WEBVTT

00:00.540 --> 00:06.900
教师：在本课中, 我们将讨论如何保护您的无线网络免受某些威胁｡

00:06.900 --> 00:09.930
现在, 无线网络为我们提供了很多便利,

00:09.930 --> 00:13.050
但它也带来了大量的安全风险, 因为与有线网络不同,

00:13.050 --> 00:15.720
只要我在无线信号的覆盖范围内,

00:15.720 --> 00:21.780
我就可以用智能手机, 平板电脑或笔记本电脑连接到它｡

00:21.780 --> 00:26.250
为了保护您的网络, 您真的需要确保您知道您的设备正在连接到什么,

00:26.250 --> 00:31.470
并且一旦它们连接, 您希望确保正在发送的数据将被加密｡

00:31.470 --> 00:36.240
现在, 我们要做的第一件事是确保我们传输的任何内容都是私下进行的,

00:36.240 --> 00:38.280
以提高我们网络的安全性｡

00:38.280 --> 00:41.700
其中一种方法是预共享密钥｡

00:41.700 --> 00:44.040
现在, 预共享密钥是指两个端点,

00:44.040 --> 00:49.590
即您的接入点和笔记本电脑或智能手机上的客户端具有相同的加密密钥｡

00:49.590 --> 00:52.230
如果我在一端使用密码, 在另一端使用相同的密码,

00:52.230 --> 00:58.200
并且它们匹配, 则使用相同的预共享密钥来创建加密隧道｡

00:58.200 --> 00:59.460
现在, 当您使用预共享密钥时,

00:59.460 --> 01:01.350
会出现一些问题｡

01:01.350 --> 01:04.710
首先, 可扩展性对我们来说是一个大问题｡ 

01:04.710 --> 01:07.530
假设我有一个办公室, 我有50个不同的用户,

01:07.530 --> 01:12.150
他们都连接到无线网络, 所有人都使用相同的预共享密钥｡

01:12.150 --> 01:15.990
但假设明天我去上班解雇一个员工｡

01:15.990 --> 01:19.650
现在, 该员工知道预共享密钥, 所以猜猜我们要做什么？

01:19.650 --> 01:21.480
我们必须更改预共享密钥,

01:21.480 --> 01:26.550
因为我必须更改预共享密钥, 所以现在需要告诉所有其他50名员工新密钥是什么,

01:26.550 --> 01:28.950
以便我们都可以更改它｡

01:28.950 --> 01:31.710
就像换了你家前门的钥匙｡ 

01:31.710 --> 01:32.940
如果你有10个家庭成员,

01:32.940 --> 01:35.400
你现在必须复制10把钥匙｡

01:35.400 --> 01:37.410
由于您的所有客户端都使用相同的密码和相同的密钥,

01:37.410 --> 01:42.120
这使得我们很难更改和进行适当的密钥管理｡

01:42.120 --> 01:46.590
这就是为什么我们不在大型环境中使用预共享密钥的重要原因之一｡

01:46.590 --> 01:49.350
但是, 如果你在一个小办公室或家庭办公室环境中,

01:49.350 --> 01:51.930
比如你的房子或10名员工或更少的小办公室,

01:51.930 --> 01:59.070
你可以继续使用预共享密钥, 因为这样配置网络非常容易, 因为你只有几个设备｡

01:59.070 --> 02:00.720
现在, 当我们查看无线安全时,

02:00.720 --> 02:04.110
我们可以使用三种主要方法来实现这一点｡

02:04.110 --> 02:08.250
第一个是WEP, 然后是WPA和WPA2｡ 

02:08.250 --> 02:09.570
当我们处理WEP时,

02:09.570 --> 02:11.850
我们谈论的是有线等效隐私｡

02:11.850 --> 02:13.680
这是最早的无线安全技术,

02:13.680 --> 02:15.240
可以追溯到第一个版本的802

02:15.240 --> 02:18.840
wifi｡ 11.

