無線網路安全已經越發受到重視,隨著無線網路的普及,企業內部都已經開始出現了無線辦公的環境。那麼無線網路安全一旦遭到威脅,很有可能直接結果就是使企業敏感資訊遭到洩露。那麼我們如何保障無線網路安全呢?
無線網路安全:轉向企業級加密
如果你建立了乙個wpa或wpa2的加密金鑰,並且在連線到某個無線網路時必須輸入這個金鑰,你所使用的就是wpa的預共享金鑰(psk)模式。企業級網路,不管是大是小,都應當用企業模式進行保護,因為這種保護模式向無線連線過程增加了802.1x/eap認證。使用者們不是在所有的計算機上輸入加密金鑰,而是通過乙個使用者名稱和口令登入。加密金鑰是以隱藏方式安全地使用,並且對每乙個使用者和會話都是唯一的。
這種方法提供了集中管理功能和更好的無線網路安全。
簡言之,雇員們和其它使用者在使用企業模式時,都通過其自己的賬號登入進入網路。在需要時,管理員可以輕易地改變或廢止其訪問。在雇員離職或膝上型電腦被盜時,這種方式非常有用。如果你現在正使用個人模式,你就需要在所有的電腦和接入點ap上改變加密金鑰。
企業模式的乙個特別因素是radius/aaa伺服器。它與網路中的接入點ap通訊,並查詢使用者的資料庫。在此,筆者建議你使用windows server 2003 的ias或windows sever 2008r 網路策略伺服器nps。當然,你也可以考慮使用開源伺服器,如最流行的freeradius。如果你覺得建立乙個身份驗證的伺服器需要花費太多的金錢,或者超過了你的預算,不妨考慮使用外購服務。
無線網路安全: 驗證物理上的安全性
無線安全並不僅僅是技術問題。你可以擁有最強健的wi-fi 加密,但是你又能如何阻止某人將電纜線接入到暴露的乙太網埠呢?或者有人經過某個接入點時按下了復位按鈕,將其恢復到了出廠設定,讓你的無線網路四門大開,你又該如何是好?
所以,請一定要保證你的接入點ap遠離公眾可以接觸的地方,也不要讓雇員隨意去擺弄它。不要把你的接入點放到桌子上,最起碼應該將其掛到牆上或天花板上,最好將其放到高於天花板的位置。
還可以考慮將接入點ap安裝在不易於被看到的地方,並安裝外部天線,這樣還可以獲得最強的訊號。如此一來,就可以在更大程度上限制接入點ap,同時,又可以獲得兩方面的好處,一是增加了覆蓋範圍,二是利用了較高的天線。
當然,你不能僅關注接入點。所有的網路連線元件都應當保證其安全。這甚至包括乙太網電纜的連線。雖然下面這種情況可能有點兒牽強,但是難道某個「不到黃河不死心」的傢伙就沒有切斷電纜接入自己的裝置的可能?。
在安裝過程中,應當對所有的接入點ap瞭如指掌。最好製作一張**,記錄所有的接入點模組,連同它們的mac位址和ip位址。還要標明其所在的位置。通過這種方法就可以確切地知道,在進行裝置清查或跟蹤有問題的接入點ap時,這些接入點到底在什麼地方。
無線網路安全: 安裝入侵檢測和(或)入侵防禦系統(即ids和ips)
這兩種系統通常靠乙個軟體來工作,並且使用使用者的無線網絡卡來嗅探無線訊號並查詢問題。這種系統可以檢測欺詐性的接入點。無論是向網路中接入乙個新的接入點,還是乙個現有的接入點將其設定改變為預設值,還是與使用者所定義的標準不匹配,ids和ips都可以檢測出來。
這種系統還可以分析網路資料報,檢視是否有人正在使用黑客技術或是正在實施干擾。
現在有很多種的入侵檢測和防禦系統,這些系統所使用的技術也各不相同。在此,筆者向您推薦兩開源的或免費的系統,即大名鼎鼎的kidmet和snort。現在網上有關於這兩個系統的大量教程,您不妨試試。當然,如果你願意花錢,還可以考慮airmagnet、airdefence、airtight等國外公司的產品。
無線網路安全: 構建無線使用策略
正如需要其它網路裝置的使用指南一樣,你也應當有一套針對無線訪問的使用策略,其中至少包括以下幾條:
①列示可獲得授權訪問無線網路的裝置:最好先禁用所有的裝置,在路由器上使用mac位址的過濾功能來明確地指明准許哪些裝置訪問網路。雖然mac位址可以被欺騙,但是這樣做顯然會控制雇員們正在網路上使用哪些裝置。所有被核准裝置的硬拷貝及其細節都應當加以保留,以便於在監視網路時以及為入侵檢測系統提供資料時進行比較。
②列示可通過無線連線訪問網路的人員:在使用802.1x認證時,在radius伺服器中僅為那些需要無線訪問的人建立賬戶就可以實施這種控制。如果在有線網路上也使用802.1x認證,你必須指明使用者是否要接收有線或無線訪問,可以通過修改活動目錄或在radius伺服器上使用認證策略達到這個目的。
③無線路由器或接入點ap的建立規則:例如,僅准許it部門建立更多的接入點ap,因而不准許雇員隨意插入接入點ap來增強和延伸訊號。對it部門的內部而言,其規則最好包括定義可接受的裝置模式和配置等。
④使用wi-fi熱點或借助公司裝置連線到家庭網路的規則:因為某個裝置或膝上型電腦
上的資料可以被破壞,而且在不安全的無線網路上需要監視網際網路活動,所以你可能會想到限制wi-fi連線僅給公司網路使用。可以借助於windows中的netsh實用程式,並通過運用網路過濾器來加以控制。還有另外乙個選擇,即你可以要求乙個到達公司網路的vpn連線,這樣至少可以保護網際網路活動,並可以遠端訪問檔案。
無線網路安全:使用ssl或ipsec加密
雖然你可能正使用最新的、最強健的wi-fi加密(位於osi模型的第二層上),也不妨考慮實施另外一種加密機制,如ipsec(位於osi模型的第三層上)。這樣做,不但可以在無線網路上提供雙重加密,還可以保證有線通訊的安全。這會防止雇員或外部人員隨意插入到裝置的乙太網埠進行竊聽。
雖然在這裡談到的這五種技術大多在有線網路上已經很成熟,但在許多單位的無線網路上卻並沒有得以實施。為了讓你的無線網路訪問更安全,不妨一試。
無線網路安全
最近買了本本,研究起無線網路,dd wrt,蹭網。當初看到無線網路破解還是在cnbeta,搜尋了一下,居然已經這麼容易。但是也有不容易的地方,比如aircrack ng.org 被遮蔽,很多網絡卡沒有對應的windows驅動,linux下面的驅動也不完善。總歸天無絕人之路,你可以用usb網絡卡,用u...
教你如何保護WiFi無線網路安全
的技術專案經理 日前在 官方部落格發布了一篇文章,講解如何保護 無線網路安全,鑑於家庭 網路已經非常普遍,如何防止周圍鄰居通過 攻擊你的家庭網路也成為乙個現實的問題,這篇文章講述了提公升 網路安全的幾個簡單有效的方法,全文內容翻譯如下。全球有超過四分之一的網際網路使用者在家使用 上網,不過其中許多人...
A 無線網路
accept 29 submit 107 time limit 1000ms memory limit 65536kb description 現在無線網路愈來愈普及,人們對網路質量的要求也愈來愈高。我們假設要在一條筆直的公路上安置無線網路接入點,以方便兩旁的居民上網。設公路的乙個終點為起點,那麼居...