軟體 - 消除無線網路安全風險

[psac]

消除無線網路安全風險

人們從來沒有停止過對便利生活的追求，而為滿足這種需要各種技術也不斷被推動向前發展著。就在人們剛剛學會享受網路技術所帶來的巨大便利之時，訊息技術廠商已經在為我們描繪另一個更加巨集大、美麗的場景，那就是無線網路。

　　「網路能做什麼」的浪潮已經過去，「如何使用網路」又將成為新一輪的競爭焦點。而這新一輪的網路發展正在力爭讓無線信號覆蓋到全球的各個角落，試圖讓人們能夠在任何時間、任何地點，通過任何設備都能聯入全球網路。然而，當更多的線纜被肉眼看不見的無線信號取代以後，用戶是否能夠獲得足夠的安全保障將成為必須回答的問題之一。這就好似將所有的雞蛋放在同一個籃子裡。覆蓋在地球表層的巨大信號體系既能夠讓我們的生活變得更加美好，也可能在轉瞬之間奪走我們所有的安全感。

　　Wi-Fi

　　Wi-Fi主要的安全問題

　　安全功能的隱患

　　從設計上來講，Wi-Fi在安全方面所依仗的主要力量是WEP（有線對等保密）加密，然而這種保護手段已經被證明是不夠強健的。更重要的是，WEP加密本身存在一些問題。WEP定義了一個24位的字段做為初始化向量（IV），而該向量會出現重用的情況。

　　設計與使用問題

　　大多數廠商的產品為了能夠被快速配置和應用，並沒有使用高安全係數的出廠設置。而很多用戶並不瞭解如何配置，也往往不會對無線網路設備進行安全配置。

　　如何使Wi-Fi更安全

　　注意SSID

　　SSID是一個無線網路的標識，在可能的情況下不應使用設備預設的SSID。

　　另外，設置為封閉的Wi-Fi網路不響應那些將SSID設置為Any的無線設備，而且不在無線網路內進行SSID廣播，這樣能夠減少無線網路被發現的可能。

　　加固WEP

　　有限的WEP加密至少比不使用WEP的情況要好得多，所以一個基本的原則就是設置盡可能高強度的WEP密鑰。
定期更換密鑰

　　並不一定所有的環境都需要每週變更密鑰，但是應該考慮至少每個季度更換一次密鑰。隨著時間的發展，一個從不更換密鑰的無線網路其安全性會大幅度下降。

　　過濾電腦

　　通過指定一個特定的地址集，可以盡量保證只有得到授權的電腦才能訪問無線網路。

　　企業應用的安全建議

　　新的往往更好

　　如果企業正在搭建無線網路，應該盡量購買使用較新的標準和協議的產品。而對於仍在使用舊標準設備的企業來說，應該緊密的關注廠商發佈的升級訊息。

　　利用已有的安全資源

　　對於安裝了硬體防火牆的企業來說，盡量將無線訪問點置於防火牆之外，這樣將無線流量視為不受信任可以將防火牆應用於無線連接的過濾，從而提高安全起點。

　　將無線納入整體安全策略

　　由於無線訪問方式相對隨意，所以將其進行監管顯得尤其重要。不應該允許員工任意的在網路內部署無線設備，並應該定期的對公司的無線網路進行檢查。

　　藍牙（BlueTooth）

　　藍牙的主要安全問題

　　藍牙技術正以極快的速度滲透到人們的生活當中，根據很多市場調研機構的預測，在2008年藍牙產品的市場需求量將達到目前的三倍。IDC預計在2008年將有超過半數的手機在出廠是內置藍牙。

　　首要問題是產品漏洞

　　儘管藍牙規範在推出伊始就針對安全性進行了較好的考慮，但是由於廠商實現和用戶習慣等方方面面因素的影響，藍牙應用的安全性仍然未臻完美。

　　目前在藍牙領域發現的安全問題主要集中於訊息盜取、設備控制和拒絕服務攻擊等，其大部分的原因都是由廠商設計上的缺陷造成的。

藍牙受攻擊的基本方式

　　目前已經發掘出一些方法可以突破藍牙設備的安全機制。理論上被設置為不可見的藍牙設備是不能夠被發現的，然而事實並非如此。利用包括redfang（紅獠牙，一種黑客工具）在內的一些軟件工具可以發現處於不可見模式的藍牙設備。