02:18.840 --> 02:21.600
现在, 它声称它和有线网络一样安全,

02:21.600 --> 02:26.580
因此被称为“有线等效隐私”｡ 但事实是它并不安全, 这些天你永远不应该使用WEP,

02:26.580 --> 02:32.070
因为它是一个非常不安全的协议｡

02:32.070 --> 02:35.250
WEP的工作方式是使用预共享密钥｡ 

02:35.250 --> 02:38.880
每个人都有相同的密钥, 它是一个静态的40位密钥,

02:38.880 --> 02:44.130
非常小, 很容易使用强大的计算机进行暴力破解或猜测｡

02:44.130 --> 02:46.410
随着时间的推移, 为了使WEP更安全,

02:46.410 --> 02:52.560
他们将密钥从40位升级到64位, 然后再次升级到128位, 这解决了密钥长度问题,

02:52.560 --> 02:58.440
但它没有解决另一个称为初始化向量的问题｡

02:58.440 --> 02:59.850
WEP的工作方式是,

02:59.850 --> 03:08.040
它使用一个24位的初始化向量, 这是一系列的24个1和0, 它们将被称为这个初始化向量｡

03:08.040 --> 03:12.540
这是以明文形式发送的, 如果您捕获足够的这些初始化向量,

03:12.540 --> 03:18.960
您实际上可以破解加密密钥并向后猜测您用于WEP密码的预共享密钥｡

03:18.960 --> 03:24.990
事实上, 使用Aircrack NG, 您可以在大多数现代笔记本电脑上在大约两到三分钟内完成此操作｡

03:24.990 --> 03:28.020
现在, 我们要谈的下一个是WPA｡ 

03:28.020 --> 03:31.590
WPA或Wifi保护访问是WEP的替代品,

03:31.590 --> 03:35.850
因为这个24位初始化向量的弱点｡

03:35.850 --> 03:37.920
为了克服这一点, 他们引入了TKIP,

03:37.920 --> 03:41.280
即临时密钥完整性协议｡

03:41.280 --> 03:47.610
现在TKIP正在用一个48位长的新向量替换那个24位初始化向量｡

03:47.610 --> 03:49.260
这使它的强度增加了一倍,

03:49.260 --> 03:50.850
但当涉及到现代计算时,

03:50.850 --> 03:53.280
这仍然被认为是相当薄弱的｡

03:53.280 --> 03:54.870
他们做的另一件事是他们添加了一种新的加密类型,

03:54.870 --> 03:57.420
称为RC4, 或Rivest Cipher

03:57.420 --> 04:03.630
4, 它非常好, 但同样, 以今天的标准, 这被认为是弱的｡

04:03.630 --> 04:06.690
WPA还希望为您的设备添加一些完整性,

04:06.690 --> 04:11.820
他们通过确保没有人可以进行中间人攻击并更改信息来做到这一点｡

04:11.820 --> 04:14.760
为了做到这一点, 他们使用了一种叫做MIC的东西,

04:14.760 --> 04:19.050
即消息完整性检查, 这是一种在发送数据之前对数据进行散列的形式,

04:19.050 --> 04:24.090
这样你就可以验证它在通过网络传输时没有被修改｡

04:24.090 --> 04:26.460
WPA也发现了这个预共享密钥的缺陷,

04:26.460 --> 04:28.320
并且能够非常快速地发送新密钥,

04:28.320 --> 04:34.290
所以他们在WPA中添加了一个称为企业模式的东西｡

04:34.290 --> 04:38.820
在企业模式下, 用户可以在交换密钥之前进行身份验证,

04:38.820 --> 04:43.680
然后可以在客户端和接入点之间临时创建新密钥｡

04:43.680 --> 04:46.740
这试图解决预共享密钥的可扩展性问题,

04:46.740 --> 04:49.650
但最终WPA仍然被今天的标准认为是弱的,

