由 KRACK 攻擊想到的確保網路安全的小貼士

最近的 KRACK （金鑰重灌攻擊，這是一個安全漏洞名稱或該漏洞利用攻擊行為的名稱）漏洞攻擊的目標是位於你的裝置和 Wi-Fi 訪問點之間的鏈路，這個訪問點或許是在你家裡、辦公室中、或你喜歡的咖啡吧中的任何一臺路由器。這些提示能幫你提升你的連線的安全性。

KRACK 漏洞攻擊 出現已經一段時間了，並且已經在 相關技術網站 上有很多詳細的討論，因此，我將不在這裡重複攻擊的技術細節。攻擊方式的總結如下：

• 在 WPA2 無線握手協議中的一個缺陷允許攻擊者在你的裝置和 wi-fi 訪問點之間嗅探或操縱通訊。
• 這個問題在 Linux 和 Android 裝置上尤其嚴重，由於在 WPA2 標準中的措辭含糊不清，也或許是在實現它時的錯誤理解，事實上，在底層的作業系統打完補丁以前，該漏洞一直可以強制無線流量以無加密方式通訊。
• 還好這個漏洞可以在客戶端上修補，因此，天並沒有塌下來，而且，WPA2 加密標準並沒有像 WEP 標準那樣被淘汰（不要透過切換到 WEP 加密的方式去“修復”這個問題）。
• 大多數流行的 Linux 發行版都已經透過升級修復了這個客戶端上的漏洞，因此，老老實實地去更新它吧。
• Android 也很快修復了這個漏洞。如果你的裝置在接收 Android 安全補丁，你會很快修復這個漏洞。如果你的裝置不再接收這些更新，那麼，這個特別的漏洞將是你停止使用你的舊裝置的一個理由。

即使如此，從我的觀點來看， Wi-Fi 是不可信任的基礎設施鏈中的另一個環節，並且，我們應該完全避免將其視為可信任的通訊通道。

Wi-Fi 是不受信任的基礎裝置

如果從你的膝上型電腦或移動裝置中讀到這篇文章，那麼，你的通訊鏈路看起來應該是這樣：

KRACK 攻擊目標是在你的裝置和 Wi-Fi 訪問點之間的連結，訪問點或許是在你家裡、辦公室中、或你喜歡的咖啡吧中的任何一臺路由器。

實際上，這個圖示應該看起來像這樣：

Wi-Fi 僅僅是在我們所不應該信任的通道上的長長的通訊鏈的第一個鏈路。讓我來猜猜，你使用的 Wi-Fi 路由器或許從開始使用的第一天氣就沒有得到過一個安全更新，並且，更糟糕的是，它或許使用了一個從未被更改過的、預設的、易猜出的管理憑據（使用者名稱和密碼）。除非你自己安裝並配置你的路由器，並且你能記得你上次更新的它的韌體的時間，否則，你應該假設現在它已經被一些人控制並不能信任的。

在 Wi-Fi 路由器之後，我們的通訊進入一般意義上的常見不信任區域 —— 這要根據你的猜疑水平。這裡有上游的 ISP 和接入提供商，其中的很多已經被指認監視、更改、分析和銷售我們的流量資料，試圖從我們的瀏覽習慣中掙更多的錢。通常他們的安全補丁計劃辜負了我們的期望，最終讓我們的流量暴露在一些惡意者眼中。

一般來說，在網際網路上，我們還必須擔心強大的國家級的參與者能夠操縱核心網路協議，以執行大規模的網路監視和狀態級的流量過濾。

HTTPS 協議

值的慶幸的是，我們有一個基於不信任的介質進行安全通訊的解決方案，並且，我們可以每天都能使用它 —— 這就是 HTTPS 協議，它加密你的點對點的網際網路通訊，並且確保我們可以信任站點與我們之間的通訊。

Linux 基金會的一些措施，比如像 Let’s Encrypt 使世界各地的網站所有者都可以很容易地提供端到端的加密，這有助於確保我們的個人裝置與我們試圖訪問的網站之間的任何有安全隱患的裝置不再是個問題。

是的... 基本沒關係。

DNS —— 剩下的一個問題

雖然，我們可以儘量使用 HTTPS 去建立一個可信的通訊通道，但是，這裡仍然有一個攻擊者可以訪問我們的路由器或修改我們的 Wi-Fi 流量的機會 —— 在使用 KRACK 的這個案例中 —— 可以欺騙我們的通訊進入一個錯誤的網站。他們可以利用我們仍然非常依賴 DNS 的這一事實 —— 這是一個未加密的、易受欺騙的 誕生自上世紀 80 年代的協議。