　　PIN碼破解擊潰藍牙防線

　　藍牙設備之間主要的安全認證方法是通過PIN碼進行配對。目前最棘手的問題在於攻擊者已經發掘出一些方法破解藍牙設備的PIN碼。通過發起強制性的重新配對並監聽配對過程中傳遞的訊息，攻擊者能夠通過暴力破解的方法進行枚舉攻擊，從而最終獲得PIN碼訊息。

　　如何防範藍牙攻擊

　　不使用就不啟用

　　對於藍牙設備來說，一個應該時刻牢記的原則是在不需要藍牙連接的時候盡量將其關閉。

　　使用高安全級別

　　藍牙設備通常有三種高中低安全級別，最高階別就是設備安全。需要說明的是啟用了設備級安全的藍牙設備還可以對資料進行加密。盡可能高的安全級別是非常重要的。

　　留意配對

　　由於破解藍牙PIN碼的過程有賴於強制進行重新配對，所以對可疑的配對請求要特別留意。另外，在可能的情況下盡量採取記憶配對訊息的方式進行連接，而不要採用在每次連接時都進行配對的方式。

　　企業的藍牙安全建議

　　制訂安全策略

　　因此，對藍牙安全問題的處理需要很好的融入企業的整體安全策略，在安全策略管理之外的藍牙設備應該堅決禁用。

　　關注相關更新

　　由於目前絕大部分藍牙安全問題的起因都是由於產品缺陷造成的，所以應該積極地關注所使用藍牙設備的漏洞發佈，並盡快進行產品更新。

　　如果漏洞比較嚴重又無法從廠商處獲取更新，應該慎重考慮停用該設備或通過附加安全措施來進行防護。
背景資料

　　藍牙（BlueTooth）是另一個具有重要影響力的無線局域網技術。由於被越來越廣泛地整合在手機和PDA等可移動手持設備當中，這種立足於小範圍無線連接的技術標準正處於高速成長階段。該技術通常遵循802.15標準，以構建被稱為WPAN（無線個人區域網）的用戶網路空間。

　　UWB

　　應用情況

　　UWB（超寬帶）正在成為家用無線系統的明星。目前國際標準化組織正在積極的制訂UWB方面的標準，我國863計劃也在著手進行UWB領域的研發。在市場方面，目前已經有很多廠商正著手將UWB應用於HDTV等家用系統。

　　安全技術

　　UWB的技術特性決定了該技術相對來說是安全的。因為這項技術在軍方開發時就被要求具備極難竊聽的特性。UWB傳輸的特點是脈衝信號週期極短（往往是納秒或皮秒級），而這些信號的發射功率又低於傳統無線電接收設備的噪聲水平，所以使用通常的射頻接收設備很難接收到。此外UWB內鍵還使用AES（先進加密標準）進行加密，並具備抗干擾機制以及自恢復能力對抗各種傳輸的失敗。所以利用UWB技術可以建立非常安全可靠的傳輸系統。

　　值得關注的問題

　　目前還沒有在UWB技術中發現明顯的安全缺陷，也許大量的UWB產品面世之後會發現更多問題。

　　由於出口限制，不同國家地區所能獲得的密鑰位數有所不同。若產品中使用的是40位密鑰加密，那麼系統會比較脆弱;若獲得軍用標準的256位密鑰版本，那麼UWB系統就會非常強大，所以在選購產品時應特別留意這一點。

　　另外，由於UWB傳輸距離非常有限，在很多家庭應用中必須與有線系統結合才能發揮作用，這就使無論在產品設計階段還是在實際環境的安全保護工作中都需要考慮到與有線系統融合後的情況。

