公共無線網(wǎng)絡(luò)如何確保安全

    設(shè)想一下：你坐在一家咖啡館，拿著一杯拿鐵享受著無線上網(wǎng)的快樂，準(zhǔn)備回顧銷售策略和季度財(cái)務(wù)預(yù)測(cè)報(bào)告。首先你需要連接咖啡館提供的免費(fèi)Wi-Fi。然后將你的筆記本和放映機(jī)連起來，以便整個(gè)咖啡館的人都可以看到，最后你發(fā)出去一些打印好的副本給其他人參考，這些里面含有機(jī)密的產(chǎn)品規(guī)格信息。

　　這聽起來可能有點(diǎn)可笑，但是如果你使用公共Wi-Fi而且沒有采取適當(dāng)?shù)拇胧┑脑�，那么你的商業(yè)機(jī)密就可能會(huì)被其他的“咖啡同胞”分享。

　　開放Wi-Fi無隱私可言

　　今天，大多數(shù)的科技用戶都知道如何(以及為何)確保家庭無線路由器的安全。Windows 7和Vista在連接到未加密無線網(wǎng)絡(luò)的時(shí)候都會(huì)彈出一個(gè)對(duì)話框提醒用戶。

　　而在咖啡館、機(jī)場(chǎng)休息室或圖書館人們頻繁地不假思索地連接無線，盡管使用加密的連接查看比賽結(jié)果或航班狀態(tài)是可以接受的，但是讀取電郵或進(jìn)行任何Web活動(dòng)等需要登錄的做法，就好像你在人群中使用對(duì)講機(jī)不安全。

　　那么為什么所有的企業(yè)不對(duì)他們Wi-Fi網(wǎng)絡(luò)進(jìn)行加密呢？答案就是IEEE 802.11設(shè)計(jì)規(guī)范的密鑰系統(tǒng)太過復(fù)雜：如果對(duì)流量進(jìn)行加密，網(wǎng)絡(luò)所有者和管理者需要選擇一個(gè)密碼，也就是“網(wǎng)絡(luò)密鑰”。需要每個(gè)網(wǎng)絡(luò)都有自己的密鑰，無論網(wǎng)絡(luò)所有者選擇了相對(duì)不安全、并很久未更新的WEP還是相對(duì)安全的WPA或WPA2，這個(gè)密鑰都需要在所有的用戶中共享。

　　在家中，你需要進(jìn)行設(shè)置，然后將密碼告訴你的家人，那么你們就可以在家中享受無憂的網(wǎng)上沖浪了。而在咖啡館，咖啡師不得不將密碼(或26位的十六進(jìn)制WEP密鑰)告訴給每位客人，可能他們就可以聯(lián)網(wǎng)了。在這種情況下沒有什么比空密碼更簡(jiǎn)便了。

　　然而，就算網(wǎng)絡(luò)已經(jīng)加密了，你可能也不是絕對(duì)安全的。一旦你的計(jì)算機(jī)知道了密鑰，只有對(duì)于那些和你不在同一網(wǎng)絡(luò)的人來說，你的信息才是安全的;所有“咖啡同胞”都可以看到你的流量，因?yàn)樗麄兪褂玫氖峭�一個(gè)密鑰。

　　你的私人業(yè)務(wù)就是你競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)

　　但是如果你認(rèn)為自己的數(shù)據(jù)沒有重要到別人會(huì)喜歡竊取，又會(huì)怎樣呢？也許你只是瀏覽一下網(wǎng)頁(yè)，不需要登錄郵箱或打開需要密碼的Web應(yīng)用。那么是否就會(huì)安全了呢？也未必。

　　設(shè)想一下，你剛從一個(gè)行業(yè)的貿(mào)易展覽回來，正在使用機(jī)場(chǎng)的Wi-Fi。沒有成百的電子郵件等你查看，你決定瀏覽一下競(jìng)爭(zhēng)對(duì)手的網(wǎng)站，尋找一些靈感�；蛘哌x擇在網(wǎng)上研究可能達(dá)成的收購(gòu)交易。

　　實(shí)際上，背后的情況是，你的電郵客戶端會(huì)檢測(cè)網(wǎng)絡(luò)連接并開始下載你的電郵�？偛磕愕囊粋�(gè)同事看到你的IM狀態(tài)瞬間變?yōu)椤霸诰�”并向你發(fā)送一個(gè)慌忙的請(qǐng)求：“工廠出現(xiàn)大問題啦，可能會(huì)被召回，盡快給鮑勃打個(gè)電話!”

