如何防范针对无线热点(Wi-Fi)的攻击

      当你商务旅行之时，或许会在某个咖啡馆小憩。可是在你一边从无线热点上网冲浪、一边品味饮料或美食的同时，别人说不定就在偷偷窃取你的个人信息。因为无线信号采用无线形式，人们实际上能够从空中窃取你的数据。

　　不过，你也用不着因噎废食、放弃使用公共无线网络。你可以采取许多防范措施来确保自己的文件和敏感信息是私密信息，本文将进行全面探讨。

　　为了有效保护你自己、防范无线网络黑客或窃听者，你必须首先明白使用无线热点带来的几个主要安全风险：

　　·在无线连接上传输的流量是完全暴露的：大多数无线热点并不用加密技术对于在你的电脑与热点之间来回传送的数据进行加密。这意味着，别人只要在几十米之内、拥有合适的工具，就有可能截获你无线连接上传输的原始数据包。

　　要是没有加密，别人至少能够清楚地看到你到底在访问哪些网站。此外，如果网站连接没有采用安全套接层(SSL)来加密――如果浏览器上显示一个挂锁，表明采用了SSL，那么别人就能看到与这个网站有关的内容和流量。这可能包括你登录到没有使用SSL的那些网站上所填写的用户名和密码。

　　没有得到加密保护的其他服务也存在同样的风险，比如FTP或电子邮件服务。图1显示了你可以清楚地看到无线热点用户的一举一动，那是因为该用户使用的POP3电子邮件帐户(比如微软Outlook中的POP3电子邮件帐户)没有得到SSL的保护。除了图中显示的电子邮件帐户证书外，发送或收到的邮件也以明文格式显示。

　　·你的笔记本电脑容易受到未授权访问：如果你的防火墙或共享设置没有经过合理配置，你的电脑就极容易受到来自网上或公共热点的黑客的入侵。许多人可能犯下的最大错误之一就是，连接至热点期间，任由共享文件夹功能开着。别人只要连接至该热点，也许就能打开“网络”(Network)或“我的网络位置”(My Network Places)，然后浏览至你的共享文件夹。他们也许进而能够阅读或编辑你的文件，具体取决于共享设置，这当然不是好事。

　　·双面恶魔热点(Evil-twin hotspot)会窃取你的财务信息或身份：一心想为非作歹的无线网络黑客能够搭好自己的接入点和设备，建立起真实无线热点的“山寨版”。他们这么做的目的是，引诱你连接至他们的信号、进行支付活动。然后，他们就可以自己利用或者出售你的信用卡和身份信息。因为黑客可以把仿冒热点做得几乎与其他的真实热点一模一样，你甚至不会发觉自己上当受骗了――所以完全有必要定期检查自己的信用报告。黑客还会使出其他花招，比如把用户从一些知名的财务网站引到虚拟网站，企图窃取登录信息。

      现在不妨看一下如何防范我们假想的所有这些坏事不会发生在自己身上。首先，我们先来讨论确保无线流量的一些技术和方法。你在使用无线热点时，只要使用下列其中一种方法，就足以保护最敏感的信息。

　　·对于敏感的网站及服务使用SSL：不管你是不是连接至公共热点上，都应当始终确保你登录上去、处理敏感信息的任何网站或者你使用的任何服务(比如电子邮件和FTP)都得到了SSL加密的保护。这将确保在你的电脑与网站或服务之间来回传送的信息是安全可靠的，无论连接上去的热点是真还是假。如果使用了SSL，互联网浏览器就会跳出https地址，而不是http地址，还会显示挂锁或证书信息。

　　对于像Outlook或Thunderbird这些电子邮件客户程序，你需要确保POP3和IMAP4或SMTP服务器连接使用了SSL。你使用的电子邮件服务必须支持加密。如果不支持，你可能需要关注其他解决方案，比如Neomailbox、Hushmail或4securemail。