　　背景資料

　　UWB（Ultra Wide Band）又被稱為「超寬帶」，來自一項軍用雷達技術研究的成果，在2002年開始應用於民用產品。UWB的耗電量還不及Wi-Fi的千分之五，傳輸速率最低可達100Mbps，最高則可達1Gbps。該技術與最初的藍牙1.0標準類似，主要用於10米距離以內的資料傳輸。
WiMAX

　　最被看好的無線技術

　　IEEE考慮到安全對於無線寬帶的重要性，所以在制訂規範時越來越重視標準中的安全功能定義，這使得基於無線城域網標準的WiMAX在設計階段有一個較好的起點。作為近兩年來最被看好的無線技術之一，WiMAX在安全方面展開了積極的努力。


　　當前標準的安全隱患

　　較新的802.16d標準中通過在MAC層中定義一個保密性子層來提供額外的安全保障。保密性子層主要包括資料加密封裝和密鑰管理兩個協議。其中資料加密封裝協議定義了802.16d所支持的加密算法和方式，而密鑰管理協議則定義了從基站向用戶終端分發密鑰的方式。另外802.16d所使用的DES算法只支持56位密鑰，這一密鑰長度在今天不足以面對攻擊者們的破解能力。

　　新標準更安全

　　802.16e標準正在制訂，而支持802.16e的WiMAX設備則很可能在2006年上市。在802.16e中可以使用兩種高質量的加密標準ES3或AES，並且通過與EAP協議的結合提供足夠完善的認證機制。

　　802.16e極有可能會參考最新的無線局域網標準802.11i，使用四次握手機制來增強加密和認證過程的強度。比較來看Wi-Fi採用的是AES加密與PEAP認證結合的方式。

　　此外WiMAX聯盟所制訂的標準中還嘗試定義專門的板載安全處理器，這種機制可以為WiMAX設備提供更嚴密的保護機制。

　　背景資料

　　WiMAX是另一項正在冉冉上升的無線傳輸技術。不過WiMAX更合理的定位應該是在無線廣域網市場。WiMAX所遵循的技術標準是802.16，該標準主要用於界定寬帶無線訪問的終端接入部分。在架設有線線路成本較高的相對偏僻的地區，WiMAX將為ISP解決最後一公里問題提供良好的解決方案。

　　3G

　　與之前的無線通信網路技術相比，3G無論在功能上還是在性能上都有了長足進步，而在安全性能方面也有了極大改善。

　　3G的安全功能

　　3G應用了包括隨機性密鑰等多種先進的技術，可以為信號傳輸提供更牢固的底層支持。

　　同時，3G使用雙向認證方式，可以提供完備的驗證和保護措施。

3G的安全問題

　　加密不是萬能的

　　由於大部分加密體制控制在歐美組織和廠商手中，我們很可能無法及時進行修復和控制。

　　IP網路安全

　　由於3G網路中大量應用了基於IP的設施，所以在IP網路中存在的大量安全問題同樣也會對3G網路造成威脅。

　　攻擊總會存在

　　即使僅從理論上看似乎也不存在能完全對攻擊免疫的技術。3G也不例外。目前已證實3G網路仍有可能受到竊聽和欺詐等攻擊手段的影響。

　　選擇3G的注意事項

　　3G網路的先進性和應用移動化的趨勢發展，意味著將來會有越來越多的個人應用和企業應用執行在3G網路上。儘管在服務商方面國內沒有太多供選擇的餘地，但是詳細瞭解每個服務商所採取的技術體系結構和技術標準還是非常有用的。特別是對於那些對安全性能有特殊要求的用戶來說，至少應該保證所選擇的體系能夠增加附加保護。

　　背景資料

　　3G（第三代包交換蜂窩式無線通信網路）在具有很大的覆蓋範圍的蜂窩式無線通信網路基礎上提供了較大的傳輸帶寬。而更重要的是3G網路是基於IP的。也就是說不單單是資料，語音信號也將基於IP協議進行傳輸，從而提供更高的服務質量和可管理性。


