作者:iN在
其實大家在注意Wi-Fi訊號強弱之後還需要注意一下Wi-Fi安全等級。能夠有助於大家來防止資訊丟失,甚至防止蹭網行為。做安全的關鍵是可以對你的網路有一個相對堅實的安全保障。
今天,咱們就來簡要的說說Wi-Fi安全的問題。
首先要說的一點是家裡的無線網路密碼多長都並不代表你的網路是一個安全的網路。
長密碼並不代表安全,僅僅是你可以讓破解你家網路的人花費稍微長一點的時間來用字典暴力破解來試探出你家的密碼。
先說基礎:通常我們的無線網路會有不同的加密方式這屬於無線安全協議的範疇。目前流行的無線安全協議包括WEP、WPA、WPA2、以及WPS這個變體和雖然釋出但是沒有真正廣泛實施的WPA3。
WEP協議叫做“Wired Equivalent Privacy(有線等效隱私)”但這個東西明明是給無線網路來使用的,後來WEP的縮寫就變成了“Wireless Encryption Protocol(無線加密協議)”。在1997年WEP協議公佈之後,WEP迅速的成為了當時的無線網路標準。
但是WEP自始至終都不是一個深思熟慮的標準,而是為了“應景”而產生的產物。在加密過程中使用RC4流式加密的機制。
這就導致為了維持一定週期內的加密作業,就需要不斷產生新的不重複的IV向量,但怎麼判斷IV不重複呢?在這個加密的過程中IV向量是以明文釋出的。所以這種加密的方法最終就加密了個寂寞。
利用一些可以公開下載的工具,破解者可以在2-3分鐘內直接破解掉一個以WEP為基礎的網路。
所以,在2004年頒佈的IEEE 802。11i-2004(IEEE 802。11修正)標準中明確的去掉了WEP這種不安全的機制。只不過不過遺憾的是一個標準即然出現過,那麼就有很多裝置會適應這些標準。以至於新的裝置為了能夠連線裝置還必須兼顧老的、陳舊的、有漏洞的標準,這就叫做相容性。
在1997年後無線網路標準掙扎了一下,由Wi-Fi聯盟在1999年提出了利用時間碼為Wi-Fi生成金鑰的方法,這也就是時間金鑰完整性協議(Temporal Key Integrity Protocol,TKIP)。在一定程度上取代了WEP暴露在外的IV,這個附加的協議標準被稱作Wi-Fi訪問保護(Wi-Fi Protected Access),也就是WPA。
WPA安全了嗎?當然沒有因為TKIP不暴露出明文的IV,但是時間這個東西本來就是大家都知道的,所以WPA的TKIP很快也遭到了破解。這些破解方法主要集中在了RC4所必須的IV的猜測和配對上。
再往後Wi-Fi聯盟更新了WPA的加密演算法,利用AES替代了RC4加秘,在網路建立初期分發一個預先共享金鑰,後期所有流量使用基於這個金鑰算出的AES金鑰再對資料進行加密。這時候網路才算是相對安全,具備這個特徵的無線網路加密方法叫做WPA2。
WPA2安全嗎?也不一定,2017年兩個安全人員搞出了一個金鑰重灌攻擊(Key Reinstallation Attack,KRACK)。簡單的說就是Wi-Fi網路為了應對斷網訊號不好的情況都會將一些已經發過的資料包進行重發,這時候一個偽裝的Key就可以獲得Wi-Fi網路資料。
透過這種方法攻擊者雖然不能控制計算機,但是Wi-Fi網路上的資料對於攻擊者是透明的,如果是非SSL加密資訊的傳輸,例如普通的HTTP而非HTTPS,攻擊者則可以解密無線資料。
當然了,這種攻擊有侷限性,需要攻擊者也在Wi-Fi的覆蓋範圍之內,按照現在大家家裡的無線AP功率來說,離開稍遠就不會有太大的問題(但依舊別掉以輕心)。
其實整體的網路安全問題都是一個欠賬的事情,在最早的WEP(有線等效安全)的時候實際上也就僅僅做到了無線網路類似於網線的安全標準,但即便是網線,在沒有交換機劃分嚴格的廣播域的前提下也是在乙太網內進行大範圍的廣播而失去資料保護能力。
我們的網路又因為要相容老裝置,就會導致即便知道某些漏洞問題的存在,還不得不使用這些帶有漏洞的加密方式。
在這種前提下,其實我們就需要做不同層次的網路隔離了。
例如很多ESP8266/ESP32為基礎的智慧家居產品,沒錯就是說的大部分wifi的智慧裝置,由於採用相對便宜的晶片,本身網路安全的加密支援度並不高。
因此這些裝置實際上是應該接入一個相對許可權較低的網路層級的,例如在iN這邊有一個RiHomeBase的接入點,就完全為這些裝置開放。在路由器和防火牆上的規則也設定了這些裝置只能和家裡的某系特定節點互通,以求擁有最小的網路許可權。
同時一些更大型的裝置,例如手機、平板電腦、遊戲機等等,本身支援的安全層級相對較高。就可以釋放到更高一個級別的接入點上。
例如這裡的RihomeDirectAccess中,相對許可權較高,能開啟一定量的外網埠。在玩遊戲和看影片的時候不卡。
正常工作的時候Wi-Fi接入的則是Rihome這個接入點,則是採用了完整的WPA-PSK鏈路,在保證速度的前提下,也獲得了更高的安全性。
當然了,最安全的是基於RADIUS認證的網路系統,你就得需要路由器支援RADIUS服務或者單獨架設一個RADIUS伺服器了。
在基於使用者名稱密碼的驗證後,為整個的流量都套一層TLS加密,在這種配置下網路就“還算”安全了。當然了,前提你不能丟掉金鑰和證書。
開啟App看更多精彩內容
