meraki路由器,普通用户该如何面对

在WIFI易受攻击的情况下，想保护自己安全点的普通用户有什么建议？

面对KRACK Wi-Fi漏洞，我们该如何保护自己？

安全专家Mathy Vanhoef昨天公开披露了WPA2安全协议中的一个严重漏洞。目前，大多数设备和路由器都依赖WPA2协议来加密Wi-Fi流量，因此您很可能会受到影响。

但是我们先来了解一下黑客利用KRACK漏洞能做什么，不能做什么。

攻击者可以截获设备和路由器之间的一些流量(如果这种流量被HTTPS正确加密，攻击者就无能为力)。他们无法通过这个漏洞获取你的Wi-Fi密码。攻击者只有知道用户在做什么，才能获取用户的未加密流量。在一些设备上，攻击者还可以实现数据包注入来做一些不光彩的事情。

这个漏洞的受害者是那些在咖啡馆和机场共享同一个Wi-Fi网络的人。

攻击者必须在您的设备所在的Wi-Fi网络的覆盖区域内。他们无法远程攻击你，除非攻击者控制了你Wi-Fi网络中的鸡，这就比较复杂了。正因为如此，企业应该尽快发布补丁，因为很多攻击者可能今天才刚刚听说这个漏洞。

至少在理论上，攻击者可以利用这个漏洞。而且随着时间的推移，它的影响力可能是巨大的。例如，如果你将蠕虫病安全注入两个物联网设备，它将很可能创建一个物联网僵尸网络。但目前的KRACK漏洞并非如此。

那么，当WPA2安全协议存在漏洞时，我们应该如何保护自己呢？

修补您自己的无线设备。

好消息是，只要给设备一个安全更新，就可以避免KRACK漏洞。升级的设备和未升级的设备可以存储在同一个网络安全中，因为修复方法是向后兼容的。

所以你应该使用安全补丁升级所有的路由器和笔记本电脑、手机、平板电脑等Wi-Fi设备(目前苹果设备和微软Windows的安全更新已经封堵了这个漏洞)。或者你可以开启设备的自动更新，避免以后再次被黑客攻击，因为KRACK不会是你遇到的最后一个安全漏洞。

现代的操作系统基本都可以自动更新。一些设备(即Android设备)不会收到大量更新，该漏洞可能会继续构成威胁。一切的关键在于，客户端和路由器都需要安全更新来应对KRACK漏洞。

检查路由器

您的路由器固件安全性需要升级。如果路由器是由互联网服务提供商(ISP)提供的，您可以询问该公司何时会为其设备发布安全补丁。如果他们不回复，你就要继续提问。您可以登录路由器控制台(登录地址和其他信息通常贴在设备背面)，以确保路由器固件是安全版本。

如果你的ISP无法快速升级固件，你也可以关闭运营商设备的Wi-Fi功能，选择发布了安全补丁的路由器品牌。

以下是已经发布安全补丁的部分路由器厂商名单:Ubiquiti、Microtik、Meraki、Aruba、FortiNet……

使用有线网络

如果你的路由器无法升级，在这种情况下，你应该只使用有线网络，直到推送安全补丁。确保关闭路由器上的Wi-Fi网络(假设您可以禁用路由器上的Wi-Fi网络)，以确保所有流量都通过有线网络。

如果你还想保留一些设备的Wi-Fi，可以考虑将重要设备切换到以太网。例如，如果你每天花几个小时在电脑上，并在这台电脑上使用大量的流量，出于安全考虑，你应该购买一根网线(可能还有一个以太网适配器)。

使用蜂窝移动网络

你的手机和平板电脑都没有以太网接口。如果您想要确保没有人可以获取您的数据，您应该禁用设备上的Wi-Fi，然后使用蜂窝网络。如果你住的地方信号不好或者手机流量不便宜，或者你不信任你的电信运营商，那么使用蜂窝网络并不是一个理想的选择。

运行Android 6.0及以上版本的设备比其他设备更容易受到黑客攻击。由于Android 6.0及以上版本的Wi-Fi握手机制存在天然的执行问题，很容易被黑客进行重装攻击。所以安卓用户一定要更加小心。

物联网设备该怎么办？

如果你有大量的物联网设备，你要想想一旦未加密的流量被拦截，哪个设备会对安全造成很大的威胁。例如，如果您有一个不加密流量的安全摄像头，当您使用相同的Wi-Fi网络时，攻击者可以窃取您家中的原始视频剪辑。

采取相应的行动。比如切断Wi-Fi网络中危险系数高的设备，直到厂商发布安全补丁。请务必注意儿童可能连接到家庭网络的设备类型。

说实话，攻击者拦截智能灯泡和路由器之间的流量并不重要。攻击者会如何处理这些信息？除非户主是斯诺登。大多数人不太可能面临被政府严密监控的风险。所以你要确定自己的危险等级，然后采取相应的措施。

即便如此，物联网在安全方面的名声并不好。因此，你应该借此机会仔细检查所有连接的设备，并思考制造商没有迅速发布安全补丁的Wi-Fi设备——它们可能会对你的Wi-Fi网络造成一些长期风险。

安装HTTPS随处插件

如上所述，您可以通过在未加密流量之前优先考虑加密互联网流量的安全性来降低被黑客攻击的风险。电子前沿基金会(EFF)发布了一个名为“HTTPS无处不在”的浏览器扩展。如果你使用谷歌Chrome、火狐或Opera，你应该考虑安装这个扩展。由于不需要到处设置HTTPS，任何人都可以轻松做到这一点。

如果网站提供不加密访问(HTTP)和加密访问(HTTPS)，HTTPS Everywhere会自动告诉你的浏览器使用HTTPS版本加密流量。如果网站还是完全依赖HTTP，那么到处都是HTTPS也无能为力。如果网站在HTTPS上表现很差，流量没有加密，这个扩展也没用。但是到处都有HTTPS总比没有好。

不要完全依赖VPN

理论上，使用VPN似乎是一个明智的选择。但是我们一直在用这个服务，所以你一定要对市面上的VPN服务多加小心。你不能相信任何VPN服务。

当您使用VPN服务时，您必须将所有互联网流量重新导入数据中心的VPN服务器。攻击者看不到你在Wi-Fi网络中的具体活动，但VPN服务提供商可以记录你所有的上网流量，做出对你不利的事情。

例如，Register网站上周发现了一份法律文件，文件称PureVPN向当局透露了用户的关键信息，追查并逮捕了一名男子。但该公司的网站声称PureVPN不保留任何日志。再次提醒大家，千万不要相信任何VPN服务商。除非你愿意自己创建VPN服务器，否则VPN服务绝不是解决方案。

特别偏执的用户怎么办？

对于那些对安全性有所偏执，不想或者不能完全停止使用Wi-Fi网络的用户，只能搬到一个鸟不拉屎的地方。这是安全经济的选择。

科技公司的首席执行官如何保护自己？他们的策略是大量购买周边房产，然后进行安全保护，从而降低个人数据被监控到安全的风险。显然，这种策略是非常昂贵的。

图片来源:WACKYSTUFF/FLICKR根据CC BY-SA 2.0协议授权

本文为动点科技/TechCrunch中国的安全稿件。未经许可，禁止复制。