无线--最脆弱的连接方式

WiFi 已经抓住了我们的想象空间，这一点是其他新出现的网络技术所无法比拟的。然而它真的安全吗？

　　之所以称之为热点就是因为它实在是非常"热"的。北美和欧洲现在已经拥有大约 5，000 个公众WIFI 热点，每个热点提供方圆100米范围内的无线因特网访问。你几乎可以在美国的飞机候机室，咖啡吧，宾馆，理发店以及书店等任何一个地方发现它的踪影，只要你能讲出一个特定区域的名字，你就可以找到热点。在家里，家庭成员可以在花园中通过无缝连接使用WiFi网络工作，或者将多台PC接入因特网而无需麻烦地将网线从一个房间拖到另一个房间。通讯标准IEEE 802.11b已经成为人们对于自我生活形式的一种选择。

　　人口在不断增加，然而中心网络设备以及所必须的与PC相连接的网卡的成本都在下降。一个可以满足一个小型企业或家庭工作者使用的WLAN 访问点，现在只需数百英镑即可进行设置了。目前已经有数百个供应商能为您提供与桌上电脑、便携式电脑或PDA相连接的无线连接平台，其价格却只需数十英镑。

　　不仅如此，这样的一个泡沫目前看起来是在继续前行，而不是要破裂。根据剑桥基础电信咨询所Analysys的最新数据预测，到2007年将会有57,000个欧洲和美国公众热点，预计可以带来大约55亿美元的利润收入。

　　让我们来看一下发展不顺利的方面

　　到目前为止一切还算顺利。但是无线通信方面在安全性方面又做得怎样呢？这是否仅仅是一些过分谨慎的少数人为了扰乱WiFi而提出的幼稚的问题呢？还是这的确是一个值得关注的问题？答案是，当你通过无线电波进入因特网，在网上遨游而无需考虑警察的存在时，一旦你不够小心，你也很有可能意外地为别人提供机会侵入你的电脑。从能够被黑客在自己的系统上为所欲为的家庭用户所使用的因特网服务系统，到那些可能被造成恶意伤害或机密信息泄漏的大型机构，黑客正在引发越来越多的问题。然而随着安全问题的不断恶化以及解决方案的不断增加，在这些危机周围仍然有很多值得注意的混乱。所以什么才是关键的问题，你又该如何解决这些问题？

　　网络窃听攻击法（Sniffing）与欺骗攻击法（spoofing）

　　概括的讲，无线网络面对三大类型的攻击时会显得束手无策，他们是网络窃听攻击法（Sniffing）、欺骗攻击法（spoofing）与非法连接。可能在这些个当中最为广泛宣扬的就是网络窃听攻击法（Sniffing），它对于某些人来说，可以说是一种爱好--他们喜欢通过各种不同类型的软件在网络上无所约束地横行，而其目的只是为了寻找未加以保护的无线网络。在很多文章和网站中都有关于这些话题的讨论，它们向人们展示要想入侵别人是多么地简单。

　　BT Exact 的无线安全专家Ian Hughes 在谈论BT的研究、技术和IT操作业务时说，"当你有能力阅读其他人的邮件时，除非通过使用内设小天线的无线网卡，且范围只能限制在数十米方圆之内，而有些运作模式是由外部天线连接器支持，该连接器能将范围增加至数百米的方圆内。无论相信与否，最为价廉的方法是通过废旧的土豆快餐纸盒来创建长距离的天线，这在很多因特网的网站中有如何操作的详细指南。这样的做法很便宜，也很简单。这也正是我们对此反复强调的原因，对于那些需要通过无线连接来传输的机密信息，必须在传输之前用一些适当形式的数据加密技术加以保护。"

　　很少人会知道"欺骗攻击法（spoofing）"这个问题的存在，这包括设置欺诈性质的无线设备。这些就是黑客们所具代表性的操作，其目的是使得那些合法无线用户能连接至他们的网络。通常，目的只是为了得到用户的个人信息，如用户名、密码、信用卡、银行详细资料。为避免发生这样的问题，你必需经常检查你所连接的是否是一个真正的，安全的网络，而这些往往需要用户方与网络运营商方的双方认证。

