安全專家建議使用802.11i認證 + AES GCM加密�,這套安全體系非常安全��。每一個接入網(wǎng)絡的客戶端都需要使用TLS安全隧道加密 'username/password' 的組合完成認證�,安全性完全依賴于TLS安全可靠性,TLS安全可靠性無容置疑��,這里幾乎沒有什么安全漏洞�。 完成了認證,TLS會輸出一套密鑰供AES GCM算法使用��,以保護無線客戶端的用戶流量��。這個加密算法為安全專家強烈推薦的算法,安全性也不容置疑��。 好像一切都無懈可擊����,天衣無縫。那就另辟蹊徑���,壞人登場了����,弄一個無線熱點���,SSID和正規(guī)軍一摸一樣,哪些電腦����、手機啥的連無線熱點時,會掃描可用的SSID���,誰的信號強就撲向誰�����,假熱點還裝模作樣用戶認證�����,用戶看到認證框還輸入了“username/password”��,電腦手機就綁定到假AP上了����,用戶的上網(wǎng)流量全部流經(jīng)假AP,此時假AP如何操縱流量全看壞人的興趣與心情�����。 不要忘了�����,壞人還知道用戶的“username/password”�����,連入正規(guī)軍的熱點小菜一碟���。真的有那么可怕���?這套嚴密的安全體系普遍用在企業(yè)無線解決方案里��。如果無線的解決方案不能有效對付假冒的無線AP���,那么這個無線的解決方案是不安全的。 如何對付假冒AP�����? 無線管理監(jiān)控系統(tǒng)�����,需要實時監(jiān)控無線覆蓋區(qū)域假冒AP的存在�,發(fā)現(xiàn)并定位它,然后將其從網(wǎng)絡里移走��。當然如果虛假AP在公司圍墻的外部�����,即使發(fā)現(xiàn)并定位它�,移走也不一定現(xiàn)實�。對付這個不可控區(qū)域最好的辦法就是����,屏蔽外部無線信號進入園區(qū)�,同時屏蔽公司內(nèi)部信號離開園區(qū)。這樣公司員工的電腦想連假冒的SSID也不能夠���,因為搜不到虛假的SSID����。 共享密碼認證 使用共享密碼的PSK認證方式的無線解決方案���,由于每一個用戶都使用同一個密碼連AP�����,無法控制密碼的擴散范圍����,有些甚至擴散到互聯(lián)網(wǎng)上���。 凡是知道密碼的人都可以連入無線AP����,可以盡情地捕獲所有的無線信號數(shù)據(jù),然后把加密的無線數(shù)據(jù)全部解密出來�,在明文數(shù)據(jù)的寶藏里尋寶了。 WEP加密 這是最弱的一種無線加密方案����,弱就弱在使用24位的初始化向量(IV)長度,意味著重復使用相同IV的概率非常高���。網(wǎng)上破解無線密碼的教程都是針對這個算法的�����,使用工具可以非常輕松破解之���。拿到了密碼就可以免費蹭網(wǎng)了。����。。 盡管WEP已經(jīng)被新一代無線技術(shù)標準所拋棄����,但是在老款的無線路由器上還是支持的���。沒有專業(yè)知識的群眾還會無意中繼續(xù)使用它����。 如果有人還繼續(xù)在使用WEP,請無情地拋棄它����,因為它很不安全! |