　　RFID

　　RFID安全受到漠視

　　與其它以資料傳輸為主要目的的無線技術不同，RFID（無線射頻識別技術）主要用於進行標識和驗證。由於目前RFID主要應用領域對私密性要求不高，所以很多用戶對RFID的安全問題尚處於比較漠視的階段。

　　脆弱的RFID系統

　　目前針對RFID系統的攻擊主要集中於標籤訊息的截獲和對這些訊息的破解。在獲得了標籤中的訊息之後，攻擊者可以通過偽造等方式對RFID系統進行非授權使用。有研究結果表明，在不接觸RFID設備的情況下，盜取其中訊息也是可能的。
RFID安全前路漫漫

　　RFID的加密並非絕對安全。RFID的安全保護主要依賴於標籤訊息的加密，但目前的加密機制所提供的保護還能讓人完全放心。

　　一個RFID芯片如果設計不良或沒有受到保護，還有很多手段可以獲取芯片的結構和其中的資料。另外，單純依賴RFID本身的技術特性也無法滿足RFID系統安全要求。

　　應用RFID必須對額外的安全措施有所考慮，例如增加加密保護的層次，以及在RFID上層制訂一些保護標準等。

　　背景資料

　　RFID是一種基於無線射頻的識別技術。由於頻段相容等多種原因還沒有形成全球統一的產業標準。現在已經有越來越多的RFID產品被實際應用，特別是在物流領域。已經有很多專家預測，RFID將植入到每一件物品甚至人體當中，組成一個全球性的物聯網。可以說，RFID的發展前景極為廣闊，可能會成為未來社會的基礎性設施。

　　將無線納入安全策略

　　根據Gartner的預測，2005年底能夠上網的手持設備將達到PC水平，而且「無線熱區」也正快速地從機場、酒店向街區過渡。這意味著一種全新的互連網接入模式以及由此產生的新的攻擊浪潮正在形成。

　　通過前面對幾種主流無線技術的安全分析可以發現，現在相對於有線網路世界來說無線網路的安全問題要少得多，類型也比較單一。

　　無線連接和無線設備的管理比有線系統要複雜得多。一旦企業忽視了無線安全問題，攻擊者將可以堂而皇之地進入企業內部大肆破壞，同時企業建構在有線系統上的安全設施將形同虛設。這意味著無線安全防範已經成為訊息安全領域新的課題，每個使用無線的用戶都必須認識並解決它。

　　無線技術均有安全缺陷

　　總體來看，大部分無線技術標準在安全方面都提供了較好的基礎，特別是較晚出現的類似WiMAX和UWB這樣正在謀求市場認同的無線技術。然而由於產品設計和實現方面的問題，任何一類技術都不可避免地會產生一些安全缺陷。

　　Wi-Fi作為無線應用的先行者之一暴露出了較多的安全弱點。儘管在新的802.11i等無線局域網標準中安全性有了很大進步，但是全球已經執行著大量遵循舊有802.11b標準的產品。事實上，這些相對較老的產品仍然在銷售和生產。

這一事實具有雙重啟示:首先儘管UWB等技術展示給我們的安全特徵已經超越了民用市場的界限。

　　另一層意義在於新推出的無線技術標準除了借鑒前人的設計經驗之外，也許應該提前對規範的更新做出考慮。

　　另外，值得一提的是3G和RFID。這兩項無線技術有可能大幅度地改善個人消費者的生活，同時也帶來了更多隱私方面的問題。除了執行安全防護之外，如何處理隱私問題已經大大超出了安全技術的範疇，這也顯示了無線技術作為變革全球網路形態的力量所具有的社會性特徵。

　　從現實情況來看，大部分投入使用的無線設備仍然處於保護不足的狀態。保障無線安全的首要問題在於應用與有線系統一樣正規的安全處理過程，同時著力培養用戶的安全意識和安全技能，從而盡快將無線安全問題匯入正軌。

