公共無線網(wǎng)絡(luò)如何確保安全

    設(shè)想一下：你坐在一家咖啡館，拿著一杯拿鐵享受著無線上網(wǎng)的快樂，準備回顧銷售策略和季度財務(wù)預(yù)測報告。首先你需要連接咖啡館提供的免費Wi-Fi。然后將你的筆記本和放映機連起來，以便整個咖啡館的人都可以看到，最后你發(fā)出去一些打印好的副本給其他人參考，這些里面含有機密的產(chǎn)品規(guī)格信息。

　　這聽起來可能有點可笑，但是如果你使用公共Wi-Fi而且沒有采取適當?shù)拇胧┑脑�，那么你的商業(yè)機密就可能會被其他的“咖啡同胞”分享。

　　開放Wi-Fi無隱私可言

　　今天，大多數(shù)的科技用戶都知道如何(以及為何)確保家庭無線路由器的安全。Windows 7和Vista在連接到未加密無線網(wǎng)絡(luò)的時候都會彈出一個對話框提醒用戶。

　　而在咖啡館、機場休息室或圖書館人們頻繁地不假思索地連接無線，盡管使用加密的連接查看比賽結(jié)果或航班狀態(tài)是可以接受的，但是讀取電郵或進行任何Web活動等需要登錄的做法，就好像你在人群中使用對講機不安全。

　　那么為什么所有的企業(yè)不對他們Wi-Fi網(wǎng)絡(luò)進行加密呢？答案就是IEEE 802.11設(shè)計規(guī)范的密鑰系統(tǒng)太過復(fù)雜：如果對流量進行加密，網(wǎng)絡(luò)所有者和管理者需要選擇一個密碼，也就是“網(wǎng)絡(luò)密鑰”。需要每個網(wǎng)絡(luò)都有自己的密鑰，無論網(wǎng)絡(luò)所有者選擇了相對不安全、并很久未更新的WEP還是相對安全的WPA或WPA2，這個密鑰都需要在所有的用戶中共享。

　　在家中，你需要進行設(shè)置，然后將密碼告訴你的家人，那么你們就可以在家中享受無憂的網(wǎng)上沖浪了。而在咖啡館，咖啡師不得不將密碼(或26位的十六進制WEP密鑰)告訴給每位客人，可能他們就可以聯(lián)網(wǎng)了。在這種情況下沒有什么比空密碼更簡便了。

　　然而，就算網(wǎng)絡(luò)已經(jīng)加密了，你可能也不是絕對安全的。一旦你的計算機知道了密鑰，只有對于那些和你不在同一網(wǎng)絡(luò)的人來說，你的信息才是安全的;所有“咖啡同胞”都可以看到你的流量，因為他們使用的是同一個密鑰。

　　你的私人業(yè)務(wù)就是你競爭對手的業(yè)務(wù)

　　但是如果你認為自己的數(shù)據(jù)沒有重要到別人會喜歡竊取，又會怎樣呢？也許你只是瀏覽一下網(wǎng)頁，不需要登錄郵箱或打開需要密碼的Web應(yīng)用。那么是否就會安全了呢？也未必。

　　設(shè)想一下，你剛從一個行業(yè)的貿(mào)易展覽回來，正在使用機場的Wi-Fi。沒有成百的電子郵件等你查看，你決定瀏覽一下競爭對手的網(wǎng)站，尋找一些靈感�；蛘哌x擇在網(wǎng)上研究可能達成的收購交易。

　　實際上，背后的情況是，你的電郵客戶端會檢測網(wǎng)絡(luò)連接并開始下載你的電郵�？偛磕愕囊粋�同事看到你的IM狀態(tài)瞬間變?yōu)椤霸诰�”并向你發(fā)送一個慌忙的請求：“工廠出現(xiàn)大問題啦，可能會被召回，盡快給鮑勃打個電話!”

