這是路由安全系列的第一篇:無線安全,後續兩篇分别是路由系統安全、内網安全。
<a href="http://static.leiphone.com/uploads/2014/04/262.jpg"></a>
關于安全,真是個老生常談的話題。
這次來聊的是(普通使用者的)網絡安全。網絡安全究其根本,其實就是控制中心——路由器的安全問題。在這個問題上,網絡上已經有足夠多的讨論,這篇的目的是希望把路由安全問題整體組織再分割,有邏輯、易了解的講述一遍。在這之上,我們還将暢想一下“下一代路由”在安全方面将可以如何改進。
把路由安全拆解開,第一塊是無線安全。這應該是大家最常聽到但并不了解的地方,面對“蹭網”,我們是不是把無線安全等級設定為最高強度的wpa2-psk就好了呢?
如果你真的這麼想,那你就錯了。
“普通難度密碼即便使用最高等級的wpa2加密,破解率也接近100%。”evi1m0向雷鋒網(公衆号:雷鋒網)确認說。
為什麼wpa2可以被破解呢?這裡邊有一個小的背景知識在裡邊。大凡密碼,我們都可以通過窮舉的方式來破解,隻是看窮舉所需要時間是否等得起。比如無線最早的wep加密,這個在當年可是無論如何都沒法破解的,但在今天隻需要幾十分鐘而已。wpa2也是一樣,它在使用多年後也迎來這個大限。
根據安全專家們的建議,我整理了以下幾點:
1)購買防暴力破解功能的路由,它可以限定1小時試錯多少次後就不能再試。一般在企業路由上有。
2)無線密碼設定的複雜些,比如15位密碼、20位密碼(用密碼生成器生成)。
3)隐藏無線網絡的ssid,可以應對入門級hacker。
4)時常在路由背景檢查是否有陌生裝置接入。
以上幾點,其實非常麻煩。帶防暴力功能的路由少且貴,密碼複雜了輸入的時候受不了,隐藏ssid效果不大,時常檢查根本不太可能。是以這些建議都隻能針對對安全有很高需要的使用者,普通使用者完全沒法操作。
有,但是不大。
防暴力上,目前已經釋出的幾款基本基于openwrt,它會有内建的防火牆機制,但不一定是預設打開的(有些可能沒有包含這個子產品);密碼驗證上,小米路由做了一定革新,它采用nfc感應驗證,密碼再複雜也不怕;其它方面就不多了。
我認為,無密碼驗證一定是未來方向之一。密碼本身是個無意義的産物,逼迫人們記住長密碼是工業時代的作風,網際網路時代我們有更好手段。小米的nfc驗證是個不錯的設定,如果更進一步,去感覺裝置在哪、使用者是誰是不是會更好呢?
這是有可能的。無線是可以做定位用途,隻是精确度不像專門的地理圍欄技術如ibeacon那樣準确,位置感應可以結合現有的技術實作。感覺使用者是誰,可以做像cmcc那樣的驗證,連接配接網絡時輸入“我的名字”即可使用,這隻是舉例,其實也挺麻煩的,感覺身份應該會有更好的方法。如果能感覺到“誰在哪兒使用”,這樣一條資訊相信是對網絡安全的提示已經足夠(隐私、智能家居中控等将在後續系列文章中讨論)。
一台新裝置接入,首先它會被放置在一個隔離的虛拟子網(vlan)内,可以有限度的聯網但無法做攻擊。通過路由他可以直接給主人發送資訊确認身份提高在網絡中的權限,這就像一個家庭中,家主給親人配鑰匙一樣,是一個授信過程。
到此,我覺得“蹭網”的風險基本已經解除。而且接入裝置的“個人資訊”還可以作為智能家庭的入手點,如果要感覺人的存在,這不是最直接的方法嗎?
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)