您现在的位置是:首页 > IT基础架构 > 网络与安全 >
揭秘无线上网 公共Wi-Fi真的安全吗?
摘要设想一下:你坐在一家咖啡馆,拿着一杯拿铁享受着无线上网的快乐,准备回顾销售策略和季度财务预测报告。首先你需要连接咖啡馆提供的免费Wi- Fi。然后将你的笔记本和放映机连起来,以便整个咖啡馆的人都可以看到,最后你发出去一些打印好的副本给其他人参考,这些里面含有机...
设想一下:你坐在一家咖啡馆,拿着一杯拿铁享受着无线上网的快乐,准备回顾销售策略和季度财务预测报告。首先你需要连接咖啡馆提供的免费Wi- Fi。然后将你的笔记本和放映机连起来,以便整个咖啡馆的人都可以看到,最后你发出去一些打印好的副本给其他人参考,这些里面含有机密的产品规格信息。这听起来可能有点可笑,但是如果你使用公共Wi-Fi而且没有采取适当的措施的话,那么你的商业机密就可能会被其他的“咖啡同胞”分享。
开放Wi-Fi无隐私可言
今天,大多数的科技用户都知道如何(以及为何)确保家庭无线路由器的安全。Windows 7和Vista在连接到未加密无线网络的时候都会弹出一个对话框提醒用户。
而在咖啡馆、机场休息室或图书馆人们频繁地不假思索地连接无线,尽管使用加密的连接查看比赛结果或航班状态是可以接受的,但是读取电邮或进行任 何Web活动等需要登录的做法,就好像你在人群中使用对讲机不安全。
那么为什么所有的企业不对他们Wi-Fi网络进行加密呢?答案就是IEEE 802.11设计规范的密钥系统太过复杂:如果对流量进行加密,网络所有者和管理者需要选择一个密码,也就是“网络密钥”。需要每个网络都有自己的密钥, 无论网络所有者选择了相对不安全、并很久未更新的WEP还是相对安全的WPA或WPA2,这个密钥都需要在所有的用户中共享。
在家中,你需要进行设置,然后将密码告诉你的家人,那么你们就可以在家中享受无忧的网上冲浪了。而在咖啡馆,咖啡师不得不将密码(或26位的十 六进制WEP密钥)告诉给每位客人,可能他们就可以联网了。在这种情况下没有什么比空密码更简便了。
然而,就算网络已经加密了,你可能也不是绝对安全的。一旦你的计算机知道了密钥,只有对于那些和你不在同一网络的人来说,你的信息才是安全的; 所有“咖啡同胞”都可以看到你的流量,因为他们使用的是同一个密钥。
你的私人业务就是你竞争对手的业务
但是如果你认为自己的数据没有重要到别人会喜欢窃取,又会怎样呢?也许你只是浏览一下网页,不需要登录邮箱或打开需要密码的Web应用。那么是 否就会安全了呢?也未必。
设想一下,你刚从一个行业的贸易展览回来,正在使用机场的Wi-Fi。没有成百的电子邮件等你查看,你决定浏览一下竞争对手的网站,寻找一些灵 感。或者选择在网上研究可能达成的收购交易。
实际上,背后的情况是,你的电邮客户端会检测网络连接并开始下载你的电邮。总部你的一个同事看到你的IM状态瞬间变为“在线”并向你发送一个慌 忙的请求:“工厂出现大问题啦,可能会被召回,尽快给鲍勃打个电话!”
