最新802.11无线遭黑客入侵事件引起了广大无线网用户的担忧,无独有偶德国安全研究人员Martin Beck和Erik Tews发表了“针对WEP和WPA的入侵实例”。用户不禁要问,我们需要为此担忧吗?
即使你的无线接入点正使用WPA,也无需担心。
第一,WPA1已经成为标准超过两年时间。它在2006年3月被WPA2所替代。任何称职的安全专员,都应当已经通过WPA2保护好了他们的接入点。尽管如此,一些用户还在使用不安全的接入点。还有一些人在使用WEP并认为他们至少基本的安全保障,殊不知,现在针对WEP的黑客行为几乎是毫无意义的。Beck和Tew的攻击只对使用WPA接入点的子集有作用。要附属于子集,接入点必须先使用遵守WMM(无线多媒体)服务质量协议的WPA。
再者,接入点必须使用WPA的PSK(预共享密钥)模式。PSK也在某些接入点也被称作个人模式。在公司环境下,现在许多的802.11接入点使用企业模式802.1x,或基于证书的安全模式。如果你使用PSK模式,系统总会提示你使用长的(大于或等于17个字符),复杂的预共享密钥,以防止强硬入侵。
第三点,WAP(无线上网协议)必须使用TKIP(临时密钥完整性协议),而不是使用公认的更安全的基于AES(高级加密标准)的CCMP(计数器模式密码块链消息完整码协议)。无线网络安全软件默认的管理程序从一开始就运行CCMP,但是许多接入点要么不使用TKIP要么选择“自动选择”,这就意味着你不清楚使用的是什么协议。
现在,如果这四项(你有WAP; 运行了WAP; 使用WMM扩展的PSK模式; 使用TKIP)都实现了,你就没什么需要担心的了。黑客攻击找回的是钥串而不是密钥,除非黑客能每隔12-15分钟向客户发送七个未经授权的,单向的网络数据包,否则他仍无法解密单独的ARP(地址解析协议)包。因为他们只有单向的信息交流,这使得入侵者能做的非常有限。他们或许能够做些短期MAC(介质访问控制)地址欺骗,或是引发瞬时的拒绝服务,抑或是制造缓冲区溢出攻击,但前提是他们能熟练使用7个UDP(用户数据报协议)数据包。本质上,还要满足两个条件,一是受害者的电脑运行的是未加上述知识补丁的不安全软件,二是受害者电脑运行的是以前所不知道的“零日攻击”的软件。这两个条件都要求熟练使用7个UDP数据包。当然,只有当所有我们讨论过的不安全条件都存在时,攻击才会成功。
换用Bruce Schneier最有名的一句话说是,如果WPA1的黑客行为是你最担心安全问题的话,那你已经比我们所有人都做得好了。为了阻止黑客,要确保你所有的接入点都配置成WPA2。当然,这是你最近两年里应该做好了事情。另外,如果使用的是PSK模式,别忘了更改失效的WAP管理密码并改用长的预共享密钥。
所以,这些无线上网遭黑的新闻真算新闻吗?或许算吧,但不是特大新闻。基本上,你无需担心你无线网络,你的无线网络用户也可以继续无线上网,无需担心被打扰或被窃听。
来自无线入侵的最大威胁是导向。大对数的重要入侵是积累在小失误上的。即便这个入侵是建立在其他成功技巧上(例如:Chop-chop 攻击)。这将意味着WPA2某天会失效或WAP2上的TKIP不安全吗?会有人能把攻击改成双向传输或发送更多数据包吗?
正如微软英国公司的高级安全顾问Carric Dooley所说,事实上,黑客第一次入侵WEP就要耗费相当长时间和大量数据,当拥有了入侵所需要的数据之后,黑客需要花等待多长时间获得密钥。答案:仅一分钟。
没有评论:
发表评论