無(wú)線(xiàn)網(wǎng)絡(luò)安全解決方案
無(wú)線(xiàn)網(wǎng)絡(luò)安全—修改默認(rèn)設(shè)置
多數(shù)無(wú)線(xiàn)網(wǎng)絡(luò)的默認(rèn)設(shè)置并未發(fā)揮出最大的性能潛力,也沒(méi)有提供最大的安全保證,因此用戶(hù)在使用無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)應(yīng)該修改其默認(rèn)設(shè)置,達(dá)到安全目的。
(1) 設(shè)置AP
許多或AP在出廠(chǎng)時(shí),數(shù)據(jù)傳輸加密功能是關(guān)閉的,用戶(hù)在使用時(shí)應(yīng)開(kāi)啟數(shù)據(jù)傳輸加密功能。
(2) 設(shè)置安全口令
修改無(wú)線(xiàn)路由器的默認(rèn)安全口令,不要設(shè)置過(guò)于簡(jiǎn)單或常見(jiàn)的口令。
(3) 禁用或修改SNMP設(shè)置
如果用戶(hù)的無(wú)線(xiàn)接入點(diǎn)支持SNMP, 那么需要禁用它或者修改默認(rèn)的公共和私有的標(biāo)識(shí)符。避免黑客利用SNMP獲取關(guān)于用戶(hù)網(wǎng)絡(luò)的重要信息。
(4)禁用DHCP
DHCP功能可在無(wú)線(xiàn)局域網(wǎng)內(nèi)自動(dòng)為每臺(tái)電腦分配IP地址,不需要用戶(hù)設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能,那么別人就能很容易地使用你的。因此,禁用DHCP功能對(duì)而言很有必要。
(5) 隱藏SSID
在無(wú)線(xiàn)路由器的設(shè)置當(dāng)中,選擇“隱藏SSID”或“禁止SSID廣播”,這樣就不容易被“蹭網(wǎng)”者搜到。
(6) MAC地址過(guò)濾
啟用MAC地址過(guò)濾,可以阻止未經(jīng)授權(quán)的無(wú)線(xiàn)客戶(hù)端訪(fǎng)問(wèn)AP及進(jìn)入內(nèi)網(wǎng)。路由器出廠(chǎng)時(shí)這種特性通常是關(guān)閉的,因此,需要用戶(hù)開(kāi)啟該功能,通過(guò)啟用這種特性,并且只告訴路由器所允許的無(wú)線(xiàn)設(shè)備的MAC地址,用戶(hù)可以防止他人盜用自己的互聯(lián)網(wǎng)連接,從而提升安全性。
無(wú)線(xiàn)網(wǎng)絡(luò)安全—合理使用
(1) 在不使用網(wǎng)絡(luò)時(shí)將其關(guān)閉
如果用戶(hù)的并不需要每天24小時(shí)都提供服務(wù),可以通過(guò)關(guān)閉它而減少被黑客們利用的機(jī)會(huì)。
(2) 調(diào)整路由器或AP設(shè)備放置位置
盡量把設(shè)備放置在房屋的中間而不是靠近窗戶(hù)的位置,達(dá)到減少信號(hào)覆蓋范圍。
(3) 定期進(jìn)行接入點(diǎn)檢查
對(duì)于使用無(wú)線(xiàn)網(wǎng)絡(luò)的企業(yè),應(yīng)使用相應(yīng)的工具,定期進(jìn)行接入點(diǎn)檢查,檢查時(shí),可以在一座小樓內(nèi)使用無(wú)線(xiàn)筆記本和軟件檢查,也可以使用管理應(yīng)用收集接入點(diǎn)的數(shù)據(jù)。通過(guò)定期檢查及時(shí)發(fā)現(xiàn)非法接入點(diǎn),去除惡意設(shè)備,消除無(wú)線(xiàn)威脅。
無(wú)線(xiàn)網(wǎng)絡(luò)安全—數(shù)據(jù)加密
為保證數(shù)據(jù)不被非法讀取,而且在接入點(diǎn)和無(wú)線(xiàn)設(shè)備之間傳輸?shù)倪^(guò)程中不被修改,可以使用加密技術(shù)。從根本意義上講,加密與密碼相似,都是將數(shù)據(jù)轉(zhuǎn)換成只有合法接收者才能讀懂的符號(hào)。加密要求發(fā)送方和接收方都擁有密鑰,才能對(duì)傳輸數(shù)據(jù)進(jìn)行解碼。無(wú)線(xiàn)網(wǎng)絡(luò)目前使用的數(shù)據(jù)加密方式主要有如下幾種:
(1) WEP
在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù),用戶(hù)的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪(fǎng)問(wèn)。WEP提供了40位(有時(shí)也稱(chēng)為64位)和128位長(zhǎng)度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一個(gè)密鑰,一個(gè)用戶(hù)丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護(hù),擴(kuò)展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
(2) WPA
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無(wú)法計(jì)算出通用密鑰。其原理為根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過(guò)這種處理,所有客戶(hù)端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無(wú)論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能,WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。
(3) WPA2
WPA2與WPA后向兼容,支持更高級(jí)的AES加密,能夠更好地解決的安全問(wèn)題。由于部分AP和大多數(shù)移動(dòng)客戶(hù)端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對(duì)客戶(hù)端逐一部署。該方法適用于企業(yè)、政府。
目前使用WPA2方式加密數(shù)據(jù)通訊可以為提供足夠的安全,但是WPA2方式還不是很成熟,并不是所有用戶(hù)都可以順利使用,部分無(wú)線(xiàn)設(shè)備也不支持WPA2加密,所以對(duì)于這些用戶(hù)和設(shè)備來(lái)說(shuō),只能被迫停留在不安全的技術(shù)上。
(4) 802.11i