只要有个无线数据包分析软件,在同一块休息区的恰巧和你曾经参加过同一个会议的人就可以收集你浏览过的网站以及你(未加密)的即时消息等泄露的 商业机密,更不要说招聘人员发给你的泄露出你要跳槽的邮件或者可以反映出你和你另一半关系问题的消息了。简言之,不良企图的人在你阅读之前就阅读了你的信 息,你可能没有做过任何事情。
坚持在SSL协议下使用web邮箱
首先为了与邮件间谍对抗,你应该使用HTTPS协议的Web邮箱系统。几乎所有Web邮箱系统在你登录的时候都会使用HTTPS,所以你的密码 可以保证传送的安全。而在当身份认证完成后,它们往往会返回使用HTTP,因为这可以降低服务器的计算应变功耗,更易于服务广告。
这意味着所有与你处于同一个无线网络(无论是未加密的还是共享密钥)的人都可以阅读你电邮的内容。在一些情况下,一些人可以盗取你的会话 cookie并在无需密码的情况就登录到你的Web邮箱会话。
两个非常明显的例外是Gmail和你的企业电子邮件系统(例如 Outlook)。今年早些时候,Gmail从只在登录时候使用HTTPS的做法,转变后现在的整个Web邮箱会话都使用HTTPS。
谷歌应用用户之前可以选择使用这个功能,但是现在默认的则退出了这个功能。这一变化,加上谷歌新出来的可疑的登录检测算法,让Gmail成为免 费Web邮箱供应商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帐户,你就会发现这一变化。
你公司的Web邮箱系统也很可能始终都受到HTTPS的保护,因为这是大多数系统的默认配置。然而,如果使用本地软件(如 Outlook,Thunderbird, MacOS X的邮箱)查看工作信息,而不是基于Web的HTTPS邮箱,那么你可能不会被加密。
付费热点:无安全性可谈
在对这个课题进行研究的时候,我发现存在着一个对旅行者和咖啡爱好者的普遍误解。从字面意义来看,需要每小时或每月进行费用订阅的商业“热点” (如AT&T, Boingo, GoGo, T-Mobile)比那些无需付费的竞争对手更加安全,因为这其中存在着一个密钥的问题。
实际上,这些“热点”几乎都往往没有加密,他们采用一种被称为“套住门户”的做法只是为了防止你在付费之前能够连接上网。一旦验证无线网络中的 所有流量都未被加密,那么这些“网关”Web门户通常都通过HTTPS交付(为了保证信用卡信息和密码的安全)。
所以,你每月10美元的费用却不能保证访问的安全。实际上,由于无线电频率传输的性质,任何人都可以看到你未被加密的流量,他们只需要加入同样 的SSID无线网络。
这意味着外部人员可以轻易地观看并截获你浏览过的任何常规的HTTP网站,任何未加密的POP3邮件,任何你的FTP传输。聪明的黑客甚至可以 修改他们的无线网卡来克隆出你的无线网卡,因此通过“搭载”在你的信号获得免费进入一个商业“热点”的机会。
使用VPN
如果你的公司提供了VPN(虚拟专用网)接入互联网访问的功能,那么你在免费或付费的Wi-Fi“热点”都应该利用这个功能。通过你笔记本的 VPN功能,你可以确保所有的通讯都是被高强度的密码加密的,从Wi-Fi“热点”的隧道通过互联网进入你们公司的数据中心,在那里将数据解包并在公司的 互联网连接中发送出去。
这是访问公司资源(内联网,电子邮件,数据库)的一个安全的方法,因为无论谁与你同在一个无线网络中,你都有专属的通道到达你们公司。在一些公 司的VPN配置中,除了访问公司的资源外你也可以浏览互联网。
这些可能比未加密的Web冲浪要相对慢一些,但是换来的安全性却是值得的。此外,如果你到一个有互联网限制规定的国家(如埃及)去旅行,你也可 以使用位于美国的VPN连接回到“隧道”,就像你身处美国本土一样打开你想要的网站。
如果你的公司没有提供VPN服务或有个“分裂隧道”VPN(只允许公司的资源通过加密隧道,所有其他未加密的流量传输都会直接发送到“目的 地”)的话,也不必担心,你也可以保证安全。
你可以使用HotSpot Shield(“热点盾”),它是 AnchorFree生产的一款没有任何费用的VPN服务。该公司提供的自有的VPN软件可以安装在你的笔记本上,然后你就可以使用公共Wi-Fi。
一旦你使用了这种软件和服务,它会对你的流量进行加密并将其通过隧道发送到“热点盾”数据中心,然后发送到互联网,与公司的VPN服务器原理一 致。热点盾甚至有移动VPN设置(无需下载)功能来保护你通过iPhone进行的Web冲浪,前提是这些iPhone里内置了思科的VPN客户端软件。
通过使用这样的服务,你可以确保从咖啡馆到位于北加州的AnchorFree数据中心旅行的安全。一旦你到了那里,你的流量就会以被加密的方式 传输到其在互联网上的最终目的地,就像你从笔记本浏览直接到达公司的数据中心。
如果加密隧道没有在你浏览网站的时候一直传输,那么这一做法也不完全是安全的。然而,这至少比没有任何VPN功能要安全更多;如果想要进入的 话,那么“准数据盗贼”就需要访问AnchorFree数据中心,而不仅仅是你所在的Wi-Fi网络。
Wi-Fi冲浪安全总结:
1.如果你的公司有VPN可用于网上冲浪,那么就使用。
2.如果没有公司的VPN可使用,可以考虑HotSpot Shield。
3.付费Wi-Fi互联网不等于安全浏览。
4.在未加密的无线网络中,任何人可以看到你浏览的信息(除非HTTPS网站)。
5.在加密的无线网络中,任何拥有密钥的人可以看到你所浏览的内容(如室友或机场的人们)。
6.如果你必须使用Wi-Fi热点,没有任何形式的VPN,可以想象为你的笔记本正在与一个超大的体育场屏幕相连。不要访问那些可能会被监控的 网站。
(本文不涉密)
责任编辑:
上一篇:黑心防毒软件 不容忽视的信息安全
下一篇:多角色管理和动态应用特征码更新