瀏覽量:75次
Wi-Fi生來就容易受到黑客攻擊和竊聽。但是,如果你使用正確的安全措施,Wi-Fi可以是安全的。遺憾的是網(wǎng)站上充滿了過時的忠告和誤區(qū)。下面是Wi-Fi安全中應該做的和不應該做的一些事情。
WEP(有線等效加密協(xié)議)安全早就死了。大多數(shù)沒有經(jīng)驗的黑客能夠迅速地和輕松地突破基本的加密。因此,你根本就不應該使用WEP。如果你使 用WEP,(WiFi保護接入)協(xié)議。如果你有不支持WPA2的老式設備和接入點, 你要設法進行固件升級或者干脆更換設備。
WPA/WPA2安全的預共享密鑰(PSK)模式對于商務或者企業(yè)環(huán)境是不安全的。當使用這個模式的時候,同一個預共享密鑰必須輸入到每一個客戶。因此,每當員工離職和一個客戶丟失或失竊密鑰時,這個PSK都要進行修改。這在大多數(shù)環(huán)境中是不現(xiàn)實的。
WPA和WPA2安全的EAP(可擴展身份識別協(xié)議),而不是PSK,向每一個用戶和客戶提供自己的登錄證書的能力,如用戶名和口令以及一個數(shù)字證書。
實際的加密密鑰是在后臺定期改變和交換的。因此,要改變或者撤銷用戶訪問,你要做的事情就是在中央服務器修改登錄證書,而不是在每一臺客戶機上 改變PSK。這種獨特的每個進程一個密鑰的做法還防止用戶相互竊聽對方的通訊?,F(xiàn)在,使用火狐的插件Firesheep和Android應用 DroidSheep等工具很容易進行竊聽。
要記住,為了達到盡可能最佳的安全。
,你需要擁有一臺RADIUS/AAA服務器。如果你在運行WindowsServer2008和以上版本的操作系 統(tǒng),你要考慮使用網(wǎng)絡政策服務器(NPS)或者早期服務器版本的互聯(lián)網(wǎng)身份識別服務(IAS)。如果你沒有運行Windows服務器軟件,你可以考慮使用 開源FreeRADIUS服務器軟件。
如果你運行WindowsServer2008R2或以上版本否則,你可以考慮采用第三方解決方案幫助配置這些客戶機。
WPA/WPA2的EAP模式仍然容易受到中間人攻擊。然而,你可以通過保證客戶機EAP設置的安全來阻止這些攻擊。例如,在Windows的 EAP設置中,你可以通過選擇CA證書、指定服務器地址和禁止它提示用戶信任新的服務器或者CA證書等方法實現(xiàn)服務器證書驗證。
,或者使用Avenda公司的Quick1X等第三方解決方案。
保證WiFi網(wǎng)絡安全比抗擊那些直設法獲取網(wǎng)絡訪問權限的企圖要做更多的事情。例如,黑客可以建立一個虛假的接入點或者實施拒絕服務攻擊。要幫 助檢測和對抗這些攻擊,你應該應用一個無線入侵防御系統(tǒng)(WIPS)。廠商直接的WIPS系統(tǒng)的設計和方法是不同的,但是,這些系統(tǒng)一般都監(jiān)視虛假的接入 點或者惡意行動,向你報警和可能阻止這些惡意行為。
有許多商業(yè)廠商提供WIPS解決方案,如AirMagnet和AirTightNeworks。還有Snort等開源軟件的選擇。
,你應該考慮應用一個NAP(網(wǎng)絡接入保護)或者NAC(網(wǎng)絡接入控制)解決方案。這些解決方案能夠根據(jù)客戶 身份和執(zhí)行定義的政策的情況對網(wǎng)絡接入提供額外的控制。這些解決方案還包括隔離有問題的客戶的能力以及提出補救措施讓客戶重新遵守法規(guī)的能力。
有些NAC解決方案可能包括網(wǎng)絡入侵防御和檢測功能。但是,你要保證這個解決方案還專門提供無線保護功能。
如果你的客戶機在運行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系統(tǒng),你可以使用微軟的NAP功能。此外,你可以考慮第三方的解決方案,如開源軟件的PacketFence。
無線安全的一個不實的說法是關閉接入點的SSID播出將隱藏你的網(wǎng)絡,或者至少可以隱藏你的SSID,讓黑客很難找到你的網(wǎng)絡。然而,這種做法 只是從接入點信標中取消了SSID。,在某些情況下還包含在探索請求和回應數(shù)據(jù)包中。因此,竊聽者能夠使用合法的 無線分析器在繁忙的網(wǎng)絡中迅速發(fā)現(xiàn)“隱藏的”SSID。