　　·使用虚拟专用网(VPN)连接：这会对你的所有互联网流量进行加密。你其实完全可以使用未加密连接来访问网站或服务，因为热点上的黑客无法截获任何流量。你基本上是在VPN服务器端点使用互联网连接，以便访问万维网。之所以使用热点的互联网连接，完全是为了在你的电脑与VPN服务器之间有一条加密隧道。

　　如果你使用的网站或服务不是全部采用加密，或者你希望额外的安全性，那么连接至公共热点时使用VPN连接是个好主意。你可以询问雇主是不是有VPN解决方案，也可以自行构建VPN，或者使用商用或免费的托管服务。为了获得最佳保护效果，请使用基于IPsec的VPN，而不是基于PPTP的VPN。

　　·使用经过加密的热点：T-Mobile和iBahn等一些大型热点提供商在其热点上为WPA企业级加密机制提供了802.1X证书。连接至这些热点可确保你的无线连接得到了保护、以免被公众偷窃。切记：不过确保安全地访问网站和服务总是最佳办法，以便保护在互联网上传输的流量。

　　阻止互联网和无线入侵

　　为了防止有人未经授权访问你的电脑或设备，就要确保采取了以下每个步骤：

　　·禁用共享功能：有些热点并不阻止彼此连接的用户之间的通信。因此，你在公共场所上网冲浪时，总是应当禁用文件共享功能。在Windows XP中，双击系统托盘上的无线图标，点击“属性”(Properties)按钮，取消“文件和打印机共享”(File and Printer Sharing)选项前面的勾(见图1)，然后点击“确认”(OK)。在Windows Vista中，你应当使用新的网络分类方案。连接至热点后，选择“公共”(Public)作为网络类型或位置(见图2);这样就能自动禁用共享功能。

　　·启用Windows防火墙，并保持安全：这样就可以阻止有人利用端口侵入到你的电脑上。你还应当考虑在连接至开放网络时，选中“不允许例外”(Don’t allow exceptions)选项，或者至少检查一下例外列表上的程序和端口。

　　·让你的电脑或设备处于最新版本：这将确保你的电脑堵上了操作系统或你所用软件存在的最新安全漏洞。

       你可以采取以下这几个方法来确保自己连接至真实热点：

　　·向提供热点的商家核实一下：如果你找到一个热点，一定要弄清楚谁提供该热点，并询问一下对方。你可能会发现值得注意的一些矛盾之处，比如对方其实并不提供无线网络。另外，如果热点似乎是某个网络或多场所热点提供商的一部分，就要查清楚热点目录是不是列出了这个特定位置。

　　·在家注册热点服务：不要直接从热点注册热点服务，这完全是为了安全起见。这样一来，双面恶魔热点就弄不到你的信用卡信息了。

　　·确保SSL用于热点的支付/计费环节：如果你在外出时必须注册热点服务，就要确保所填写的任何支付或计费表格都得到了SSL连接的保护。另外还要留意出现错误的SSL证书，IE浏览器会通知你注意这种证书。虚假热点可能根本就不使用正确的证书或SSL。

　　·不要连接至临时性的对等连接：应当把任何临时性的对等连接(这种连接上的电脑允许人们可连接上去)都看成是双面恶魔连接或XP中无线设置的配置不当。换句话说，无线互联网很少通过这种电脑至电脑连接来提供。

　　现在你得到了保护!

　　如果你采用了前面讨论的一些技术和方法，你的电脑、数据和身份应当安然无恙。要记住三大风险。为了确保无线数据包的案例，至少要使用一种加密方法。为了防范黑客活动，应当考虑禁用共享功能、启用防火墙。最后，务必确保你没有受到无线犯罪分子的欺骗。

　　最后提供几个实用方法：

　　·你在公共场所时要看好身上的高科技装备――这类高科技装备很惹眼，有人会伺机窃取你的东西。

　　·禁用网络属性中的自动连接选项。

　　·移除Windows列表中的任何临时性的对等网络。

　　·要是不常上网冲浪，就干脆禁用无线适配器。

未经允许不得转载：DOIT » 如何防范针对无线热点(Wi-Fi)的攻击