我們在「免費無線網路潛藏哪些危險?如何反制?」文章中,提到駭客會利用無線網路來竊取個人資料,但總不能因此出外就不用無線網路了,因此最好的方法,就是學會如何自保,只要掌握幾個重要原則,就能在享受無線網路的便利之餘,也能保護隱私安全。
既然我們在外面使用無線網路時會伴隨著不少風險,那我們又該如何自保呢?總不能在外面就不用網路了吧?還是每個人都得具備多種無線網路上網的方式(例:3.5G手機上網、Wi-Fi連線或是使用3G轉Wi-Fi的無線網路…等),然後因應各種不同的使用環境來選用嗎?
其實也不用過度驚恐,畢竟網路的便利性還是比它所具備的風險來得大,我們只要能夠把握幾個安全性的重點,其實要安全地使用這些便捷的無線網路連線也不是難事。
如何判斷無線網路的安全性?
1.檢查授權模式及加密技術
當你到具備無線網路的環境時,一般人只要打開無線網路的偵測,原則上都能夠看見接近自己位置有那些無線網路訊號可用。
如果看見了無需加密的AP應該都會心裡竊喜,心想:「真好!又有免費的無線網路可以用,不知是誰家的溢波,造福了大眾」?
但是,這一種無線網路訊號也是最危險的,就算提供無線訊號給大家使用的人沒有惡意,也很難避免其它人不會在這麼開放的網路環境裡,「不經意」地就可以竊取到其它同一個無線網路環境下的資料,就像我們先前所提及的「FireSheep」就是一個很好的實例。
以時下具備無線網路的場所來說,其實它們也相當注意安全性的防護,至少單以無線網路加密的方式來判斷,我們就可以選擇相對安全的方式來進行連線。
一般來說,個人或小型辦公室內,最常見的無線網路授權方式可以簡單地分為三種,分別是:Open System(開放系統)、Shared Key(共享金鑰)和WPA(WPA2)─ PSK(Pre-Shared Key:俗稱「個人模式」)三種。
其中以WPA2的安全性最高,而授權方式外也會搭配方式不同的加密技術,分別是:WEP、TKIP和AES,其加密技術的複雜程度以AES最高,從這樣子的說明裡我們可以得知,他們交叉組合之後,何者的安全性最高。
| 授權模式 | 加密技術 | 安全性 |
| Open System | 無/WEP | 最低/一般 |
| Shared Key | WEP | 一般 |
| WPA(WPA2) ─ PSK | TKIP/AES | 中等/較高 |
基於這個安全性的要求之下,下次如果你再看見類似使用OPEN的授權模式,或是採用WEP加密技術的無線網路環境時,或許你真的就得三思而後「連」了。
這邊筆者其實只是以一般的個人或小型公共場所常見的無線網路授權方式來介紹,若以目前安全性最高的的無線授權方式,應該是直接採用WPA2(無PSK)+ AES的方式來進行連線,但是這對於實際應用上的便利性太低!
因為每個使用者都得取得驗證伺服器的授權(不同的連線密碼)之後方可連線,這對於實務上可能造成的困擾遠比它的安全性來得高出許多。
2.密碼複雜程度
在我們選擇了一個相對安全的無線網路授權方式之後(例:WPA2-PSK+AES),但是它也不代表我們就可以高枕無憂。
因為有些地方為求方便,選擇了懶人密碼,例如:00000000或12345678…等(因為WPA2-PSK需輸入8至63位ASCII字元或64位16進位數字),但是這種過於簡單的密碼,似乎也不太具備安全價值。
所以當你發現店家給你這種懶人密碼的話,你可能也得小心是否真的足夠安全,因為無線網路的範圍絕對不只於眼睛看的見的範圍之內。
3.其它安全性協助
除了上述的無線網路安全之外,其實有些較為嚴謹的無線網路環境,當地的無線網路管理者還會先要求使用者提供你無線網卡的硬體位址(MAC Address),例:「00:2B:3C:4D:5E:6F」,因為他們會在AP上綁定特定無線網卡方可進行連線!