　　只要有個無線數(shù)據(jù)包分析軟件，在同一塊休息區(qū)的恰巧和你曾經(jīng)參加過同一個會議的人就可以收集你瀏覽過的網(wǎng)站以及你(未加密)的即時消息等泄露的商業(yè)機密，更不要說招聘人員發(fā)給你的泄露出你要跳槽的郵件或者可以反映出你和你另一半關(guān)系問題的消息了。簡言之，不良企圖的人在你閱讀之前就閱讀了你的信息，你可能沒有做過任何事情。

　　堅持在SSL協(xié)議下使用web郵箱

　　首先為了與郵件間諜對抗，你應(yīng)該使用HTTPS協(xié)議的Web郵箱系統(tǒng)。幾乎所有Web郵箱系統(tǒng)在你登錄的時候都會使用HTTPS，所以你的密碼可以保證傳送的安全。而在當身份認證完成后，它們往往會返回使用HTTP，因為這可以降低服務(wù)器的計算應(yīng)變功耗，更易于服務(wù)廣告。

　　這意味著所有與你處于同一個無線網(wǎng)絡(luò)(無論是未加密的還是共享密鑰)的人都可以閱讀你電郵的內(nèi)容。在一些情況下，一些人可以盜取你的會話cookie并在無需密碼的情況就登錄到你的Web郵箱會話。

　　兩個非常明顯的例外是Gmail和你的企業(yè)電子郵件系統(tǒng)(例如 Outlook)。今年早些時候，Gmail從只在登錄時候使用HTTPS的做法，轉(zhuǎn)變后現(xiàn)在的整個Web郵箱會話都使用HTTPS。

　　谷歌應(yīng)用用戶之前可以選擇使用這個功能，但是現(xiàn)在默認的則退出了這個功能。這一變化，加上谷歌新出來的可疑的登錄檢測算法，讓Gmail成為免費Web郵箱供應(yīng)商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帳戶，你就會發(fā)現(xiàn)這一變化。

　　你公司的Web郵箱系統(tǒng)也很可能始終都受到HTTPS的保護，因為這是大多數(shù)系統(tǒng)的默認配置。然而，如果使用本地軟件(如Outlook,Thunderbird, Mac OS X的郵箱)查看工作信息，而不是基于Web的HTTPS郵箱，那么你可能不會被加密。

　　付費熱點：無安全性可談

　　在對這個課題進行研究的時候，我發(fā)現(xiàn)存在著一個對旅行者和咖啡愛好者的普遍誤解。從字面意義來看，需要每小時或每月進行費用訂閱的商業(yè)“熱點”(如AT&T, Boingo, GoGo, T-Mobile)比那些無需付費的競爭對手更加安全，因為這其中存在著一個密鑰的問題。

　　實際上，這些“熱點”幾乎都往往沒有加密，他們采用一種被稱為“套住門戶”的做法只是為了防止你在付費之前能夠連接上網(wǎng)。一旦驗證無線網(wǎng)絡(luò)中的所有流量都未被加密，那么這些“網(wǎng)關(guān)”Web門戶通常都通過HTTPS交付(為了保證信用卡信息和密碼的安全)。

　　所以，你每月10美元的費用卻不能保證訪問的安全。實際上，由于無線電頻率傳輸?shù)男再|(zhì)，任何人都可以看到你未被加密的流量，他們只需要加入同樣的SSID無線網(wǎng)絡(luò)。

　　這意味著外部人員可以輕易地觀看并截獲你瀏覽過的任何常規(guī)的HTTP網(wǎng)站，任何未加密的POP3郵件，任何你的FTP傳輸。聰明的黑客甚至可以修改他們的無線網(wǎng)卡來克隆出你的無線網(wǎng)卡，因此通過“搭載”在你的信號獲得免費進入一個商業(yè)“熱點”的機會。