　　只要有個(gè)無線數(shù)據(jù)包分析軟件，在同一塊休息區(qū)的恰巧和你曾經(jīng)參加過同一個(gè)會(huì)議的人就可以收集你瀏覽過的網(wǎng)站以及你(未加密)的即時(shí)消息等泄露的商業(yè)機(jī)密，更不要說招聘人員發(fā)給你的泄露出你要跳槽的郵件或者可以反映出你和你另一半關(guān)系問題的消息了。簡(jiǎn)言之，不良企圖的人在你閱讀之前就閱讀了你的信息，你可能沒有做過任何事情。

　　堅(jiān)持在SSL協(xié)議下使用web郵箱

　　首先為了與郵件間諜對(duì)抗，你應(yīng)該使用HTTPS協(xié)議的Web郵箱系統(tǒng)。幾乎所有Web郵箱系統(tǒng)在你登錄的時(shí)候都會(huì)使用HTTPS，所以你的密碼可以保證傳送的安全。而在當(dāng)身份認(rèn)證完成后，它們往往會(huì)返回使用HTTP，因?yàn)檫@可以降低服務(wù)器的計(jì)算應(yīng)變功耗，更易于服務(wù)廣告。

　　這意味著所有與你處于同一個(gè)無線網(wǎng)絡(luò)(無論是未加密的還是共享密鑰)的人都可以閱讀你電郵的內(nèi)容。在一些情況下，一些人可以盜取你的會(huì)話cookie并在無需密碼的情況就登錄到你的Web郵箱會(huì)話。

　　兩個(gè)非常明顯的例外是Gmail和你的企業(yè)電子郵件系統(tǒng)(例如 Outlook)。今年早些時(shí)候，Gmail從只在登錄時(shí)候使用HTTPS的做法，轉(zhuǎn)變后現(xiàn)在的整個(gè)Web郵箱會(huì)話都使用HTTPS。

　　谷歌應(yīng)用用戶之前可以選擇使用這個(gè)功能，但是現(xiàn)在默認(rèn)的則退出了這個(gè)功能。這一變化，加上谷歌新出來的可疑的登錄檢測(cè)算法，讓Gmail成為免費(fèi)Web郵箱供應(yīng)商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帳戶，你就會(huì)發(fā)現(xiàn)這一變化。

　　你公司的Web郵箱系統(tǒng)也很可能始終都受到HTTPS的保護(hù)，因?yàn)檫@是大多數(shù)系統(tǒng)的默認(rèn)配置。然而，如果使用本地軟件(如Outlook,Thunderbird, Mac OS X的郵箱)查看工作信息，而不是基于Web的HTTPS郵箱，那么你可能不會(huì)被加密。

　　付費(fèi)熱點(diǎn)：無安全性可談

　　在對(duì)這個(gè)課題進(jìn)行研究的時(shí)候，我發(fā)現(xiàn)存在著一個(gè)對(duì)旅行者和咖啡愛好者的普遍誤解。從字面意義來看，需要每小時(shí)或每月進(jìn)行費(fèi)用訂閱的商業(yè)“熱點(diǎn)”(如AT&T, Boingo, GoGo, T-Mobile)比那些無需付費(fèi)的競(jìng)爭(zhēng)對(duì)手更加安全，因?yàn)檫@其中存在著一個(gè)密鑰的問題。

　　實(shí)際上，這些“熱點(diǎn)”幾乎都往往沒有加密，他們采用一種被稱為“套住門戶”的做法只是為了防止你在付費(fèi)之前能夠連接上網(wǎng)。一旦驗(yàn)證無線網(wǎng)絡(luò)中的所有流量都未被加密，那么這些“網(wǎng)關(guān)”Web門戶通常都通過HTTPS交付(為了保證信用卡信息和密碼的安全)。

　　所以，你每月10美元的費(fèi)用卻不能保證訪問的安全。實(shí)際上，由于無線電頻率傳輸?shù)男再|(zhì)，任何人都可以看到你未被加密的流量，他們只需要加入同樣的SSID無線網(wǎng)絡(luò)。

　　這意味著外部人員可以輕易地觀看并截獲你瀏覽過的任何常規(guī)的HTTP網(wǎng)站，任何未加密的POP3郵件，任何你的FTP傳輸。聰明的黑客甚至可以修改他們的無線網(wǎng)卡來克隆出你的無線網(wǎng)卡，因此通過“搭載”在你的信號(hào)獲得免費(fèi)進(jìn)入一個(gè)商業(yè)“熱點(diǎn)”的機(jī)會(huì)。