雖然在實務上有些麻煩,但是對於無線網路的安全上的確有較大的幫助。
除此之外有些無線網路的提供者還要關閉無線AP的廣播機制,簡單說就是你在掃瞄時無法找到這台無線AP的SSID(Service Set Identifier),如此一來也降低了被其它人掃瞄到溢波可能性。
但是這對於公開的公共場所來說,意義不大就是了,因為每個人都可以去詢問店家相關的資訊,但或許在個人使用時,是可以列入考量的一種安全性防護。
一定要加強防火牆的安全設置
個人電腦中的安全性不外乎就是安全性更新、防火牆、防毒軟體和資料分享…等,不過,對於無線上網時的安全,這些也一樣得要注意。
而最大的重點應該是在防火牆這部分,簡而言之,無線網路就是會讓你跟在場所有人都在同一個區域網路之下,因此,你的防火牆設定就不能過於寬鬆,以現在的新版的Windows 7的網路設定來說,當你在外面使用無線網路時,最好將內建的網路設定為「公用網路」的等級!
它所代表的就是:停止「印表機和檔案分享」、「網路探索」和「共用資料夾分享」的功能。
當你設定為公用網路時,作業系統就提供了一定程度的防護,甚至你可以將內建的防火牆等級調高,例:封鎖所有進入連線、包括允許的程式清單中的進入連線,或者是透過第三方的軟體來進行這部分的控管。
但是這就取決於使用者自己對於防火牆的瞭解有多少,如果設定錯誤的話,很有可能會造成無法上網的狀況發生,或是只剩下瀏覽網頁的功能而已。
<後面還有:避免遭人側錄的網路連線方式>
避免遭人側錄的網路連線方式
為了要防止有人使用FireSheep來竊取你社交網站的資料時,之前曾經介紹過使用在瀏覽器的加密套件,例如「HTTPS Everywhere」等Firefox擴充套件,雖然能夠透過這種外掛套件轉換成https,只是並非所有網站都能夠透過這種方式來進行連線。
有時候會因為這種連線方式,造成某些服務無法正常使用,因此,除了採用這種瀏覽方式之外,還有其它方式能夠在使用無線網路時,保護你所傳送的資料。
1.虛擬私人網路(Virtual Private Network,簡稱VPN)
這種連線方式,主要是用來在公共網路的環境之下,一樣能夠採用安全連線的方式,進而存取特定內部網路的資源,這同時也能夠為我們保全在無線網路下的資料傳送。
不過,這種連線方式對於一般人來說,若是要自己建置這樣的連線環境,或許會有點強人所難,所以就有公司會提供類似的服務(例如下面要介紹的Tenacy開心直通車),雖然免費能夠使用的頻寬跟穩定性不比付費來得好,但是做為一時之選也還算說的過去,重點就是不需要另外註冊或是不需安裝軟體即可馬上使用。
2.設定自己的虛擬私人網路
至於要怎麼設定這種VPN連線,其實也不會太過困難,你只要在取得無線網路的連線之後,再建立一條VPN的連線即可,這邊筆者就以這個免費VPN服務:Tenacy開心直通車來做示範(也可直接參考該網站的設定說明)。
Step 1
進入網站首頁,點選「立即獲取」,連線到這邊後,輸入驗證碼,按下取得密碼,即可得到連線至他們VPN伺服器的相關資訊。
Step 2
這時你就可以選擇一個自己適用的伺服器,然後記下他的「伺服器名稱」、「帳戶名稱」、「密碼」,以便設定VPN連線時使用。
Step 3
在確認己經連線至無線網路之後,我們可以透過「控制台」中的「網路連線」,「新增一個新連線」,來寫入VPN連線的相關資訊。
Step 4
在設定的過程中,因為我們在公共場所使用這種VPN服務時,通常都會先取得了無線網路的連線(總得先能夠上網,才有辦法連線至VPN伺服器吧?),所以在進行VPN連線時,就不需要先進行其它的撥號連線。