　　使用VPN

　　如果你的公司提供了VPN(虛擬專用網(wǎng))接入互聯(lián)網(wǎng)訪問的功能，那么你在免費或付費的Wi-Fi“熱點”都應(yīng)該利用這個功能。通過你筆記本的VPN功能，你可以確保所有的通訊都是被高強度的密碼加密的，從Wi-Fi“熱點”的隧道通過互聯(lián)網(wǎng)進入你們公司的數(shù)據(jù)中心，在那里將數(shù)據(jù)解包并在公司的互聯(lián)網(wǎng)連接中發(fā)送出去。

　　這是訪問公司資源(內(nèi)聯(lián)網(wǎng)，電子郵件，數(shù)據(jù)庫)的一個安全的方法，因為無論誰與你同在一個無線網(wǎng)絡(luò)中，你都有專屬的通道到達你們公司。在一些公司的VPN配置中，除了訪問公司的資源外你也可以瀏覽互聯(lián)網(wǎng)。

　　這些可能比未加密的Web沖浪要相對慢一些，但是換來的安全性卻是值得的。此外，如果你到一個有互聯(lián)網(wǎng)限制規(guī)定的國家(如埃及)去旅行，你也可以使用位于美國的VPN連接回到“隧道”，就像你身處美國本土一樣打開你想要的網(wǎng)站。

　　如果你的公司沒有提供VPN服務(wù)或有個“分裂隧道”VPN(只允許公司的資源通過加密隧道，所有其他未加密的流量傳輸都會直接發(fā)送到“目的地”)的話，也不必擔心，你也可以保證安全。

　　你可以使用HotSpot Shield(“熱點盾”)，它是 AnchorFree生產(chǎn)的一款沒有任何費用的VPN服務(wù)。該公司提供的自有的VPN軟件可以安裝在你的筆記本上，然后你就可以使用公共Wi-Fi。

　　一旦你使用了這種軟件和服務(wù)，它會對你的流量進行加密并將其通過隧道發(fā)送到“熱點盾”數(shù)據(jù)中心，然后發(fā)送到互聯(lián)網(wǎng)，與公司的VPN服務(wù)器原理一致。熱點盾甚至有移動VPN設(shè)置(無需下載)功能來保護你通過iPhone進行的Web沖浪，前提是這些iPhone里內(nèi)置了思科的VPN客戶端軟件。

　　通過使用這樣的服務(wù)，你可以確保從咖啡館到位于北加州的AnchorFree數(shù)據(jù)中心旅行的安全。一旦你到了那里，你的流量就會以被加密的方式傳輸?shù)狡湓诨ヂ?lián)網(wǎng)上的最終目的地，就像你從筆記本瀏覽直接到達公司的數(shù)據(jù)中心。

　　如果加密隧道沒有在你瀏覽網(wǎng)站的時候一直傳輸，那么這一做法也不完全是安全的。然而，這至少比沒有任何VPN功能要安全更多;如果想要進入的話，那么“準數(shù)據(jù)盜賊”就需要訪問AnchorFree數(shù)據(jù)中心，而不僅僅是你所在的Wi-Fi網(wǎng)絡(luò)。

　　Wi-Fi沖浪安全總結(jié)：

　　1.如果你的公司有VPN可用于網(wǎng)上沖浪，那么就使用。

　　2.如果沒有公司的VPN可使用，可以考慮HotSpot Shield。

　　3.付費Wi-Fi互聯(lián)網(wǎng)不等于安全瀏覽。

　　4.在未加密的無線網(wǎng)絡(luò)中，任何人可以看到你瀏覽的信息(除非HTTPS網(wǎng)站)。

　　5.在加密的無線網(wǎng)絡(luò)中，任何擁有密鑰的人可以看到你所瀏覽的內(nèi)容(如室友或機場的人們)。

　　6.如果你必須使用Wi-Fi熱點，沒有任何形式的VPN，可以想象為你的筆記本正在與一個超大的體育場屏幕相連。不要訪問那些可能會被監(jiān)控的網(wǎng)站。