关于如何在旅行的时间确保无线网络的安全,TechRepublic的成员提出了不少很好的问题。作为一名临时的远程工作者,我从专业的远程工作者那里获得了充分的支持,并将他们的意见保存了下来。我希望这些建议和意见可以对无线网络的安全提供一些额外的帮助。这是我第一次发布“远程工作者对无线网络安全的十条建议”。这是一个非正式的TR系列,会员Jhelliot最近提出如下的重要问题:
“当使用笔记本电脑通过一个开放的无线网络连接到经过128位加密的银行网站时,发送或者接受信息的安全程度有多高?”
我将在讨论区回答这个问题,但这个问题是非常复杂的,需要进行讨论。我希望答案是简单的,但它不是。我们都知道,网络银行涉及到很多风险,但我们是否知道什么是危险因素,以及如何减轻它们呢?
重新访问安全区
你需要了解安全的需求,它可以在有无线网络的笔记本电脑和银行的网络服务器之间分成为三个不同的安全区域。在“远程工作者对无线安全的建议:重新访问中”我对安全区的情况进行了详细的介绍。这种做法使得确定哪些保安措施将是最有效的变得更加方便。
网络银行和SSL/TLS强加密
金融机构必须严格遵守政府的规章,并且非常善于为个人信息提供安全保障。全部金融机构(任何组织想要安全地进行浏览)使用了Secure Sockets Layer和较新的传输层安全(SSL/TLS)协议,以保证可以提供安全的数字通道链接到它们的网站上。访问的时间,记得在浏览器窗口看安全锁的象征,并确保URL地址开始以https,而不是http。那如何辨别SSL/TLS VPN通道的可靠性呢?
不论怎么强调其重要性都不是过分的。现在就让我们一步步的分析:
第一步:访问银行的网络服务页面。浏览器将和银行的网络服务器建立一个SSL/TLS的通道。
第二步:银行的网络服务器会创建一个密钥,这是一个随机数。
第三步:利用公开的密钥进行加密。该银行的网络服务器会发送会话密钥到客户的网络浏览器上。一旦会话密钥(只有客户的网络浏览器和银行的服务器才知道)接收到,客户的浏览器将用它来加密与银行的服务器连接的数字通道上传送的所有信息。
第三步:这个步骤的关键是对称加密,银行的服务器会利用相同的会话密钥对来自客户浏览器的信息进行解密。
第四步:如果回应被认为是需要的,银行的服务器会使用相同的会话密钥传送加密信息返回给客户的网络浏览器。
基本上,这可以认为是客户的网络浏览器和银行的服务器之间有一个加密的虚拟安全数字通道(whew)。
SSL/TLS的安全性是否足够?
SSL协议可以创造一个穿越所有三个安全区的安全通道,这是否意味着数字通道是安全的并且不会受到任何形式的信息采集和分析攻击?
对,但不完全是这样的。理论上,加密的SSL通道是安全的。如果被攻击,它的信息也是几乎不可能被解密的。我说的是几乎不可能,因为在安全和加密领域不存在完全不可能的事情。
问题与困难是什么?
这个问题已经很清楚。浏览器是否与银行的服务器直接连接。当然,一个认证的证书会告诉我,已经连接到银行的服务器上。现在就是百万美元的问题。如何确定身份验证证书是真实的?如果不了解这个过程的话,请阅读由丹尼尔·霍夫曼纂写的“黑客是如何入侵在线银行和信用卡交易及防范策略”。我认为霍夫曼先生的解释非常典范。他让我明白了一个非常复杂的问题。
一言以蔽之
攻击者可以对客户的电脑和银行的网络服务器之间的电脑进行注入攻击。这样的情况下,客户的银行登录信息可能被窃取,从而导致非常严重的后果。再次,请阅读霍夫曼先生的文章,为了防止中间人攻击,了解如何防范假SSL验证证书的使用是首要的。
在安全方面的另一个提示:大部分攻击都是发生在第一步和最后一步之间的连接中,中间人攻击可以发生在连接的任何一个部分,通常最薄弱的环节是设备的两端。
原因
首先:无线网络特别是公共无线网络是中间人攻击者最喜欢的地点。攻击非常方便,不用数据线就可以进入电脑,进行设置。
其次:对被获取的数据进行解密是很烦琐的,所以,攻击者会选择安装攻击尽可能接近的来源,消除一切附加影响。
是否存在安全的模式呢?
在讨论需要做什么之前,我想先说点哲学方面的问题。简而言之,在如何建立安全连接这个问题上,是没有绝对答案的。每一个解决方案,都可能是有效的,这主要和攻击者的情况有关。目前最可靠的是IPSec VPN连接,可以作为VPN连接到达所有三个安全区。在未来,或许它将被广泛使用。但目前,据我所知,金融机构并不提供这种选择。
远程工作者可以选择选择使用他们雇主的VPN连接到互联网上,但在过去两年的情况显示攻击最容易发生安全区。如果可行的话,这是一个明确的也有可能成为最好的解决方案。如果没有外部支持的话,这个问题就比较难处理。此外,由于周边路由器/防火墙端口的配置,很多场合是不可能安装VPN的。
两个选择
好了。如果我需要从一个公共无线网络通过因特网访问银行帐户。我会用下列两个选项中的一个:
第一种选择:我会利用一个IronKey装置安装一个和SSL一样的Tor连接与已知的(这个是很重要的)IronKey TOR服务器。然后我会利用网页登录到银行的网络服务器上。这样可以创建一个SSL通道内的SSL通道,一直延续到最后一台TOR服务器。然后,还有单独的连接银行的网络服务器的SSL通道。这几乎可以消除所有中间人攻击的可能性。
第二个选择:这是我喜欢的选择,尽管安装复杂,并且需要其它的硬件。我再次使用IronKey设备与IronKey的Tor服务器建立一个SSL会话。然后通过SSL进入LogMeIn的首页。再次,我创建一个SSL通道内的SSL通道,一直延续到最后一台TOR服务器。然后通过单独的SSL通道登陆到LogMeIn的服务器上。通过LogMeIn使用家用电脑。一旦安装了SSL通道,我就会使用家里的电脑。打开浏览器,登陆到银行的网站上。这样的操作排除了任何中间人攻击的机会。这样的选择还有一个好处,就是不会将任何敏感的资料转移到目前实际使用的电脑上。
最后的思考
实际上,还有很多其它的选择;乍得·佩林就介绍了一个很好的做法,“采用OpenSSH作为安全代理”。上面是我喜欢的两个方案,可以保证高于平均的安全水平。在很多场合,由于无线网络中路由器或防火墙的设置,敏感端口的请求将会被忽略。
最后,我希望在解释了公共无线网络中SSL通道的情况和缺点后,能够回答了jhelliot提出的问题。 |
评论