　　第三个问题发生的情况如下，黑客未经允许而连接至某个用户的PDA，笔记本电脑等等，比如载入数据或下传一个病毒。数据加密技术与相互认证技术可以保护一个私人邮件或浏览会议，但无法防止此类攻击的发生。

一些明确的解决方案

　　所以，我们该做些什么？容易遭受攻击的弱点也不是今天才刚刚出现的新问题了。大多数重量级的有线网络运营商都意识到了通过使用防火墙来防止攻击的重要性，防火墙可用来确保来自他们这层"系统"外部的唯一授权访问。在所有无线设备的使用说明里，要求每个访问点，尤其是客户端设备需要建立他们的本地协调，通过一个本地防火墙应用程序特别为客户端提供这样一个系统。

　　然而衡量某个特殊的无线网络所要面对的风险，以及针对特殊的需求而量体裁衣地设计一个合适的解决方案都是相当重要的。很多商业可行性方案提供坚固的加密技术并对很多安全问题提供保护，但是他们可能并不是你所需要的，而且大多数的价格也非常昂贵。

　　所以让我们从基础问题开始入手。对于家庭用户而言，甚至只需在无线网络的构造方面进行简单的更改就可以减少它的不利因素。每个无线局域网都拥有一个无线标识身份，被称之为SSID（服务设置标识）。每个制造商在其货品运输中都有各自的默认设置。作为一种简单的提醒机制，它可以在相当程度上减少风险。无疑地，这只是安全性保证的第一个层级，作为其本身，SSID无法保护您的网络抵抗非法入侵，但是它将使入侵者创造偶然连接变得更加困难。

　　另一个观点是限制无线电信标广播您的无线网络的存在信息。一些制造商的设备允许你实现这些需求。当然，你需要一个无线电信标，如果你正在运行一个无线访问系统的话，如BT OpenZone，但是如果你正在运行的是一个家庭系统或办公室系统，一般使用者都知道系统的存在而无需通过其他方式来侦测，此时你可以考虑关闭该功能。没有无线电信标，很多普通的已经面世的无线网络侦测工具将不能再发挥作用。既然他们无法发现你，那么你会受到攻击的可能性也变得微乎其微。

　　大多数无线产品支持一种称之为WEP（有线等于私密）的无线加密技术。它是数据加密技术的802.11标准。但是它还是存在最根本的瑕疵。缺点之一是它使用"静态"安全密钥。这就是说你必须定期地管理和更改信息。如果拥有充裕的时间，黑客完全能够识别你的安全密钥，所以用这种方法来更改密钥同样也是危险的。同样，WEP能提供一个非常简单的加密技术方式并限制相互认证，但所有这些衡量标准能够很快地通过使用一些现有的免费工具极简单地达到危及它安全的目的。

　　正是出于这些原因，WEP正在一些团体的推动下在进行加强，这些团体包括WiFi Alliance--一个非盈利行业团体。在那里，WPA被视为一种短期的解决方案。这是一个已通过行业认可的解决方案，即根据一部分不同的无线制造商的经验，提出一种最优的安全运作模式。Ian Hughes透露说，在国际标准组织IEEE（电子电机工程师协会）提出它自己的802.11i安全性解决方案之前，它已被无线业界看作是解决WiFi 安全问题的"最佳"短期解决方案。该方案预期将于6至18个月内获得通过。

　　所以，如果你的企业的确需要最高级别的安全性保证，同时又要保持灵活性的话，Ian Hughes向大家推荐可采用一种在一个范围内的虚拟专用网(VPN)解决方案。他说，"对于VPN和公司的全面安全性解决方案的选择，对整个公司来讲是至关重要的，因为，当VPN解决方案真的解决了加密和相互认证问题时，它们不会经常去关注在PDA或PC级别的保护需求，并且它可能因此很难为一些客户端设备找到一个合适的VPN。我建议，那些拥有一定数量的办公地点和家庭办公者的大企业，应该在所有地点采用这样的安全解决方案。我们建议他们去实现一个'全盘'策略，这样的策略应该同时包含无线访问和有线访问两种方式。"