一些人可能爭辯說,關閉SSID播出仍然會提供另一層安全保護。但是,要記住,它能夠對網(wǎng)絡設置和性能產(chǎn)生負面影響。你必須手工向客戶機輸入SSID,這使客戶機的配置更加復雜。這還會引起探索請求和回應數(shù)據(jù)包的增加,從而減少可用帶寬。
無線安全的另一個不實的說法是啟用MAC(媒體接入控制)地址過濾將增加另一層安全,控制哪一個客戶機能夠連接到這個網(wǎng)絡。這有一些真實性。但是,要記住,竊聽者很容易監(jiān)視網(wǎng)絡中授權的MAC地址并且隨后改變自己的計算機的MAC地址。
因此,你不要以為MAC過濾能夠為安全做許多事情而采用MAC地址過濾。不過,你可以把這種做法作為松散地控制用戶可以使用哪一臺客戶機和設備進入網(wǎng)絡的方法。但是,你還要考慮保持MAC列表處于最新狀態(tài)所面臨的管理難題。
許多網(wǎng)絡管理員忽略了一個簡單而具有潛在危險的安全風險:用戶故意地或者非故意地連接到臨近的或者非授權的無線網(wǎng)絡,使自己的計算機向可能的入 侵敞開大門。然而,過濾SSID是防止發(fā)生這種情況的一個途徑。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用戶 能夠看到和連接的那些SSID增加過濾器。對于臺式電腦來說,你可以拒絕你的無線網(wǎng)絡的那些SSID以外的所有的SSID。對于筆記本電腦來說,你可以僅 僅拒絕臨近網(wǎng)絡的SSID,讓它們?nèi)匀贿B接到熱點和它們自己的網(wǎng)絡。
要記住,計算機安全并不僅僅是最新的技術和加密。物理地保證你的網(wǎng)絡組件的安全同樣重要。要保證接入點放置在接觸不到的地方,如假吊頂上面或者 考慮把接入點放置在一個保密的地方,然后在一個最佳地方使用一個天線。如果不安全,有人會輕松來到接入點并且把接入點重新設置到廠商默認值以開放這個接入 點。
你的WiFi安全的擔心不應該僅限于你的網(wǎng)絡。使用智能手機、筆記本電腦和平板電腦的用戶也許也要得到保護。但是,在他們連接到WiFi熱點或者自己家里的路由器的時候會怎樣呢?你要保證他們其它的WiFi連接也是安全的以防止入侵和竊聽。
遺憾的是保證WiFi連接外部的安全并不是一件容易的事情。這需要采取綜合性的方法,如提供和推薦解決方案以及教育用戶有關WiFi安全風險和防御措施等。
首先,所有的筆記本電腦和上網(wǎng)本都應該有一個個人防火墻以防止入侵。如果你運行WindowsServe操作系統(tǒng),你可以通過組策略強制執(zhí)行這個功能,你還可以使用WindowsIntune等解決方案管理非范圍內(nèi)的名計算機。
其次,你需要保證用戶的互聯(lián)網(wǎng)通訊是加密的以防止本地竊聽,同時在其它網(wǎng)絡上提供訪問你的網(wǎng)絡的VPN(虛擬專用網(wǎng))接入。如果你不為這種應用 使用內(nèi)部的VPN,可以考慮使用HotspotShield或者Witopia等外包服務。對于iOS(iPhone、iPad和iPodTouch)和 Android設備來說,你可以使用這些設備本地的VPN客戶端軟件。然而,對于黑莓和WindowsPhone7設備來說,你必須設置一個消息服務器并 且設置這個設備使用自己的VPN客戶端軟件。
你還應該保證你的面向互聯(lián)網(wǎng)的服務是安全的,一旦用戶在公共網(wǎng)絡或者不可信任的網(wǎng)絡上不能使用VPN的時候可以使用這個服務。例如,如果你提供 你的局域網(wǎng)、廣域網(wǎng)或者VPN以外的電子郵件地址,你要保證使用SSL加密以防止本地竊聽者。在不可信任的網(wǎng)絡中的竊聽者能夠捕獲用戶的登錄證書或者信 息。
[聲明]本網(wǎng)轉載網(wǎng)絡媒體稿件是為了傳播更多的信息,此類稿件不代表本網(wǎng)觀點,本網(wǎng)不承擔此類稿件侵權行為的連帶責任。故此,如果您發(fā)現(xiàn)本網(wǎng)站的內(nèi)容侵犯了您的版權,請您的相關內(nèi)容發(fā)至此郵箱【779898168@qq.com】,我們在確認后,會立即刪除,保證您的版權。
官網(wǎng)優(yōu)化
整站優(yōu)化
渠道代理
400-655-5776