公共無線網(wǎng)絡(luò)如何確保安全



    設(shè)想一下:你坐在一家咖啡館,拿著一杯拿鐵享受著無線上網(wǎng)的快樂,準(zhǔn)備回顧銷售策略和季度財務(wù)預(yù)測報告。首先你需要連接咖啡館提供的免費Wi-Fi。然后將你的筆記本和放映機連起來,以便整個咖啡館的人都可以看到,最后你發(fā)出去一些打印好的副本給其他人參考,這些里面含有機密的產(chǎn)品規(guī)格信息。

  這聽起來可能有點可笑,但是如果你使用公共Wi-Fi而且沒有采取適當(dāng)?shù)拇胧┑脑,那么你的商業(yè)機密就可能會被其他的“咖啡同胞”分享。

  開放Wi-Fi無隱私可言

  今天,大多數(shù)的科技用戶都知道如何(以及為何)確保家庭無線路由器的安全。Windows 7和Vista在連接到未加密無線網(wǎng)絡(luò)的時候都會彈出一個對話框提醒用戶。

  而在咖啡館、機場休息室或圖書館人們頻繁地不假思索地連接無線,盡管使用加密的連接查看比賽結(jié)果或航班狀態(tài)是可以接受的,但是讀取電郵或進(jìn)行任何Web活動等需要登錄的做法,就好像你在人群中使用對講機不安全。

  那么為什么所有的企業(yè)不對他們Wi-Fi網(wǎng)絡(luò)進(jìn)行加密呢?答案就是IEEE 802.11設(shè)計規(guī)范的密鑰系統(tǒng)太過復(fù)雜:如果對流量進(jìn)行加密,網(wǎng)絡(luò)所有者和管理者需要選擇一個密碼,也就是“網(wǎng)絡(luò)密鑰”。需要每個網(wǎng)絡(luò)都有自己的密鑰,無論網(wǎng)絡(luò)所有者選擇了相對不安全、并很久未更新的WEP還是相對安全的WPA或WPA2,這個密鑰都需要在所有的用戶中共享。

  在家中,你需要進(jìn)行設(shè)置,然后將密碼告訴你的家人,那么你們就可以在家中享受無憂的網(wǎng)上沖浪了。而在咖啡館,咖啡師不得不將密碼(或26位的十六進(jìn)制WEP密鑰)告訴給每位客人,可能他們就可以聯(lián)網(wǎng)了。在這種情況下沒有什么比空密碼更簡便了。

  然而,就算網(wǎng)絡(luò)已經(jīng)加密了,你可能也不是絕對安全的。一旦你的計算機知道了密鑰,只有對于那些和你不在同一網(wǎng)絡(luò)的人來說,你的信息才是安全的;所有“咖啡同胞”都可以看到你的流量,因為他們使用的是同一個密鑰。

  你的私人業(yè)務(wù)就是你競爭對手的業(yè)務(wù)

  但是如果你認(rèn)為自己的數(shù)據(jù)沒有重要到別人會喜歡竊取,又會怎樣呢?也許你只是瀏覽一下網(wǎng)頁,不需要登錄郵箱或打開需要密碼的Web應(yīng)用。那么是否就會安全了呢?也未必。

  設(shè)想一下,你剛從一個行業(yè)的貿(mào)易展覽回來,正在使用機場的Wi-Fi。沒有成百的電子郵件等你查看,你決定瀏覽一下競爭對手的網(wǎng)站,尋找一些靈感;蛘哌x擇在網(wǎng)上研究可能達(dá)成的收購交易。

  實際上,背后的情況是,你的電郵客戶端會檢測網(wǎng)絡(luò)連接并開始下載你的電郵。總部你的一個同事看到你的IM狀態(tài)瞬間變?yōu)椤霸诰”并向你發(fā)送一個慌忙的請求:“工廠出現(xiàn)大問題啦,可能會被召回,盡快給鮑勃打個電話!”

