新闻链接：http://safe.zol.com.cn/454/4544251.html
新闻时间：2014-05-16
新闻正文： 还记得Google的气球计划吗？其利用气球装载上网设备，搭建天空Wi-Fi网络的壮举一度让世人惊叹。目前像Google一样普及Wi-Fi的商业巨头已达数十个，并纷纷将其作为下一步获取稳定客户和新业务突破点的主要途径。

　　在Wi-Fi网络成为趋势，越来越多的用户将自己的智能手机、平板电脑、PC接入Wi-Fi网络中时，一个关键问题开始涌现：Wi-Fi网络真的安全吗？

　　网络攻击呈现多样化

　　伴随数据流量的爆炸式增长，网络上受到的攻击方式也呈现多样化特点，在Wi-Fi网络中，比较常见的安全威胁包括非法用户伪造身份接入、流氓AP、会话拦截与监听、恶意流量注入攻击阻塞网络服务等方式。

　　在Ruckus中国区解决方案架构总监聂小云看来，WLAN面临安全威胁比有线网络多，而且Wi-Fi由于传输介质的开放性和工作原理，更容易受到窃听分析（Eavesdropping）、Honeypot（蜜罐）、密码/PIN攻击、DoS攻击、中间人等攻击。例如最近流行的通过密码攻击（字典攻击和猜测得到用户名码）获取无线路由器的管理权限，从而了解拥有者相关信息的情况，就属于“窃听分析+密码攻击”。

　　特别值得注意的是，现在用户在公共场所接入免费Wi-Fi已成为习惯，然而“开放的Wi-Fi接入意味着所有传输的数据对窃听者来说都是开放的，可以获得使用者的全部数据。Honeypot可以模仿开放热点获取几乎使用者的全部认证和访问数据。”聂小云说到。

　　公共Wi-Fi威胁几乎无抵抗力

　　目前业界针对Wi-Fi网络的防范，主要从接入控制鉴权和数据加密两个角度入手。前者目的是为了验证使用者的身份，防止身份伪造；后者是避免数据在传输过程中被窃取或伪造。中兴无线专家指出，实际上Wi-Fi系统里对这两方面都做了详细的防护规范，比如WPA2就是目前安全防护等级较高的标准。

　　据悉，WPA2采用EAP的身份认证系统，通过专门的认证服务器来保证接入用户的身份，每次登陆的密钥由认证服务器生成，安全性远高于用户名密码方式，并且可以防范终端MAC伪造；同时WPA2可以对数据进行AES 128位加密，避免数据被窃取或篡改。

　　“不过从目前的应用来看，大量的Wi-Fi网络都是Open模式，即不对接入者进行身份认证，也不对数据进行加密，直接用明文发送。”中兴专家说到。同时，对于防范非法AP，锐捷网络无线产品经理朱继明也表示用户基本是“无能为力”的，“因为当SSID名称一致时，用户无法分辨哪个是真哪个是假。”

　　除此以外，即使在家庭环境等封闭网络中，安全隐患同样存在，例如近段时间爆发的路由器DNS劫持事件，一旦路由器DNS被黑客篡改，所有连接这个路由器上网的电脑、手机、Pad等设备都会被黑客劫持，可能出现的情况包括知名网站被插入广告，访问网银等重要站点被带到假冒的钓鱼页面，导致账号密码泄露等后果。

　　用户防备

　　那么对于个人用户，应该如何应对这些安全威胁呢？

　　上海斐讯家庭终端业务市场经理汪君红建议，个人用户在公共区域使用免费Wi-Fi时，尽量不使用无密码的免费Wi-Fi，“尤其在公共场所连接Wi-Fi时，应向管理处咨询，确认无线网络名称和密码，并开设安全VPN通道后方可使用。”对于没有条件使用VPN通道的用户，可以使用一些随身Wi-Fi安全产品来搭建临时加密通道，以确保Wi-Fi上网安全。

　　同时在公共场所连接Wi-Fi时，多位专家建议尽量不要使用网银、在线支付、电子邮箱等含有重要信息的应用，一旦发现网络访问异常、弹出恶意广告或陌生链接时，应立刻断开Wi-Fi；在使用公共场所的WiFi浏览网站时，应手动输入网站地址，并使用https协议打开网站；如果必须在公共Wi-Fi的环境下使用邮箱，应将重要内容放在邮件附件中，并尽量为附件进行压缩加密。在使用电子邮件程序时，应勾选SSL、SMTPS、POP3S、IMAPS等安全选项，以确保邮件内容的安全。

　　在家庭热点方面，聂小云建议不要使用WPS/PIN码验证。同时其认为应设置WPA2安全，而不是WPA甚至WEP，密钥长度和内容也需要随机且长度足够长（16位以上，采用数字、大小写字母混编字符，如果怕忘记，请记录到某个地方）。当然，对于普通用户，应选择专业厂家的产品，保证系统本身的安全和访问数据不被窃取。

[课程]Linux pwn 探索篇！