訊保安知識。表面上看來,fbi只是花費了三分鐘就演示完了如何攻擊wep加密技術,並且獲得了安全網路的訪問許可權。
fbi的發現應該可以作為給目前正在使用無線訪問技術的機構的乙個警告,並且這可以作為阻止某些公司全面使用無線網路的乙個理由。無論怎麼說,那些使用無線網路的公司應該更應該意識到,安全在無線網路中所扮演的角色。
無論fbi的演示能夠說明什麼,對於乙個公司來說,很重要的一點就是應該懂得這樣的概念:無論你使用了多麼安全的無線網路,除非你部署了端到端的加密技術,否則都沒有所謂的真正的安全通訊。雖然無線技術有很多的優勢,但是無線的安全性永遠也沒有辦法和有線網路的安全性相提並論。
不幸的是,大多數的公司在選擇可用性和安全性方面,更趨向於可用性,很多公司都已經部署了無線接入網路,在很多軟體公司中這種使用方式尤其明顯。另外,在很多情況下,許多組織並沒有考慮到這樣的事實,那就是在很多場合下,無線接入技術並非真的有比有線網路多更多的優勢。
事實上,這真的可能會引入更多的新問題。我都記不清我曾經親自見證過多少次使用802.11b技術的無線網路出現問題,這些問題完全是由於使用2.4ghz的無線**(常常是無線pbx系統)所導致的。
雖然我個人對無線網路訪問技術存在一定的偏見,但是如今無線網路已經大量存在於公司環境中,並且配置無線網路的公司還在不斷增加。然而,對於那些在決定是否使用無線網路的公司來說,我還是強烈建議他們使用下面的戰略:只在那些不可能使用有線網路訪問的情況下使用無線網路訪問技術,不要將其作為乙個簡單的替換技術或者作為一種趨勢來替換有線網路。
並且,在作出決定時,安全性應該是首先要考慮的因素,一定要記住的是,之所以要保留有線網路,要考慮的因素是多方面的,而不僅僅是安全性的因素。例如,有線網路可以處理非常高速的頻寬,並且可以提供較好的安全性,因為他們不需要在網路中廣播資訊包。
當然,如果頻寬不是要考慮的主要問題,並且可以確信無線是解決問題的方法的話,剩下的問題是確保盡可能的讓無線接入網路不要依賴於wep技術而盡可能的採取其他更為安全手段。目前實現這個目的的兩個方法為:使用安全協議如點對點隧道協議(***p)或者第二層隧道協議(l2tp),並且根據使用者的名字和口令來實現訪問控制或者一些其他的認證方法。如果在混合網路中使用ipsec安全協議,那你既可以獲得訪問控制功能,也可以獲得端到端的加密功能,這樣一來,可以讓你的無線網路比有線網路的訪問更為安全。但是,要記住的是,目前這個解決方案仍然還存在一些衝突需要解決。
當然,有些人可能會認為,wi-fi保護訪問(wpa)提供的802.11i具有上述所有安全特性, wep將會被wpa所替代,並且可以具備很好的衝突控制功能。雖然這是乙個很好的新聞,但是,在有規劃替換現存的無線網路裝置或者公升級現存的無線網路韌體之前(即使這種技術可能能夠實現),802.11i對大家還沒有任何用處。
另外,要記住的是,無論出現了什麼樣的安全技術或者安全標準,總是會有人在那裡試圖對其進行攻擊,wpa也不例外。在我的經驗中,你可以以很低的成本部署吉位元乙太網進行訪問,在不考慮資料加密的前提下,這種技術可以提供更好的安全性和頻寬。
如果無線接入網路是你的唯一選擇的話,在決定替換或者公升級現存的802.11a和802.11b裝置之前,先看一看在你現存的基礎設施上使用***p/l2tp 或者ipsec等安全協議的可能性。雖然從技術的觀點出發,這並不是乙個"非常好的"解決方法,但是這是一種非常有用的做法,並且可以證明這種做法將比802.11i更為安全。至於我,我仍然願意使用有線網路。
本文作者jonathan yarden是高階unix系統管理員,網路安全經理並且是乙個區域isp的高階軟體架構師。
無線網路安全
最近買了本本,研究起無線網路,dd wrt,蹭網。當初看到無線網路破解還是在cnbeta,搜尋了一下,居然已經這麼容易。但是也有不容易的地方,比如aircrack ng.org 被遮蔽,很多網絡卡沒有對應的windows驅動,linux下面的驅動也不完善。總歸天無絕人之路,你可以用usb網絡卡,用u...
如何保證無線網路安全
無線網路安全已經越發受到重視,隨著無線網路的普及,企業內部都已經開始出現了無線辦公的環境。那麼無線網路安全一旦遭到威脅,很有可能直接結果就是使企業敏感資訊遭到洩露。那麼我們如何保障無線網路安全呢?無線網路安全 轉向企業級加密 如果你建立了乙個wpa或wpa2的加密金鑰,並且在連線到某個無線網路時必須...
教你如何保護WiFi無線網路安全
的技術專案經理 日前在 官方部落格發布了一篇文章,講解如何保護 無線網路安全,鑑於家庭 網路已經非常普遍,如何防止周圍鄰居通過 攻擊你的家庭網路也成為乙個現實的問題,這篇文章講述了提公升 網路安全的幾個簡單有效的方法,全文內容翻譯如下。全球有超過四分之一的網際網路使用者在家使用 上網,不過其中許多人...