在安全方面的另一个提示：大部分攻击都是发生在第一步和最后一步之间的连接中，中间人攻击可以发生在连接的任何一个部分，通常最薄弱的环节是设备的两端。

　　原因

　　首先：无线网络特别是公共无线网络是中间人攻击者最喜欢的地点。攻击非常方便，不用数据线就可以进入电脑，进行设置。

　　其次：对被获取的数据进行解密是很烦琐的，所以，攻击者会选择安装攻击尽可能接近的来源，消除一切附加影响。

　　是否存在安全的模式呢?

　　在讨论需要做什么之前，我想先说点哲学方面的问题。简而言之，在如何建立安全连接这个问题上，是没有绝对答案的。每一个解决方案，都可能是有效的，这主要和攻击者的情况有关。目前最可靠的是IPSec VPN连接，可以作为VPN连接到达所有三个安全区。在未来，或许它将被广泛使用。但目前，据我所知，金融机构并不提供这种选择。

　　远程工作者可以选择选择使用他们雇主的VPN连接到互联网上，但在过去两年的情况显示攻击最容易发生安全区。如果可行的话，这是一个明确的也有可能成为最好的解决方案。如果没有外部支持的话，这个问题就比较难处理。此外，由于周边路由器/防火墙端口的配置，很多场合是不可能安装VPN的。

　　两个选择

　　好了。如果我需要从一个公共无线网络通过因特网访问银行帐户。我会用下列两个选项中的一个：

　　第一种选择：我会利用一个IronKey装置安装一个和SSL一样的Tor连接与已知的(这个是很重要的)IronKey TOR服务器。然后我会利用网页登录到银行的网络服务器上。这样可以创建一个SSL通道内的SSL通道，一直延续到最后一台TOR服务器。然后，还有单独的连接银行的网络服务器的SSL通道。这几乎可以消除所有中间人攻击的可能性。

　　第二个选择：这是我喜欢的选择，尽管安装复杂，并且需要其它的硬件。我再次使用IronKey设备与IronKey的Tor服务器建立一个SSL会话。然后通过SSL进入LogMeIn的首页。再次，我创建一个SSL通道内的SSL通道，一直延续到最后一台TOR服务器。然后通过单独的SSL通道登陆到LogMeIn的服务器上。通过LogMeIn使用家用电脑。一旦安装了SSL通道，我就会使用家里的电脑。打开浏览器，登陆到银行的网站上。这样的操作排除了任何中间人攻击的机会。这样的选择还有一个好处，就是不会将任何敏感的资料转移到目前实际使用的电脑上。

　　最后的思考

　　实际上，还有很多其它的选择;乍得·佩林就介绍了一个很好的做法，“采用OpenSSH作为安全代理”。上面是我喜欢的两个方案，可以保证高于平均的安全水平。在很多场合，由于无线网络中路由器或防火墙的设置，敏感端口的请求将会被忽略。

　　最后，我希望在解释了公共无线网络中SSL通道的情况和缺点后，能够回答了jhelliot提出的问题。

上一页 [1] [2] 下一页