04:49.650 --> 04:51.450
并被称为WPA2或Wifi

04:51.450 --> 04:56.850
Protected Access 2的更现代版本所取代｡

04:56.850 --> 04:59.160
现在, WPA2是当前的标准,

04:59.160 --> 05:02.460
而那些作为802. 11i标准｡ 

05:02.460 --> 05:04.770
它首先被实现, 它是Wireless G, 然后是Wireless

05:04.770 --> 05:07.620
N和Wireless AC｡

05:07.620 --> 05:09.390
它需要更强的身份验证､

05:09.390 --> 05:11.970
更强的加密和完整性检查｡

05:11.970 --> 05:15.300
完整性检查是通过使用CCMP完成的｡ 

05:15.300 --> 05:19.080
现在, CCMP代表计数器模式与密码块链消息认证码协议,

05:19.080 --> 05:25.560
这是一个拗口的, 你将不必记住的考试或它的意思｡

05:25.560 --> 05:28.890
您需要记住的是, 每次看到CCMP时,

05:28.890 --> 05:33.210
您都应该考虑这是WPA2安全性的一部分｡

05:33.210 --> 05:34.890
他们做的第二件事是他们通过VES

05:34.890 --> 05:37.680
Cipher 4替换了旧的RC4加密机制,

05:37.680 --> 05:43.410
使用了称为高级加密标准或AES的新机制｡

05:43.410 --> 05:50.700
现在AES使用128位密钥, 一些较新的模型实际上可以使用256位密钥或更多｡

05:50.700 --> 05:56.280
这为您在此无线网络上传输的数据提供了额外的安全性和机密性｡

05:56.280 --> 05:58.410
在这个特殊的记录时, AES仍然没有被破坏,

05:58.410 --> 06:07.950
WPA2算法本身也没有被破坏, 所以如果你有一个长而强的密码, 这是一件好事｡

06:07.950 --> 06:09.810
现在, 人们能够破解这些网络的唯一方法是使用密码攻击,

06:09.810 --> 06:19.350
这意味着他们试图通过使用暴力攻击或字典攻击猜测每一个可能的选项来猜测密码｡

06:19.350 --> 06:20.700
所以, 如果你想保护你的网络,

06:20.700 --> 06:24.210
请确保你使用一个好的, 长的, 强的密码｡

06:24.210 --> 06:29.370
WPA2还支持两种不同的模式, 具体取决于您将要使用它的网络｡

06:29.370 --> 06:32.070
如果您在家庭或小型办公室环境中使用它,

06:32.070 --> 06:35.520
您将使用预共享密钥, 其中每个人都有相同的密码｡

06:35.520 --> 06:37.800
这被称为个人模式｡ 

06:37.800 --> 06:42.030
另一种方式是在使用企业模式的大型环境中使用它, 在这种环境中, 每个用户都获得一个唯一的用户名和密码,

06:42.030 --> 06:55.320
他们将使用一个使用本地WPA2或卸载到801的中央身份验证服务器｡

06:55.320 --> 06:55.320
1x认证服务器｡ 

06:55.320 --> 06:56.360
在考试中, 我希望你们记住关于无线安全的四件事,

06:56.360 --> 07:02.340
如果你们记住了这张图表上的四件事, 你们就会做得很好｡

07:02.340 --> 07:06.270
首先, 任何时候你看到无线网络中的开放这个词,

07:06.270 --> 07:10.440
这意味着没有安全性, 没有保护, 没有密码｡

07:10.440 --> 07:11.820
如果你听到了WEP,

07:11.820 --> 07:14.580
我希望你把它和初始化向量联系起来｡

07:14.580 --> 07:17.880
这就是WEP的缺陷, 也是你们在考试中会听到的内容.

