只要采取正确的保护措施,Wi-Fi完全可以具备相当程度的安全性。遗憾的是,网上总是充斥着种种过时的建议与虚构的指导。在本文当中,我将为大家总结数项正面与负面措施,希望能够切实为提高Wi-Fi安全性带来帮助。
Wi-Fi自身的特性注定了它很容易遭受攻击及窃听活动的骚扰,但只要我们采取正确的保护措施,它仍然可以具备相当程度的安全性。遗憾的是网上流传着太多过时的建议与虚构的指导,而我在本文中将与大家分享数项正面与负面措施,旨在为切实提高Wi-Fi安全性带来帮助。
1. 不要使用WEP
WEP(即有线等效保密机制)保护早已过时,其底层加密机制现在已经完全可以被一些没啥经验的初心者级黑客轻松打破。因此,大家不应该再使用 WEP。立即升级到由802.1X认证机制保护的WPA2(即Wi-Fi接入保护)是我们的不二选择。如果大家使用的是旧版客户端或是接入点不支持 WPA2,那么请马上进行固件升级或者干脆更换设备吧。(推荐阅读:无线攻防:破解WEP密钥(图))
2. 不要使用WPA/WPA2-PSK
WPA以及WPA2中的预共享密钥(简称PSK)模式对于商务或企业应用环境不够安全。在使用这一模式时,必须将同样的预共享密钥输入到每个客户端当中。也就是说每当有员工离职或是某个客户端遭遇丢失或被窃事件,我们都需要在全部设备上更改一次PSK,这对于大部分商务环境来说显然是不现实的。(推荐阅读:完全教程 Aircrack-ng破解WEP、WPA-PSK加密利器)
3. 必须采用802.11i
WPA以及WPA2安全机制所采用的EAP(即扩展认证协议)模式通过802.1X认证机制代替代替PSK,这样我们就有能力为每位用户或每个客户端提供登录凭证:用户名、密码以及/或者数字证书。真正的加密密钥会定期修改,并在后台直接进行替换,使用者甚至不会意识到这一过程的发生。因此要改变或撤销用户的访问权限,我们只需在中央服务器上修改登录凭证,而不必在每个客户端中更换PSK。每次会话所配备的独立密钥也避免了用户流量遭受窃听的危险 –这一点如今在火狐插件Firesheep以及Android应用程序DroidSheep之类工具的辅助之下已经变得非常简单。要使用802.1X认证机制,我们必须先拥有一套RADUIS/AAA服务器。如果大家使用的是Windows Server 2008或是该系列的更高版本,也可以考虑使用网络策略服务器(简称NPS)或是互联网验证服务(简称IAS)的早期服务器版本。而对于那些没有采用 Windows Server的用户来说,开源服务器FreeRADIUS是最好的选择。
4. 保证802.1X客户端得到正确的配置
WPA/WPA2的EAP模式在中间人攻击面前仍然显得有些脆弱,不过保证客户端得到正确的配置还是能够有效地防止此类威胁。举例来说,我们可以在 Windows的EAP设置中通过选择CA认证机制以及指定服务器地址来启用服务器证书验证;也可以通过提示用户新的受信任服务器或CA认证机制来禁用该机制。
我们同样可以将802.1X配置通过组策略或者像Avenda的Quick1X这样的第三方解决方案应用在域客户端中。
5. 必须采用无线入侵防御系统
Wi-Fi安全保卫战的内容可不仅仅局限于抵抗来自网络的直接访问请求。举例来说,客户们可能会设置恶意接入点或者组织拒绝服务攻击。为了帮助自身检测并打击此类攻击行为,大家应该采用无线入侵防御系统(简称WIPS)。WIPS的设计及运作方式与供应商提供的产品不太一样,但总体来说该系统会监控搜索行为并及时向我们发出通知,而且有可能阻止某些流氓AP或恶意活动的发生。
不少商业供应商都在提供WIPS解决方案,例如AirMagnet公司及AirTightNetworks公司。像Snort这样的开源方案也有不少。
6. 必须部署NAP或是NAC00000
在802.11i及WIPS之外,大家还应该考虑部署一套网络访问保护(简称NAP)或是网络访问控制(简称NAC)解决方案。它们能够为网络访问提供额外的控制力,即根据客户的身份及明确的相关管理政策为其分配权限。它们还具备一些特殊功能,用于隔离那些有问题的客户端并依照管理政策对这些问题进行修正。