　　企業無線安全建議

　　嚴密監控企業的無線設施

　　自802.11b產品大面積普及開始，瞭解企業無線信號的覆蓋範圍就成為實施無線安全的首要步驟之一。然而在今天，我們還需要瞭解企業無線覆蓋內更詳細的情況。

　　例如有哪些設備正在信號範圍內通信，哪些沒有得到授權的設備，是否有設備在截聽信號傳輸等等。

　　這些工作可能需要一些專用的設備，但是在沒有足夠設備的情況下仍舊有很多事情可做。通過良好的設備管理和一般性的嗅探程式同樣可以發現不應該出現在網路內的無線連接。

　　正確應用加密

　　首先要選擇合適的加密標準。由於很多無線技術都可以選擇不同的加密方法，所以這一點相當重要。無線系統不可能孤立地存在，在企業環境裡尤其如此，所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法。就目前的情況來說應該盡量保證128位密鑰長度。

　　驗證同樣重要

　　加密可以保護訊息不被破解，但是無法保證資料的真實性和完整性，所以部署無線系統的時候必須為其提供匹配的認證機制。在使用的無線系統帶有認證機制的情況下可以直接利用。但是與加密一樣，要保證認證機制與其它應用系統能夠協同工作，在需要的情況下也可以使用企業原有的認證系統來完成這一工作。

　　將無線納入安全策略

　　對於企業應用環境來說，將無線問題納入到企業整體安全策略當中是必不可少的。這樣可以保證無線安全的實施足夠完善和合理，而且如果無線和有線的安全問題不能統一處理會破壞整個網路的安全性。企業有關訊息安全方面的所有內容，包括做什麼、做到什麼地步、由誰來做、如何做等等，應該圍繞統一的目標來組織，只有這樣才能打造出健康有效的安全體系。

[psac]

網路無限制：登入被封鎖的網站

1、推薦方法：利用P2P的CDN網路訪問

　　Coral是一個採用P2P技術的CDN網路，只要在想瀏覽的UR L域名後加上.nyud.net:8090就可以方便地利用Coral的CDN網路進行瀏覽，比如可以通過http://zh.wikipedia.org.nyud.net:8090/ 瀏覽維基百科中文版，可以看到安替被封的blog，幾乎所有被國內封鎖的網站都可以通過這種方式訪問，看來以後這種技術應該大力發展才好。

　　2、利用Google自動翻譯

　　http://translate.google.com/translat....wikipedia.org

　　慢是慢了點，不過終究可以訪問。

　　3、維基百科瀏覽器

　　訪問以下網址即可：http://gollum.easycp.de/gollum/gollu...&l=zh-cn&wl=zh

　　4、改動hosts文件

　　C:\WINDOWS\SYSTEM32\DRIVERS\ETC (windows被安裝在C硬碟時) 用記事本或寫字板打開hosts無延伸名文件加入

　　145.97.39.132 en.wikipedia.org
　　145.97.39.132 zh.wikipedia.org
　　145.97.39.132 jp.wikipedia.org
　　145.97.39.132 upload.wikimedia.org

　　5、維基百科專用代理服務器

　　可以使用145.97.39.130:80 - 145.97.132.140:80之間任意一個IP位址作為代理。這是wikimedia位於巴黎的服務器。但是請注意，這些代理只能用來訪問wikimeida網站，其他網站不能訪問。

　　6、其他代理服務器

　　國內： 代理服務器網、代理中國

　　國外：http://www.stayinvisible.com/index.pl/proxy_list
　　http://www.freepublicproxies.com/page1.html
　　http://www.proxy4free.com/page1.html
　　http://www.findproxy.com/index.html
　　http://www.anonymitychecker.com/page1.html
　　http://www.publicproxyservers.com/page1.html
　　http://www.allproxies.com/page1.html
　　http://www.proxymania.com/page1.html
　　http://www.proxymatrix.com/page1.html
　　http://www.proxytester.com/page1.html

　　也可以用代理服務器軟件搜索驗證，像代理獵手等。