安全手段全无效 谁来保障你的无线安全?


51CTO.com独家快译】无线网络安全并不是一件很困难的事情。简单的说,它的领域非常的小。然而,仍然有很多技术性的出版物里充斥着技术性错误的文章,许多博客里也充满了技术性错误。

举个例子,Consumer Reports Magazine杂志是所有人都信赖的信息来源,我也是该杂志的忠实读者,已经订阅该杂志的印刷版多年了。但是,当涉及到计算机方面时,他们就不再这样可信赖了。

2009年8月6日,在该杂志网站的博客上贴出了一篇文章,建议用户使用WEP来保障无线网络的安全性,而这却是非常糟糕的建议。在文章公布一个星期之后,编辑纠正了它,说他们建议使用WPA,但这也不是最好的选择。即使该杂志非常羞愧的纠正了他们的错误,可是他们仍然是错的。 

因此,我献上这篇文章,因为大多数人包括Consumer Reports Magazine)都需要了解有关无线网络的安全问题。

从最开始说起

首先,有四种类型的Wi-Fi网络802.11A,802.11G,802.11g和802.11n)。但是,无线网络安全不依赖于任何一种类型。

如果你无需输入密码就能够连接到一个无线网络,那么这就没有安全性可言了。在这种情况下,术语“安全”就是指当数据在空中传输的时候对其进行加密。 

这种方法就是为了防止一些别有用心的人捕获从肉鸡里面进出的信息,尽管那些人在几百英尺远的地方。

Wi-Fi网络安全提供三种选择:WEP,WPA和WPA2。作为一个简单的介绍,我们认为WEP相对来说最差, WPA好一些,WPA2是最好的。

WEP是最为陈旧的安全选项,它已被证明是非常脆弱的。它可能比不采用任何安全措施来的要好,但是也好不到哪里去,所以请尽量不要使用它。就连Consumer Reports Magazine最近一篇建议使用WEP的文章也是发表于2005年。

WPA其实是一个技术上的认证,而不是一个安全标准,但由于它仅包括了一个安全协议TKIP,所以人们常常为此感到困惑。其实,当人们引用WPA时,他们真正引用的是TKIP协议。

WPA与TKIP结合,虽然不是最好,但也相当不错。如果你有一个选择,应该选择最安全的下一段将要讲到);如果你没有选择更多、更高的版本),那么TKIP也是相当不错的。

WPA2跟WAP一样,也是一种技术上的认证,而不是一个安全标准。 WPA2的安全标准,包括两个安全标准:TKIP和CCMP。如果用户使用了TKIP,那就不用管路由器WPA还是WPA2了,因为两种TKIP指的是同一个东西。

最好的安全方式是CCMP,它只存在于WPA2中,所以人们又一次的把安全协议与安全认证相混淆了。当人们引用WPA2时,他们真正引用其实是CCMP协议。

但是,没有人引用CCMP不要问它代表什么)。不管什么原因,把CCMP安全协议引用为AES都是错误的。所以,当你配置路由器时,您首先需要选择的WPA2,然后你需要选择AES而不是TKIP),以获得最好的安全和加密。

WPA TKIP的缺陷

TKIP安全协议通常称为WPA)是有缺陷的。有关它的第一个漏洞曝光于2008年11月,第二个则是在上个月刚曝光的。但是,这两个漏洞都并非那么严重。 

第一个漏洞可以通过禁用路由器的Quality of ServiceQOS)防御。但是极少数人会使用QOS。

第二个漏洞是由安全专家Steve Gibson介绍的。例如,它要求在受害者的电脑在无线路由器接收范围以外。攻击者必须一边连接到路由器,一边连接到用户电脑上。所以攻击者在逻辑上和物理上都处于用户和路由器之间的位置。

每一个漏洞都能让别人找到密码,但是它们只支持解密非常小的数据包。而这些小数据包不会包含用户的任何资料。 

但并不是这些缺点本身使WPA2-AES成为最好的选择。事实上,是WAP的大坝已经出现了裂缝,有谁能知道明年会变成了什么呢?WPA2-AES是开发和建立得比较晚的安全协议,它在早期的安全协议上做了很多的改进工作,而且到目前为至还没有在其身上发现已知的安全威胁。

在WPA2使用中会遇到的问题

每个人其实都能选择使用WPA2-AES,但也许会遇到许多阻碍。

WPA2-AES比WPA-TKIP需要更大的功率。较旧的路由器可能没有足够的功率。如果你的路由器不提供WPA2,你可以检查固件更新,但更有可能的是你必须购买新的路由器,以获得最佳的安全性。

其次,因为它是最新的,也是最好的,可是你计算机、手机、游戏机、互联网广播或任何其他你可以使用无线网络的设备也可能不支持WPA2-AES。

例如,Windows XP SP2中不支持WPA2,即使它已经保持了对补丁的更新。需要另外安装一个“修复补丁”KB893357)来使你的Windows XP SP2 支持WPA2。

一个WPA2的路由器可以同时提供TKIP和AES。可以只使用AES,也是很好的。某些时候,你只有选择这个方法才能支持较旧的设备。

因为AES-CMMP协议的姗姗来迟,一些不愿意苦苦等待的硬件制造商把该协议的草案加入到了WPA路由器。由于这些是早期的草案,而不是最终版本的协议,他们在更新型的硬件下可能无法工作。

不过,如果更换旧的WPA路由器是一件重要的事,我想还是值得一试的。

两个其他方面的安全

WPA和WPA2都有两种版本,个人和企业。个人版只有一个密码,而使用企业版的每一个无线网络用户都有一个自己的密码。个人版也称为预共享密钥或简称为PSK。

因此,从技术上来说,为消费者和小型企业带来最佳的安全体验的版本应该是WPA2-PSK-AES-CCMP.

但是,如果你选择了一个糟糕的口令,整个一堆字母的组合还是会经不起推敲的。

数据仍然在空中传输,坏家伙们仍然可以抓到它们,然后保存下来,并在不联网的情况下进行破解。以这种每秒上千次的破解计算速度而言,不到一天,你的密码还是会被破解的。

当你以这种方式进行连接时,也许没有人会攻击你。但是如果攻击者真的这样做了,唯一的防御是一个很长的、合理的随机密码。WPA和WPA2的密码最多可以支持63个字符长。所以更好的理解是,把密码看成是“一个句子”,而不是“一个单词”。

51CTO.com独家译稿,转载请注明来出处】

原文:The Best Security for Wireless Networks    作者:Michael Horowitz

  1. 实现无线网络安全的三大途径和六大方法
  2. 无线重中之重:安全问题
  3. 无线安全焦点:免费“蹭”上网大揭秘
  4. 享受极速无线网络 安全问题不容忽视
  5. WPA告破无线安全当真草木皆兵?

相关内容