公共無線網絡如何確保安全

    設想一下：你坐在一家咖啡館，拿著一杯拿鐵享受著無線上網的快樂，準備回顧銷售策略和季度財務預測報告。首先你需要連接咖啡館提供的免費Wi-Fi。然后將你的筆記本和放映機連起來，以便整個咖啡館的人都可以看到，最后你發出去一些打印好的副本給其他人參考，這些里面含有機密的產品規格信息。

　　這聽起來可能有點可笑，但是如果你使用公共Wi-Fi而且沒有采取適當的措施的話，那么你的商業機密就可能會被其他的“咖啡同胞”分享。

　　開放Wi-Fi無隱私可言

　　今天，大多數的科技用戶都知道如何(以及為何)確保家庭無線路由器的安全。Windows 7和Vista在連接到未加密無線網絡的時候都會彈出一個對話框提醒用戶。

　　而在咖啡館、機場休息室或圖書館人們頻繁地不假思索地連接無線，盡管使用加密的連接查看比賽結果或航班狀態是可以接受的，但是讀取電郵或進行任何Web活動等需要登錄的做法，就好像你在人群中使用對講機不安全。

　　那么為什么所有的企業不對他們Wi-Fi網絡進行加密呢？答案就是IEEE 802.11設計規范的密鑰系統太過復雜：如果對流量進行加密，網絡所有者和管理者需要選擇一個密碼，也就是“網絡密鑰”。需要每個網絡都有自己的密鑰，無論網絡所有者選擇了相對不安全、并很久未更新的WEP還是相對安全的WPA或WPA2，這個密鑰都需要在所有的用戶中共享。

　　在家中，你需要進行設置，然后將密碼告訴你的家人，那么你們就可以在家中享受無憂的網上沖浪了。而在咖啡館，咖啡師不得不將密碼(或26位的十六進制WEP密鑰)告訴給每位客人，可能他們就可以聯網了。在這種情況下沒有什么比空密碼更簡便了。

　　然而，就算網絡已經加密了，你可能也不是絕對安全的。一旦你的計算機知道了密鑰，只有對于那些和你不在同一網絡的人來說，你的信息才是安全的;所有“咖啡同胞”都可以看到你的流量，因為他們使用的是同一個密鑰。

　　你的私人業務就是你競爭對手的業務

　　但是如果你認為自己的數據沒有重要到別人會喜歡竊取，又會怎樣呢？也許你只是瀏覽一下網頁，不需要登錄郵箱或打開需要密碼的Web應用。那么是否就會安全了呢？也未必。

　　設想一下，你剛從一個行業的貿易展覽回來，正在使用機場的Wi-Fi。沒有成百的電子郵件等你查看，你決定瀏覽一下競爭對手的網站，尋找一些靈感�；蛘哌x擇在網上研究可能達成的收購交易。

　　實際上，背后的情況是，你的電郵客戶端會檢測網絡連接并開始下載你的電郵�？偛磕愕囊粋�同事看到你的IM狀態瞬間變為“在線”并向你發送一個慌忙的請求：“工廠出現大問題啦，可能會被召回，盡快給鮑勃打個電話!”

　　只要有個無線數據包分析軟件，在同一塊休息區的恰巧和你曾經參加過同一個會議的人就可以收集你瀏覽過的網站以及你(未加密)的即時消息等泄露的商業機密，更不要說招聘人員發給你的泄露出你要跳槽的郵件或者可以反映出你和你另一半關系問題的消息了。簡言之，不良企圖的人在你閱讀之前就閱讀了你的信息，你可能沒有做過任何事情。

　　堅持在SSL協議下使用web郵箱

　　首先為了與郵件間諜對抗，你應該使用HTTPS協議的Web郵箱系統。幾乎所有Web郵箱系統在你登錄的時候都會使用HTTPS，所以你的密碼可以保證傳送的安全。而在當身份認證完成后，它們往往會返回使用HTTP，因為這可以降低服務器的計算應變功耗，更易于服務廣告。

　　這意味著所有與你處于同一個無線網絡(無論是未加密的還是共享密鑰)的人都可以閱讀你電郵的內容。在一些情況下，一些人可以盜取你的會話cookie并在無需密碼的情況就登錄到你的Web郵箱會話。

　　兩個非常明顯的例外是Gmail和你的企業電子郵件系統(例如 Outlook)。今年早些時候，Gmail從只在登錄時候使用HTTPS的做法，轉變后現在的整個Web郵箱會話都使用HTTPS。

　　谷歌應用用戶之前可以選擇使用這個功能，但是現在默認的則退出了這個功能。這一變化，加上谷歌新出來的可疑的登錄檢測算法，讓Gmail成為免費Web郵箱供應商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帳戶，你就會發現這一變化。

