KRACK击破WPA2防护,5招自保提升Wi-Fi安全性
日前比利时KU Leuven大学的资安研究员Mathy Vanhoef先生发表了Key Reinstallation Attacks :Forcing Nonce Reuse in WPA2论文,内容指出透过WPA 2无线网路加密通讯协定的漏洞,在建立无线网路前的四路交握(Four-Way Handshake)过程中侵入连线,而我们又该如何保障自身安全呢?Wi-Fi联盟:尚未发现恶意攻击
我们先前已经介绍过KRACK的攻击方式,以及14个相关的快速QA,,不清楚KRACK的读者可以先看看这2篇文章了解状况。
针对这个资安漏洞,Wi-Fi联盟发出相关声明,表示目前尚未发现利用这个漏洞进行攻击的恶意事件,而Wi-Fi联盟也着手测试漏洞,并向联盟成员厂商提供侦测工具,以求进一步提升无线网路连线的安全性。所幸Vanhoef先生也指出,由于KRACK攻击者需要亲自到无线网路存取点附近,并透过繁复的手续才能完成,所以一般人不容意成为目标。
另一方面资安厂商Trend Micro也提出了下列5个增加使用无线网路安全性的方式给大家参考,这些方式除了对KRACK有效之外,平时也能提升安全性。
▲ KRACK攻击是透过WPA 2四路交握过程侵入连线。
1. 尽可能让无线网路装置、存取点的韧体随时保持更新
Vanhoef先生提到由于KRACK攻击是针对四路交握的过程进行攻击,因此从原理来看,只要将装置端(如智慧型手机、笔记型电脑)的韧体更新,就能解决KRACK攻击的问题,如果厂商尚未提供更新档,但又担心资安问题的话,先改用有线网路也是个办法。
▲更新韧体是避免KRACK攻击的最好办法。
2. 尽量隐藏无线网路识别码(SSID)
另一方面由于无线网路不同于传统有现网路,攻击者不需连接实体线路就能进行攻击,所以受害者往往比较难查觉已经被侵入。
透过隐藏SSID,能够减少无线网路被发现的可能性,虽然说这不是个万无一失的作法,但多少能降低被入侵的机率。
▲隐藏SSID能让一般人搜寻不到无线网路存取点,避免成为目标。
3. 使用防火墙
万一不幸无线网路遭到入侵,至少能够藉由防火墙隔离攻击者,避免受害网路中的电脑暴露在风险之下,降低造成的整体伤害。
▲防火墙能够将攻击者隔离在电脑之外。
4. 使用虚拟私人网路(VPN)
VPN是种特殊的网路通讯方式,它能在如网际网路等公用网路架构下,传送私人内部网路资讯,简单地说就是让分隔两地的电脑,也能够像区域网路一样运作。
VPN的另一个特色就是能够透过穿隧协议(Tunneling Protocol),将资料加密后再传送出去,如此一来就能在不安全网路上提供一个通讯管道,达到保密与避免被窃听的风险。
▲ VPN能够透过加密连线增加保障。(图片来源:维基百科,本图采用创用CC姓名标示-相同方式分享,作者为Ludovic.ferre)
5. 定期更换无线网路存取点密码
如果可以的话,最好也能定期更换密码,虽然说KRACK的攻击过程并不会牵涉到密码,但是仍然有许多其他攻击方式是破解密码之后才能入侵网路,所以无线网路存取点的密码最好也能像其他网路服务、金融卡密码一样,定期进行更换,以免成为攻击目标。
▲定期更换密码是资安防护很重要的一环。
页:
[1]