07:17.880 --> 07:19.235
WEP很弱, WEP很坏｡ 

07:19.235 --> 07:22.140
WEP使用初始化向量｡ 

07:22.140 --> 07:23.995
如果你看到WPA, 我希望你考虑TKIP和RC4,

07:23.995 --> 07:31.680
因为TKIP都是用来替换初始化向量的, RC4是它的加密形式｡

07:31.680 --> 07:35.070
再次, WPA被认为是弱, 不要使用它｡ 

07:35.070 --> 07:41.250
接下来, 如果你看到WPA2, 你应该想到CCMP和AES的缩写｡

07:41.250 --> 07:43.470
CCMP是一个完整性协议,

07:43.470 --> 07:46.350
AES是我们使用的加密机制｡

07:46.350 --> 07:50.760
这是你在考试当天回答无线安全问题的关键｡

07:50.760 --> 07:53.760
接下来, 让我们谈谈MAC地址过滤｡ 

07:53.760 --> 07:56.457
我们可以使用ACL配置我们的接入点,

07:56.457 --> 08:02.700
这将能够查看这些地址并允许或拒绝某些MAC地址连接到网络｡

08:02.700 --> 08:05.340
例如, 如果我的iPhone试图连接到网络,

08:05.340 --> 08:08.010
但它没有被授权, 或者它在拒绝列表上,

08:08.010 --> 08:11.460
它将无法进行握手, 也无法进行通信｡

08:11.460 --> 08:13.230
现在, Mac过滤的问题仍然存在于这样一个事实,

08:13.230 --> 08:17.520
即它真的很容易改变你的MAC地址和欺骗它｡

08:17.520 --> 08:21.960
知识渊博的用户可以使用免费提供的工具非常快速地更改他们的Mac地址,

08:21.960 --> 08:24.630
而且确实需要大约五秒钟的时间｡

08:24.630 --> 08:26.100
这将阻止一些人, 但它不是万无一失的,

08:26.100 --> 08:29.190
它不会阻止所有人｡

08:29.190 --> 08:30.660
如果你想更改你的Mac地址,

08:30.660 --> 08:33.420
你可以使用Mac Address Changer for Windows,

08:33.420 --> 08:36.210
Mac Daddy X for OSX和Mac系统, 或Mac Changer

08:36.210 --> 08:40.560
for Linux等工具, 这些都是非常容易使用的工具｡

08:40.560 --> 08:42.411
Mac地址不会成为您的强大保护来源,

08:42.411 --> 08:50.940
但根据考试, 它是您可以用来形成防御和深度策略的一部分的保护｡

08:50.940 --> 08:53.100
所以在现实世界中, 不要太担心Mac过滤,

08:53.100 --> 08:57.450
但对于考试, 他们确实认为这是一个很好的安全措施｡

08:57.450 --> 09:00.300
接下来, 我们将禁用SSID广播,

09:00.300 --> 09:04.410
这也被认为是保护网络的一个小安全帮助｡

09:04.410 --> 09:06.930
现在, 根据考试, 就像MAC过滤一样,

09:06.930 --> 09:08.730
他们说这是一件好事｡

09:08.730 --> 09:13.200
在现实世界中, 虽然它并不需要很长的时间来找到一个隐藏的SSID｡

09:13.200 --> 09:15.390
什么是SSID？

09:15.390 --> 09:20.520
嗯, 它代表服务器集标识符, 这是你的无线网络实际上被称为｡

09:20.520 --> 09:22.260
例如, 如果你去星巴克, 他们有一个叫“星巴克客人”,

09:22.260 --> 09:24.390
或者如果你去我家, 我有一个叫“迪翁”,

09:24.390 --> 09:31.920
这样你就可以看到服务器组出去说, “嘿, 迪翁在这里, 我应该连接到它吗？

09:31.920 --> 09:31.920
如果你搜索一个网络,

09:33.120 --> 09:35.700
你会看到你周围的所有名字的列表, 对吧？

09:35.700 --> 09:38.670
好吧, 如果你关闭了服务器集ID的广播,

09:38.670 --> 09:42.630
它就不会广播出去, 也不会显示在你的可用网络中｡

09:42.630 --> 09:44.670
这样, 用户必须手动输入名称才能连接到您的网络,

09:44.670 --> 09:48.210
因此他们必须实际知道它在那里｡

09:48.210 --> 09:49.920
现在, 问题是, 使用无线渗透技术,

09:49.920 --> 09:55.080
很容易找到这些, 你仍然可以连接到他们｡

09:55.080 --> 09:57.240
如果你所做的只是禁用你的广播,

09:57.240 --> 09:58.740
它不是很安全｡

09:58.740 --> 10:01.320
但是, 如果你这样做与MAC过滤和有一个很好的长,

10:01.320 --> 10:06.903
强密码相结合, 你开始分层的安全性, 并给你一个更好的安全态势｡