DNS 是一個將像 “linux.com” 這樣人類友好的域名，轉換成計算機可以用於和其它計算機通訊的 IP 地址的一個系統。要轉換一個域名到一個 IP 地址，計算機將會查詢解析器軟體 —— 它通常執行在 Wi-Fi 路由器或一個系統上。解析器軟體將查詢一個分散式的“根”域名伺服器網路，去找到在網際網路上哪個系統有 “linux.com” 域名所對應的 IP 地址的“權威”資訊。

麻煩就在於，所有發生的這些通訊都是未經認證的、易於欺騙的、明文協議、並且響應可以很容易地被攻擊者修改，去返回一個不正確的資料。如果有人去欺騙一個 DNS 查詢並且返回錯誤的 IP 地址，他們可以操縱我們的系統最終傳送 HTTP 請求到那裡。

幸運的是，HTTPS 有一些內建的保護措施去確保它不會很容易地被其它人誘導至其它假冒站點。惡意伺服器上的 TLS 憑據必須與你請求的 DNS 名字匹配 —— 並且它必須由一個你的瀏覽器認可的信譽良好的 認證機構（CA） 所簽發。如果不是這種情況，你的瀏覽器將在你試圖去與他們告訴你的地址進行通訊時出現一個很大的警告。如果你看到這樣的警告，在選擇不理會警告之前，請你格外小心，因為，它有可能會把你的秘密洩露給那些可能會對付你的人。

如果攻擊者完全控制了路由器，他們可以在一開始時，透過攔截來自伺服器指示你建立一個安全連線的響應，以阻止你使用 HTTPS 連線（這被稱為 “SSL 脫衣攻擊”）。 為了幫助你防護這種型別的攻擊，網站可以增加一個 特殊響應頭（HSTS） 去告訴你的瀏覽器以後與它通訊時總是使用 HTTPS 協議，但是，這僅僅是在你首次訪問之後的事。對於一些非常流行的站點，瀏覽器現在包含一個 硬編碼的域名列表，即使是首次連線，它也將總是使用 HTTPS 協議訪問。

現在已經有了 DNS 欺騙的解決方案，它被稱為 DNSSEC，由於有重大的障礙 —— 真實和可感知的（LCTT 譯註，指的是要求實名認證），它看起來接受程度很慢。在 DNSSEC 被普遍使用之前，我們必須假設，我們接收到的 DNS 資訊是不能完全信任的。

使用 VPN 去解決“最後一公里”的安全問題

因此，如果你不能信任韌體太舊的 Wi-Fi 和/或無線路由器，我們能做些什麼來確保發生在你的裝置與常說的網際網路之間的“最後一公里”通訊的完整性呢？

一個可接受的解決方案是去使用信譽好的 VPN 供應商的服務，它將在你的系統和他們的基礎設施之間建立一條安全的通訊鏈路。這裡有一個期望，就是它比你的路由器提供者和你的當前網際網路供應商更注重安全，因為，他們處於一個更好的位置去確保你的流量不會受到惡意的攻擊或欺騙。在你的工作站和移動裝置之間使用 VPN，可以確保免受像 KRACK 這樣的漏洞攻擊，不安全的路由器不會影響你與外界通訊的完整性。

這有一個很重要的警告是，當你選擇一個 VPN 供應商時，你必須確信他們的信用；否則，你將被一撥惡意的人出賣給其它人。遠離任何人提供的所謂“免費 VPN”，因為，它們可以透過監視你和向市場營銷公司銷售你的流量來賺錢。 這個網站 是一個很好的資源，你可以去比較他們提供的各種 VPN，去看他們是怎麼互相競爭的。

注意，你所有的裝置都應該在它上面安裝 VPN，那些你每天使用的網站，你的私人資訊，尤其是任何與你的錢和你的身份（政府、銀行網站、社交網路、等等）有關的東西都必須得到保護。VPN 並不是對付所有網路級漏洞的萬能藥，但是，當你在機場使用無法保證的 Wi-Fi 時，或者下次發現類似 KRACK 的漏洞時，它肯定會保護你。

---

via: https://www.linux.com/blog/2017/10/tips-secure-your-network-wake-krack

作者：KONSTANTIN RYABITSEV 譯者：qhwdw 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出