  只要有個無線數(shù)據(jù)包分析軟件,在同一塊休息區(qū)的恰巧和你曾經(jīng)參加過同一個會議的人就可以收集你瀏覽過的網(wǎng)站以及你(未加密)的即時消息等泄露的商業(yè)機密,更不要說招聘人員發(fā)給你的泄露出你要跳槽的郵件或者可以反映出你和你另一半關(guān)系問題的消息了。簡言之,不良企圖的人在你閱讀之前就閱讀了你的信息,你可能沒有做過任何事情。

  堅持在SSL協(xié)議下使用web郵箱

  首先為了與郵件間諜對抗,你應(yīng)該使用HTTPS協(xié)議的Web郵箱系統(tǒng)。幾乎所有Web郵箱系統(tǒng)在你登錄的時候都會使用HTTPS,所以你的密碼可以保證傳送的安全。而在當(dāng)身份認(rèn)證完成后,它們往往會返回使用HTTP,因為這可以降低服務(wù)器的計算應(yīng)變功耗,更易于服務(wù)廣告。

  這意味著所有與你處于同一個無線網(wǎng)絡(luò)(無論是未加密的還是共享密鑰)的人都可以閱讀你電郵的內(nèi)容。在一些情況下,一些人可以盜取你的會話cookie并在無需密碼的情況就登錄到你的Web郵箱會話。

  兩個非常明顯的例外是Gmail和你的企業(yè)電子郵件系統(tǒng)(例如 Outlook)。今年早些時候,Gmail從只在登錄時候使用HTTPS的做法,轉(zhuǎn)變后現(xiàn)在的整個Web郵箱會話都使用HTTPS。

  谷歌應(yīng)用用戶之前可以選擇使用這個功能,但是現(xiàn)在默認(rèn)的則退出了這個功能。這一變化,加上谷歌新出來的可疑的登錄檢測算法,讓Gmail成為免費Web郵箱供應(yīng)商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帳戶,你就會發(fā)現(xiàn)這一變化。

  你公司的Web郵箱系統(tǒng)也很可能始終都受到HTTPS的保護(hù),因為這是大多數(shù)系統(tǒng)的默認(rèn)配置。然而,如果使用本地軟件(如Outlook,Thunderbird, Mac OS X的郵箱)查看工作信息,而不是基于Web的HTTPS郵箱,那么你可能不會被加密。

  付費熱點:無安全性可談

  在對這個課題進(jìn)行研究的時候,我發(fā)現(xiàn)存在著一個對旅行者和咖啡愛好者的普遍誤解。從字面意義來看,需要每小時或每月進(jìn)行費用訂閱的商業(yè)“熱點”(如AT&T, Boingo, GoGo, T-Mobile)比那些無需付費的競爭對手更加安全,因為這其中存在著一個密鑰的問題。

  實際上,這些“熱點”幾乎都往往沒有加密,他們采用一種被稱為“套住門戶”的做法只是為了防止你在付費之前能夠連接上網(wǎng)。一旦驗證無線網(wǎng)絡(luò)中的所有流量都未被加密,那么這些“網(wǎng)關(guān)”Web門戶通常都通過HTTPS交付(為了保證信用卡信息和密碼的安全)。

  所以,你每月10美元的費用卻不能保證訪問的安全。實際上,由于無線電頻率傳輸?shù)男再|(zhì),任何人都可以看到你未被加密的流量,他們只需要加入同樣的SSID無線網(wǎng)絡(luò)。

  這意味著外部人員可以輕易地觀看并截獲你瀏覽過的任何常規(guī)的HTTP網(wǎng)站,任何未加密的POP3郵件,任何你的FTP傳輸。聰明的黑客甚至可以修改他們的無線網(wǎng)卡來克隆出你的無線網(wǎng)卡,因此通過“搭載”在你的信號獲得免費進(jìn)入一個商業(yè)“熱點”的機會。

