Wi-Fi 技术的诞生在世界历史的这个阶段开创了一个新的子时代,即信息时代。 似乎互联网的普及还不够惊天动地,Wi-Fi 技术已经为数百万渴望触手可及的最新信息的美国人带来了连接爆炸式增长。
然而,与任何通信媒介一样,存在某些缺点,这些缺点常常让被称为最终用户的无辜旁观者容易受到某些安全漏洞的影响。 在你做任何激烈的事情之前,比如,使用以太网连接(我知道。这是疯狂的谈话。),检查当前存在于 IEEE 802.11 标准中的关键漏洞。 (在 802.What?了解 802.11 系列中获得一些关于 802.11 标准的背景信息。)
默认配置
默认配置可能是任何计算机安全对话、会议或白皮书中讨论的主题。 路由器、交换机、操作系统甚至手机都具有开箱即用的配置,如果保持不变,可能会被紧跟此类事物的个人利用。
在 Wi-Fi 的环境中,默认配置在保持原样时特别危险,因为所使用的介质(露天)对特定地理半径内的每个人都可用。 从本质上讲,您不想成为坏社区中间门不锁、窗户开着的房子。
那么这些默认配置有哪些呢? 好吧,这确实取决于产品和供应商,但将一切都放在 Wi-Fi 的范围内,最著名的无线接入点生产商是思科。 对于企业环境,通常使用 Cisco Aironet 无线接入点,而 Cisco 的 Linksys 系列产品通常用于住宅部署。 根据 Cisco 的网站,所有使用其 IOS 软件的 Cisco 无线接入点都有一个默认用户名 Cisco 和一个默认密码 Cisco。 现在,忽略在线发布这个小事实所涉及的智慧,想象一下后果,尤其是对一个组织而言。 一个有进取心的年轻黑客无疑会永远感激他不必在密码破解上浪费宝贵的时间——他可以直接潜入嗅探组织的无线流量。
课程? 修改默认的用户名和密码。 是这个吗? 实际上,不。 虽然默认用户名和密码可能是最明显的——更不用说危险的——默认配置,但还有其他一些仍然值得修改。 例如,根据 SANS Institute 的一项研究,常用的 Cisco 无线接入点,如 Linksys(Cisco 旗下子公司)和 Cisco 的默认服务集标识符 (SSID) 分别名为 Linksys 和 tsunami。
现在,了解网络的 SSID 本身并不代表安全漏洞,但为什么要向可能的黑客泄露任何信息呢? 没有理由这样做,尽可能多地隐藏您组织的网络,并迫使黑客做更多的工作。
流氓接入点
恶意接入点是非法放置在 Wi-Fi 网络内或边缘的无线接入点。 在企业内部,流氓接入点通常被称为内部威胁,在没有可用 Wi-Fi 的组织中,希望访问 Wi-Fi 的员工通常会遇到这种威胁。 这是通过将无线接入点连接到网络中的以太网连接来实现的,从而提供了未经授权的网络资源途径。 这通常是在没有适当的深思熟虑的端口安全策略的网络中完成的。
流氓接入点的另一种实施涉及企图破坏或拦截组织现有 Wi-Fi 网络的不法分子。 在典型的攻击中,黑客将自己定位在组织的 Wi-Fi 网络范围内,并使用自己的无线接入点。 这个流氓接入点开始接受来自组织合法无线接入点的信标。 然后它开始通过广播消息传输相同的信标。
在组织内的各种最终用户不知道的情况下,他们的无线设备(笔记本电脑、iPhone 等)开始将其合法流量传输到流氓接入点。 这可以通过良好的 Wi-Fi 安全实践来解决,但这又回到了上面的默认配置主题。 也就是说,即使没有适当的 Wi-Fi 安全策略,流氓接入点也可能无法拦截流量,但它仍可能消耗大量网络资源并导致严重的网络拥塞。
加密乐一通
2007 年初,研究人员能够在不到一分钟的时间内破解有线等效保密 (WEP)。 2008 年,Wi-Fi 保护访问 (WPA) 协议被德国研究人员部分破解。 WPA 被广泛认为是解决 WEP 中相当深远的弱点的答案,但现在 Wi-Fi 加密中普遍接受的黄金标准是第二代 WPA; 即WPA2。 (想了解更多关于不同类型网络的信息?查看 LAN WAN PAN MAN:了解这些网络类型之间的差异。)
WPA2 协议使用高级加密标准 (AES),被广泛认为是 Wi-Fi 加密的长期解决方案。 但真的如此吗? 是否有可能,也许,一些博士学位。 某个世界知名技术大学的候选人即将打破强大的 WPA2 协议? 我认为这不仅是可能的,而且很有可能。 毕竟,加密游戏是 Coyote 和 Roadrunner 的完美诠释; 就在土狼似乎已经掌握了胜利的时候,失败却以 Acme 铁砧的形式压垮了他。
保持领先于黑客
因此,牢记所有这些原则,确保您注意允许通过您的 Wi-Fi 网络的流量类型,并且更加注意谁在访问您的网络。 一如既往,勤奋是保护网络安全的关键,因为没有加密标准、硬件设备或入侵检测系统可以真正替代谨慎的安全管理员。