　　总的来说，整个无线网络的弱点看来似乎是人们缺少对于该问题的理解而造成的，他们不知道究竟该做些什么来减少他们免受攻击的机会。即使您只是按照上文中所述的一些简单的方法进行了操作，也会很大地减少您受到一般攻击的机会，但是对于那些高技术和疯狂的攻击者来说，可能就没有用处了。一些黑客只是在那些免费的带宽上进行操作，但是，更改您的超平常(out-of-the-box)设置就可以杜绝这种情况的发生。然而，除此之外，还是需要有更加严格的举措出台，来真正保护您的数据的安全。采用语音识别技术和加密安全措施，就可以达到理想的效果。但是，您的数据是否是真正安全的，那您就要向安全专家请教了。

阻止电脑黑客入侵的一些主要建议

　　每个无线局域网拥有一个无线电身份，称之为它的服务集标识符（SSID）。每个制造商都有一个默认设置。只需要更改SSID，你便可以减少被其他用户"偶然"连接的可能。大多数免费的扫描软件也会侦测你所使用的是哪家制造商的设备。如果系统的整合需要后续维护的话，更改用户名和密码的默认值将会发生致命的问题。

　　如果你的无线设备允许你限制无线电信标功能，即广播无线网络的存在的功能，如果黑客无法轻易地发现你的网络，那你的网络遭受黑客攻击的可能性会变得很小。

　　使用有线等效保密（WEP）。大多数目前已经存在的无线产品支持该形式的无线加密技术，一旦发生问题，它至少可以作为一个屏障使用。

　　采用最近提出的WiFi访问受保护访问协议（WPA），它是一个无线安全解决方案，已被业界看作是"最佳的"短期解决方案，它综合了各种不同的无线制造商的最有效的安全运作方法。然而，请记住，它只是在IEEE在不久的将来提出它的802.11i 解决方案之前被看作一个短期的解决方案。

　　对于那些想维持最高安全级别的企业，建议在一定范围内采用虚拟专用网（VPN）解决方案。选择VPN是相当重要的，并且一个对于整个企业而言的完整的安全性解决方案同样也是值得推荐的。请牢记--无线网络应当经常被当作公众网络来加以对待。

　　问题是什么？

　　BT Exact 的无线安全专家Ian Hughes 在谈论BT的研究、技术和IT操作业务时说，"在任何无线网络中都存在很多潜在的缺点，他们中的每一个都有可能在恶意的攻击或欺骗中暴露出来。但也许最重要的事情是，提供解决方案来消除已经在许多年里成为网络安全支柱的'堡垒心态'的需要。使用物理壁垒来保护或限制一个网络在危险面前的暴露，今后将不再起到任何作用。"

　　BT Global Services 的安全专家Mike Lee表示同意，"除非你在你的公司不计划使用这些设备，否则你不得不为任何非法或未经授权的配置做准备。对于一个来访者或清洁工来说是非常简单的，他只需往一个空闲的局域网插座上插上一个无线访问终端，作为到该公司来访的设置，然后在离开该公司回到他们车上的时候再连接一下即可。"

　　正如所提供的灵活性一样，无线的主要优点之一是它能够通过门和窗，提供的网络覆盖远超出标准有线网络所能达到的范围。如果你需要对一系列建筑物布网，又或者在一个"难以架设有线网络"的建筑物里布网，如中庭等建筑，那么选择无线网络是非常具有优势的。又或者你想要在会议室提供数据访问或在各点之间提供访问。然而，这些优点也正是为什么无线系统会如此轻易遭受攻击，和为什么传统意义上的安全"堡垒"环境必须从远大于自己所属范围之外着手的最主要的原因。(完)