　　你公司的Web郵箱系統也很可能始終都受到HTTPS的保護，因為這是大多數系統的默認配置。然而，如果使用本地軟件(如Outlook,Thunderbird, Mac OS X的郵箱)查看工作信息，而不是基于Web的HTTPS郵箱，那么你可能不會被加密。

　　付費熱點：無安全性可談

　　在對這個課題進行研究的時候，我發現存在著一個對旅行者和咖啡愛好者的普遍誤解。從字面意義來看，需要每小時或每月進行費用訂閱的商業“熱點”(如AT&T, Boingo, GoGo, T-Mobile)比那些無需付費的競爭對手更加安全，因為這其中存在著一個密鑰的問題。

　　實際上，這些“熱點”幾乎都往往沒有加密，他們采用一種被稱為“套住門戶”的做法只是為了防止你在付費之前能夠連接上網。一旦驗證無線網絡中的所有流量都未被加密，那么這些“網關”Web門戶通常都通過HTTPS交付(為了保證信用卡信息和密碼的安全)。

　　所以，你每月10美元的費用卻不能保證訪問的安全。實際上，由于無線電頻率傳輸的性質，任何人都可以看到你未被加密的流量，他們只需要加入同樣的SSID無線網絡。

　　這意味著外部人員可以輕易地觀看并截獲你瀏覽過的任何常規的HTTP網站，任何未加密的POP3郵件，任何你的FTP傳輸。聰明的黑客甚至可以修改他們的無線網卡來克隆出你的無線網卡，因此通過“搭載”在你的信號獲得免費進入一個商業“熱點”的機會。

　　使用VPN

　　如果你的公司提供了VPN(虛擬專用網)接入互聯網訪問的功能，那么你在免費或付費的Wi-Fi“熱點”都應該利用這個功能。通過你筆記本的VPN功能，你可以確保所有的通訊都是被高強度的密碼加密的，從Wi-Fi“熱點”的隧道通過互聯網進入你們公司的數據中心，在那里將數據解包并在公司的互聯網連接中發送出去。

　　這是訪問公司資源(內聯網，電子郵件，數據庫)的一個安全的方法，因為無論誰與你同在一個無線網絡中，你都有專屬的通道到達你們公司。在一些公司的VPN配置中，除了訪問公司的資源外你也可以瀏覽互聯網。

　　這些可能比未加密的Web沖浪要相對慢一些，但是換來的安全性卻是值得的。此外，如果你到一個有互聯網限制規定的國家(如埃及)去旅行，你也可以使用位于美國的VPN連接回到“隧道”，就像你身處美國本土一樣打開你想要的網站。

　　如果你的公司沒有提供VPN服務或有個“分裂隧道”VPN(只允許公司的資源通過加密隧道，所有其他未加密的流量傳輸都會直接發送到“目的地”)的話，也不必擔心，你也可以保證安全。

　　你可以使用HotSpot Shield(“熱點盾”)，它是 AnchorFree生產的一款沒有任何費用的VPN服務。該公司提供的自有的VPN軟件可以安裝在你的筆記本上，然后你就可以使用公共Wi-Fi。

　　一旦你使用了這種軟件和服務，它會對你的流量進行加密并將其通過隧道發送到“熱點盾”數據中心，然后發送到互聯網，與公司的VPN服務器原理一致。熱點盾甚至有移動VPN設置(無需下載)功能來保護你通過iPhone進行的Web沖浪，前提是這些iPhone里內置了思科的VPN客戶端軟件。

　　通過使用這樣的服務，你可以確保從咖啡館到位于北加州的AnchorFree數據中心旅行的安全。一旦你到了那里，你的流量就會以被加密的方式傳輸到其在互聯網上的最終目的地，就像你從筆記本瀏覽直接到達公司的數據中心。

　　如果加密隧道沒有在你瀏覽網站的時候一直傳輸，那么這一做法也不完全是安全的。然而，這至少比沒有任何VPN功能要安全更多;如果想要進入的話，那么“準數據盜賊”就需要訪問AnchorFree數據中心，而不僅僅是你所在的Wi-Fi網絡。

　　Wi-Fi沖浪安全總結：

　　1.如果你的公司有VPN可用于網上沖浪，那么就使用。

　　2.如果沒有公司的VPN可使用，可以考慮HotSpot Shield。

　　3.付費Wi-Fi互聯網不等于安全瀏覽。

　　4.在未加密的無線網絡中，任何人可以看到你瀏覽的信息(除非HTTPS網站)。

　　5.在加密的無線網絡中，任何擁有密鑰的人可以看到你所瀏覽的內容(如室友或機場的人們)。

　　6.如果你必須使用Wi-Fi熱點，沒有任何形式的VPN，可以想象為你的筆記本正在與一個超大的體育場屏幕相連。不要訪問那些可能會被監控的網站。