问：我能够使用VPN来排查虚假无线热点吗？

　　答：任何802.11接入端（AP）或对等模式设备（Ad Hoc）都能够提供一个有意义的SSID给信任的客户端访问。例如，在大多数的机场和会议中心，你都可能发现一些标识为“Free Public WiFi”的SSID的无线信号。其中大多数是过去曾经尝试连接“Free Public WiFi”的其它客户端，它们现在通常被认定为用户未知或恶意连接。但是，并不能随意认定那些发布热点SSID的Ad Hocs或AP是合法的或无害的。我们要一直保护我们的流量不受由无线欺骗者发起的中间人攻击。

　　VPN肯定是有帮助的，而且我强力推荐在Wi-Fi热点中使用VPN。然而，VPN并不是其中的唯一或最佳答案。为什么呢？这是因为造成你的Wi-Fi客户端容易受到虚假热点攻击的真正问题是服务器认证太弱或者根本没有认证。不论你的Wi-Fi客户端在什么时间发起一个会话，都要确认它到达的是目标的服务器。

　　在登录到任何Wi-Fi热点之前，一定要检查热点的标识信息。WPA/WPA2保护（如：tmobile1x）可用于配置你的Wi-Fi客户端来验证服务器证书。如果你经常使用一个连接管理器（如：Boingo）连接热点，那么这些程序会帮你进行服务器验证。否则，在输入你的密码或信用卡密码时要仔细检查登录页面。同时检查SSL保护（通常是以https开头的URL）并查看浏览器关于SSL服务器证书的警告。如果一个热点触发了浏览警告（或金属警告声），一定要小心检查。

　　如果是连接一个Wi-Fi热点，那么就只使用手动认证的端到端加密会话。如果你只是浏览共公网站，你可能选择不做认证——但是记住，你访问的网站可能是由一个假冒热点伪造的，它只是返回实际网站的一个拷贝，并且上面包括了恶意脚本或网络钓鱼的URL。所以，更安全的做法是通过安全会话发送所有热点流量——不管是敏感还是不敏感的。

　　例如，在收发电子邮件时，要配置邮件客户端通过TLS发送POP和SMTP流量。现在，许多电子邮件服务器都支持或要求使用TLS来防止泄漏电子邮件登录、密码和消息内容。要求使用TLS的电子邮件客户端将验证电子邮件服务器的证书，会拒绝发往假冒服务器的会话或发出关于服务器证书问题的警告。再一次强调，一定不要忽略邮件客户端警告或不使用TLS。

　　更复杂的保护措施，是使用一个VPN通道来保证在一个Wi-Fi热点发送或接收的所有流量。然而，记住VPN并不总是对中间人攻击免疫。例如，为了保证安全，使用带有强互相认证的VPN、IKE Phase 1证书认证和XAUTH用户认证。避免在VPN中使用弱共享密钥或完全不使用服务器认证。此外，要知道流量实际已经被VPN划分通道传输的——“分裂的通道”只保证所选择端口或目标的流量安全，而让其它流量自由穿过VPN。

　　最后，在SSL/TLS或VPN通道组合一个主机防火墙，以阻止不受欢迎的流量流入或流出你的Wi-Fi客户端。在Wi-Fi热点中，一个常见的错误是泄露LAN广播流量——特别是NetBIOS文件/打印机共享消息。现在，许多商业热点都能够通过阻挡客户端之间的流量来降低这个风险。然而，如果你已经连接到一个假冒的AP或Ad Hoc，你就无法依靠热点来进行保护了。如果你采取了这些保护措施，那么你就没必要再担心遇到假冒热点AP的麻烦了。