有些NAC解决方案中可能还包含了网络入侵防御与检测功能,但大家一定要留意这些功能是否提供专门的无线保护机制。
如果大家在客户端中使用的是Windows Server 2008或更高版本以及Windows Vista系统或更高版本,那么微软的NAP功能也是值得考虑的。如果系统版本不符合以上要求,类似PacketFence这样的第三方开源解决方案同样能帮上大忙。
7. 不要相信隐藏SSID的功效
无线安全性领域有种说法,即禁用AP的SSID广播能够让我们的网络隐藏起来,或者至少将SSID隐藏起来,这样会使黑客难以找到目标。而事实上,这么做只会将SSID从AP列表中移除。802.11连接请求仍然包含在其中,而且在某些情况下,还会探测连接请求并响应发来的数据包。因此窃听者能够迅速找出那些"隐藏"着的SSID–尤其是在网络繁忙的时段–要做到这一点,一台完全合法的无线网络分析器就足够了。
有些人可能坚持认为禁用SSID广播还是能够提供某种程度上的安全保障的,但请大家记住,它同样会给网络的配置及性能带来负面影响。我们将不得不为客户端手动输入SSID,而客户端的配置也将变得更加复杂。这一切的一切最终会导致探测请求及响应数据包的增加,也就变相减少了可用的带宽。
8. 不要相信MAC地址过滤功能
无线安全领域的另一大习俗是将启用MAC地址过滤功能视为另一重安全保障,并认为这能有效控制客户端与网络之间的连通。这其中有一些道理,但请注意,窃听者们能够很轻松地监控MAC地址认证机制并将自己的计算机MAC地址修改为符合要求的内容。
因此,大家不该将保证安全的希望过多地寄托在MAC地址过滤功能上,而只应将其视为对内网计算机及终端设备用户的一种松散化管理。此外,大家还要考虑到管理MAC更新列表所带来的种种麻烦与不便。
9. 必须限制SSID用户的连接目标
许多网络管理员都忽视了一个简单但潜在威胁巨大的安全风险,即用户会有意无意地连接到邻近的或是某个未经授权的无线网络中,而这很可能引发对其计算机设备的入侵活动。在这方面,SSID过滤机制是规避风险的一大有效手段。以Windows Vista系统及其更高版本为例,我们可以使用Netsh wlan命令为SSID用户添加可搜索及可连接网络的过滤机制。对于台式机而言,我们则可以直接将除自设无线网络之外的全部SSID加以屏蔽。而在笔记本电脑方面,最好是屏蔽掉所有邻近网络的SSID,只保留周边热点及家用网络连接。
10. 必须保证网络组件的物理安全性
请记住,计算机安全保障的内容并不限于最新技术与加密手段。为自己的网络组件做好物理安保同样重要。确保每个接入点都部署在他人无法触碰(例如天花吊顶中)的位置,甚至可以考虑将大量AP设备安置在某个安全空间内,再甩一根天线摆在最利于信号传送的地方。如果这方面得不到良好贯彻,某些家伙将能够很方便地对AP设备进行重启并恢复默认设置,这样连接的通路也就被打开了。
11. 不要忘记保护移动客户端
在网络之外,用户智能手机、笔记本电脑与平板设备也是我们必须关注的安全要点,因为它们同样会接入Wi-Fi热点或是家庭无线路由器。要保障Wi- Fi连接之外的设备安全其实是相当困难的,因为我们不仅要为用户提供建议及具体解决方案,还要对他们进行Wi-Fi安全风险及预防措施的相关指导。首先,所有的笔记本及上网本必须要具备个人防火墙。其次,一定确保用户的互联网流量经过严格加密,以防止犯罪分子通过在其它网络上利用VPN发起访问来窃听我们的敏感信息。如果大家不想使用内部VPN,那不妨考虑采纳像Hotspot Shield或者Witopia这样的外包服务。对于iOS及Android设备而言,则完全可以使用其自带的VPN客户端。而在黑莓及Windows Phone 7设备方面,大家就必须亲手打造一套完善的邮件服务器设置与设备配置,进而用上它们的VPN客户端。