IEEE 802.11i(當(dāng)接入點(diǎn)經(jīng)過(guò)Wi-Fi聯(lián)盟認(rèn)證時(shí),它也被稱(chēng)為WPA2)為數(shù)據(jù)加密采用了高級(jí)加密標(biāo)準(zhǔn)(AES)。AES是目前最嚴(yán)格的加密標(biāo)準(zhǔn),而且這種方法從來(lái)沒(méi)有被破解過(guò)。
(5) WAPI
WAPI(WLAN Authentication and Privacy Infrastructure),即無(wú)線(xiàn)局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),它是針對(duì)IEEE802.11中WEP協(xié)議安全問(wèn)題,在中國(guó)無(wú)線(xiàn)局域網(wǎng)國(guó)家標(biāo)準(zhǔn) GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE Registration Authority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書(shū)機(jī)制,真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無(wú)線(xiàn)接入點(diǎn)(AP)間雙向鑒別。用戶(hù)只要安裝一張證書(shū)就可在覆蓋WLAN的不同地區(qū)漫游,方便用戶(hù)使用。
目前WEP加密方式已經(jīng)被黑客攻破,網(wǎng)上已經(jīng)有完整的破解攻略及攻擊軟件,WPA最近也出現(xiàn)了暴力破解的攻略,而WPA2、WAPI及802.11i目前還是非常安全的數(shù)據(jù)加密手段。
#p#
無(wú)線(xiàn)網(wǎng)絡(luò)安全—建立無(wú)線(xiàn)虛擬專(zhuān)用網(wǎng)
VPN即虛擬專(zhuān)用網(wǎng),是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)它可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶(hù)的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線(xiàn)路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶(hù)的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。
VPN功能雖然不屬于802.11標(biāo)準(zhǔn)定義下的技術(shù),但它作為目前最常見(jiàn)的連接中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊技術(shù),已經(jīng)成為無(wú)線(xiàn)路由器的一項(xiàng)基本功能。
如果客戶(hù)端因?yàn)檫^(guò)于陳舊或者驅(qū)動(dòng)程序不兼容而無(wú)法支持802.11i、WPA2或者WAPI,在這種情況下,VPN可以作為保護(hù)無(wú)線(xiàn)客戶(hù)端連接的備用解決方案,利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強(qiáng)安全管理,達(dá)到安全目的。
無(wú)線(xiàn)網(wǎng)絡(luò)安全—使用入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(IDS)通過(guò)分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來(lái)判斷破壞系統(tǒng)的入侵事件。無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類(lèi)似,但無(wú)線(xiàn)入侵檢測(cè)加入了一些無(wú)線(xiàn)局域網(wǎng)的檢查和對(duì)破壞系統(tǒng)反應(yīng)的特性,可以監(jiān)視分析用戶(hù)的活動(dòng),判斷入侵事件的類(lèi)型,檢測(cè)非法的網(wǎng)絡(luò)行為,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警等。
目前,市場(chǎng)上常見(jiàn)的無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)是AirdefenseRogueWatch和AirdefenseGuard。而一些無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)也得到了Linux系統(tǒng)的支持。例如:自由軟件開(kāi)放源代碼組織的Snort-Wireless和WIDZ。
無(wú)線(xiàn)網(wǎng)絡(luò)安全—針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊工具的防范
針對(duì)上一節(jié)所羅列的攻擊工具,提出相應(yīng)的防范措施,如下表3所示。
表 防范方法
無(wú)線(xiàn)網(wǎng)絡(luò)安全—總結(jié)
對(duì)于一般用戶(hù)只需采用修改默認(rèn)設(shè)置及合理使用基本上能夠滿(mǎn)足安全要求;對(duì)于企業(yè)及政府應(yīng)根據(jù)安全等級(jí)要求來(lái)決定采用何種安全手段,如果無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備只支持WEP加密方式,則利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強(qiáng)安全管理,否則采用WPA2、WAPI等更加高級(jí)的加密方式,如果要求安全等級(jí)更高則還需配置專(zhuān)業(yè)系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)檢測(cè)及自動(dòng)防御。
無(wú)線(xiàn)網(wǎng)絡(luò)隨著用戶(hù)對(duì)安全知識(shí)的了解及技術(shù)廠(chǎng)商對(duì)解決方案不斷的探索,基本上已經(jīng)具有全面的安全功能,如果得到正確的使用和妥善的保護(hù),無(wú)論是普通用戶(hù)、企業(yè)還是政府都能夠放心享受無(wú)線(xiàn)網(wǎng)絡(luò)帶來(lái)的便利,在無(wú)線(xiàn)網(wǎng)絡(luò)上安全暢游。
【編輯推薦】
