登录 / 注册
IT168网络通信频道
IT168首页 > 网络通信 > 网络通信评论 > 正文

Wi-Fi探讨:保护开放热点

2013-07-12 08:52    网界网 来源:网界网  作者: 宣文威 编辑: 王宁

        【IT168 评论】热点正风靡当下。如今世界各地的人们对稳定连接都有热切需求。很可能你也是其中一员。

  据此预测,到2015年公共热点将增加350%,预计私有热点的数量将达到6.4亿。

 

Wi-Fi探讨:保护开放热点

  全球公共热点和私有热点在呈现爆炸式增长,与此同时,身份窃取、欺诈和其他访问未加密信息的犯罪活动也在泛滥。

  因此,除去对连接的要求未满足外,用户越来越意识到并担心他们在开放热点的通讯被泄露。

Wi-Fi探讨:保护开放热点

  绝大多数有资深IT员工的企业将利用适当的加密技术保护内部无线设施。但绝大多数公共热点则没有加密或以任何方式予以保护。

  这意味着存在攻击用户的潜在风险或者保密性受到损害。有些企业IT人员有限,有心提供更安全的访问却没有时间或技术实施强劲的无线安全,对于它们来说,这也是个重大问题。目前应该解决的两大主要安全问题包括提供更安全的热点体验认证(例如用户身份认证)和加密(数据置乱)。

  客户端与目的地服务器间的加密传输对于传输层(如HTTPS)的安全有作用。但是当数据流在空间传输时用户希望链路层(第2层)有更多的保证。

  当今热点的安全性

  链路层加密的传统方法要求用户选择一个SSID,进入某种共享密钥或密码以对空中传输的数据进行置乱。热点Wi-Fi访问——例如在星巴克或机场——一般是基于开放SSID,容易获取,只要求用户接受一般使用条款和条件,没有对数据传输进行加密。

  由于当今热点使用开放连接,即没有提供任何形式的链路层安全,用户可能会受到以下攻击:

  ● 拦截。攻击者模拟用户设备连接的接入点,造成用户设备脱离Wi-Fi网络。然后该攻击者进入用户会话,实施有效的窃取服务。

  ● Cookie拦截。在这种情况下,攻击者偷偷窥探未加密Wi-Fi通讯并拦截用户会话cookie,使攻击者可访问Web网页上私有用户内容。

  ● 双面恶魔。对于这种攻击,攻击者建立一个欺诈接入点,其SSID与合法热点提供商部署接入点的SSID同名。这种攻击可用于身份窃取。

  ● 窃听。指未加密Wi-Fi通讯被攻击者拦截,危害到个人信息,例如密码、信用卡号和邮件信息。

  绝大多数企业网络没有这些Wi-Fi安全问题,因为他们利用IEEE802.11i架构利用WPA2-企业加密和EAP认证。然而,热点一般不提供802.1X通信。因此,用户无法保证连接是安全的且数据受到保护。换句话说,热点安全设置基本是“开放的”。所以,当用户进行认证时,无法确保提供的持续访问是加密的且能阻止安全破坏。

  最终,使用WPA2企业加密会造成客户端难以在不同的Wi-Fi热点间漫游。如果移动设备连接管理器没有识别出漫游合作伙伴网络的SSID,就不会试图加入该网络。在绝大多数情况下,用户并不知道漫游合作伙伴网络的SSID。

  如果有一种方式可以通过开放SSID自动提供加密访问,而用户只需点击选择更安全的连接,那又将如何呢?那将可以称得上是热点的圣杯了。

 

  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐
首页 评论 返回顶部