Step 5
接著就只要輸入VPN伺服器的連線位址、帳戶和密碼,我們就可以建立一個相對安全的連線環境(因為VPN伺服器是別人提供的,所以還是有所疑慮),至少不用害怕其它人直接透過像「FireSheep」這類的軟體,側錄你從無線網路中傳送的訊息。
Step 6
當你已經建立了VPN連線之後,所以對外的網路連線都會透過這個VPN伺服器後再連至特定網頁,我們可以查看一下這個VPN連線的相關資訊。
Step 7
你可以再透過「IP-adress.com」網路服務,查看自己的位置是否已經從台灣飛到美國的某個IP位置(不一定會跟你在連線資訊中看見的用戶端IP相同,因為可能還有其它路徑設定),就代表你已經成功完成了VPN的連線。
這種透過VPN連線的方式與先前介紹的https加密連線,最大的不同就是它是屬於全部都會透過這個VPN連線,再去連線我們想要到的網站,所以不會有哪個網站不適用的問題,除非是有些網站本身會阻擋這一類的伺服器IP,否則應該比https的適用性來得高。
如果你對於安裝軟體不排斥的話,其實也有其它更為方便的軟體或瀏覽器套件可供使用,例:Hotspot Shield,讓你不需要花費太多心力來自行建立VPN連線,不過很有可能就得接受那些軟體所附加的廣告就是,畢竟它們要提供這一類的服務,還是希望能夠獲取到一定的報酬才得以支撐其開銷。
高手級可自行架設VPN
雖然VPN連線能夠成為我們在公共場所進行無線網路連線時安全工具,但是對於有大型檔案需要下載、上傳,或是其它可能有較大流量的需求時,可能就不太適合採用這種方式。
因為這種使用VPN來連線的頻寬,往往都會受到限制頂多只能夠提供你瀏覽網頁,或是回覆相關訊息使用,這也是沒有辦法的事情,畢竟它是免費的服務。
除了這種VPN服務之外,如果你家中「原本」就有不關機的電腦,或是你對Linux有一定程度的瞭解,說不定你也能夠簡單地製作一個專屬的連線跳板,例如:SSH Tunnel的技術(只要有一台不關機的Linux應該就行)。
或是直接把一般家用的IP分享器,改造成能夠做為VPN連線的設備(這個就得視IP分享器的硬體規格而定),如此一來,你在公共場合進行無線網路連線時,就能夠取得更為安全的通道,同時能夠使用的頻寬也較免費的VPN連線來的高(主要還是取決於你網路頻寬的上傳的速率而定)。
只是這種改造IP分享器的技術門檻較高,而且有失敗的風險,對於一般人來說較難自行處理,如果你真的有迫切的需求,你也可以直接添購一台較高規格的IP分享器,直接就具備VPN連線的功能,同時也可以省下一台電腦24小時開機所需要的電費。
所以透過電腦來製作VPN連線服務的前提就是家中原本就有不關機的電腦在運作,否則直接添購一台設備或許是較為經濟實惠的做法。
如果你沒有太多預算,也只能夠利用家中不關機的電腦來架設,你可以找到有具備VPN功能的免費軟體,例如:可用於Windows平台的iPIG,或是可以用相當知名且跨平台的OpenVPN,基本上你只要去Google一下就能夠找到不少安裝流程與資訊,這邊也不多加贅述,因為真的會去架設這一類伺服器的使用者,對於網路架構或是安裝的方式,應該也不會是件太難的事,一般人或許還是找現成的服務來套用較為便利。
本文同步刊載於>>
密技偷偷報 No.55作者╱InDeepNight(InDeepNight的IT部落格)
日本人不會告訴你的秘密管道!極度禁技直闖H漫產地盜寶!
想知道還有哪些厲害的技巧,就等你來探索!
歡迎加入PCuSER密技爆料粉絲團