　　使用VPN

　　如果你的公司提供了VPN(虛擬專用網(wǎng))接入互聯(lián)網(wǎng)訪問的功能，那么你在免費(fèi)或付費(fèi)的Wi-Fi“熱點(diǎn)”都應(yīng)該利用這個(gè)功能。通過你筆記本的VPN功能，你可以確保所有的通訊都是被高強(qiáng)度的密碼加密的，從Wi-Fi“熱點(diǎn)”的隧道通過互聯(lián)網(wǎng)進(jìn)入你們公司的數(shù)據(jù)中心，在那里將數(shù)據(jù)解包并在公司的互聯(lián)網(wǎng)連接中發(fā)送出去。

　　這是訪問公司資源(內(nèi)聯(lián)網(wǎng)，電子郵件，數(shù)據(jù)庫(kù))的一個(gè)安全的方法，因?yàn)闊o論誰與你同在一個(gè)無線網(wǎng)絡(luò)中，你都有專屬的通道到達(dá)你們公司。在一些公司的VPN配置中，除了訪問公司的資源外你也可以瀏覽互聯(lián)網(wǎng)。

　　這些可能比未加密的Web沖浪要相對(duì)慢一些，但是換來的安全性卻是值得的。此外，如果你到一個(gè)有互聯(lián)網(wǎng)限制規(guī)定的國(guó)家(如埃及)去旅行，你也可以使用位于美國(guó)的VPN連接回到“隧道”，就像你身處美國(guó)本土一樣打開你想要的網(wǎng)站。

　　如果你的公司沒有提供VPN服務(wù)或有個(gè)“分裂隧道”VPN(只允許公司的資源通過加密隧道，所有其他未加密的流量傳輸都會(huì)直接發(fā)送到“目的地”)的話，也不必?fù)?dān)心，你也可以保證安全。

　　你可以使用HotSpot Shield(“熱點(diǎn)盾”)，它是 AnchorFree生產(chǎn)的一款沒有任何費(fèi)用的VPN服務(wù)。該公司提供的自有的VPN軟件可以安裝在你的筆記本上，然后你就可以使用公共Wi-Fi。

　　一旦你使用了這種軟件和服務(wù)，它會(huì)對(duì)你的流量進(jìn)行加密并將其通過隧道發(fā)送到“熱點(diǎn)盾”數(shù)據(jù)中心，然后發(fā)送到互聯(lián)網(wǎng)，與公司的VPN服務(wù)器原理一致。熱點(diǎn)盾甚至有移動(dòng)VPN設(shè)置(無需下載)功能來保護(hù)你通過iPhone進(jìn)行的Web沖浪，前提是這些iPhone里內(nèi)置了思科的VPN客戶端軟件。

　　通過使用這樣的服務(wù)，你可以確保從咖啡館到位于北加州的AnchorFree數(shù)據(jù)中心旅行的安全。一旦你到了那里，你的流量就會(huì)以被加密的方式傳輸?shù)狡湓诨ヂ?lián)網(wǎng)上的最終目的地，就像你從筆記本瀏覽直接到達(dá)公司的數(shù)據(jù)中心。

　　如果加密隧道沒有在你瀏覽網(wǎng)站的時(shí)候一直傳輸，那么這一做法也不完全是安全的。然而，這至少比沒有任何VPN功能要安全更多;如果想要進(jìn)入的話，那么“準(zhǔn)數(shù)據(jù)盜賊”就需要訪問AnchorFree數(shù)據(jù)中心，而不僅僅是你所在的Wi-Fi網(wǎng)絡(luò)。

　　Wi-Fi沖浪安全總結(jié)：

　　1.如果你的公司有VPN可用于網(wǎng)上沖浪，那么就使用。

　　2.如果沒有公司的VPN可使用，可以考慮HotSpot Shield。

　　3.付費(fèi)Wi-Fi互聯(lián)網(wǎng)不等于安全瀏覽。

　　4.在未加密的無線網(wǎng)絡(luò)中，任何人可以看到你瀏覽的信息(除非HTTPS網(wǎng)站)。

　　5.在加密的無線網(wǎng)絡(luò)中，任何擁有密鑰的人可以看到你所瀏覽的內(nèi)容(如室友或機(jī)場(chǎng)的人們)。

　　6.如果你必須使用Wi-Fi熱點(diǎn)，沒有任何形式的VPN，可以想象為你的筆記本正在與一個(gè)超大的體育場(chǎng)屏幕相連。不要訪問那些可能會(huì)被監(jiān)控的網(wǎng)站。