  使用VPN

  如果你的公司提供了VPN(虛擬專用網(wǎng))接入互聯(lián)網(wǎng)訪問的功能,那么你在免費或付費的Wi-Fi“熱點”都應(yīng)該利用這個功能。通過你筆記本的VPN功能,你可以確保所有的通訊都是被高強度的密碼加密的,從Wi-Fi“熱點”的隧道通過互聯(lián)網(wǎng)進(jìn)入你們公司的數(shù)據(jù)中心,在那里將數(shù)據(jù)解包并在公司的互聯(lián)網(wǎng)連接中發(fā)送出去。

  這是訪問公司資源(內(nèi)聯(lián)網(wǎng),電子郵件,數(shù)據(jù)庫)的一個安全的方法,因為無論誰與你同在一個無線網(wǎng)絡(luò)中,你都有專屬的通道到達(dá)你們公司。在一些公司的VPN配置中,除了訪問公司的資源外你也可以瀏覽互聯(lián)網(wǎng)。

  這些可能比未加密的Web沖浪要相對慢一些,但是換來的安全性卻是值得的。此外,如果你到一個有互聯(lián)網(wǎng)限制規(guī)定的國家(如埃及)去旅行,你也可以使用位于美國的VPN連接回到“隧道”,就像你身處美國本土一樣打開你想要的網(wǎng)站。

  如果你的公司沒有提供VPN服務(wù)或有個“分裂隧道”VPN(只允許公司的資源通過加密隧道,所有其他未加密的流量傳輸都會直接發(fā)送到“目的地”)的話,也不必?fù)?dān)心,你也可以保證安全。

  你可以使用HotSpot Shield(“熱點盾”),它是 AnchorFree生產(chǎn)的一款沒有任何費用的VPN服務(wù)。該公司提供的自有的VPN軟件可以安裝在你的筆記本上,然后你就可以使用公共Wi-Fi。

  一旦你使用了這種軟件和服務(wù),它會對你的流量進(jìn)行加密并將其通過隧道發(fā)送到“熱點盾”數(shù)據(jù)中心,然后發(fā)送到互聯(lián)網(wǎng),與公司的VPN服務(wù)器原理一致。熱點盾甚至有移動VPN設(shè)置(無需下載)功能來保護(hù)你通過iPhone進(jìn)行的Web沖浪,前提是這些iPhone里內(nèi)置了思科的VPN客戶端軟件。

  通過使用這樣的服務(wù),你可以確保從咖啡館到位于北加州的AnchorFree數(shù)據(jù)中心旅行的安全。一旦你到了那里,你的流量就會以被加密的方式傳輸?shù)狡湓诨ヂ?lián)網(wǎng)上的最終目的地,就像你從筆記本瀏覽直接到達(dá)公司的數(shù)據(jù)中心。

  如果加密隧道沒有在你瀏覽網(wǎng)站的時候一直傳輸,那么這一做法也不完全是安全的。然而,這至少比沒有任何VPN功能要安全更多;如果想要進(jìn)入的話,那么“準(zhǔn)數(shù)據(jù)盜賊”就需要訪問AnchorFree數(shù)據(jù)中心,而不僅僅是你所在的Wi-Fi網(wǎng)絡(luò)。

  Wi-Fi沖浪安全總結(jié):

  1.如果你的公司有VPN可用于網(wǎng)上沖浪,那么就使用。

  2.如果沒有公司的VPN可使用,可以考慮HotSpot Shield。

  3.付費Wi-Fi互聯(lián)網(wǎng)不等于安全瀏覽。

  4.在未加密的無線網(wǎng)絡(luò)中,任何人可以看到你瀏覽的信息(除非HTTPS網(wǎng)站)。

  5.在加密的無線網(wǎng)絡(luò)中,任何擁有密鑰的人可以看到你所瀏覽的內(nèi)容(如室友或機場的人們)。

  6.如果你必須使用Wi-Fi熱點,沒有任何形式的VPN,可以想象為你的筆記本正在與一個超大的體育場屏幕相連。不要訪問那些可能會被監(jiān)控的網(wǎng)站。

北大青鳥網(wǎng)上報名
北大青鳥招生簡章