如何保證無線網路安全
摘要:你是否想過怎樣讓自己的無線網路更安全?有人說,現在上網可以搜尋到關於Wi-Fi安全的大量資訊,如不要使用WEP,要使用WPA或WPA2,禁用SSID廣播,改變預設設定等。但僅有這些還是不夠的。為此,本文不再詳述這些基本技術,而是討論可增強無線網路安全的其它方面。
無線網路安全已經越發受到重視,隨著無線網路的普及,企業內部都已經開始出現了無線辦公的環境。那麼無線網路安全一旦遭到威脅,很有可能直接結果就是使企業敏感資訊遭到洩露。那麼我們如何保障無線網路安全呢?
無線網路安全:轉向企業級加密
如果你建立了一個WPA或WPA2的加密金鑰,並且在連線到某個無線網路時必須輸入這個金鑰,你所使用的就是WPA的預共享金鑰(PSK)模式。企業級網路,不管是大是小,都應當用企業模式進行保護,因為這種保護模式向無線連線過程增加了802.1X/EAP認證。使用者們不是在所有的計算機上輸入加密金鑰,而是通過一個使用者名稱和口令登入。加密金鑰是以隱藏方式安全地使用,並且對每一個使用者和會話都是唯一的。
這種方法提供了集中管理功能和更好的無線網路安全。
簡言之,僱員們和其它使用者在使用企業模式時,都通過其自己的賬號登入進入網路。在需要時,管理員可以輕易地改變或廢止其訪問。在僱員離職或膝上型電腦被盜時,這種方式非常有用。如果你現在正使用個人模式,你就需要在所有的電腦和接入點AP上改變加密金鑰。
企業模式的一個特別因素是RADIUS/AAA伺服器。它與網路中的接入點AP通訊,並查詢使用者的資料庫。在此,筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網路策略伺服器NPS。當然,你也可以考慮使用開源伺服器,如最流行的FreeRADIUS。如果你覺得建立一個身份驗證的伺服器需要花費太多的金錢,或者超過了你的預算,不妨考慮使用外購服務。
無線網路安全: 驗證物理上的安全性
無線安全並不僅僅是技術問題。你可以擁有最強健的Wi-Fi 加密,但是你又能如何阻止某人將電纜線接入到暴露的乙太網埠呢?或者有人經過某個接入點時按下了復位按鈕,將其恢復到了出廠設定,讓你的無線網路四門大開,你又該如何是好?
所以,請一定要保證你的接入點AP遠離公眾可以接觸的地方,也不要讓僱員隨意去擺弄它。不要把你的接入點放到桌子上,最起碼應該將其掛到牆上或天花板上,最好將其放到高於天花板的位置。
還可以考慮將接入點AP安裝在不易於被看到的地方,並安裝外部天線,這樣還可以獲得最強的訊號。如此一來,就可以在更大程度上限制接入點AP,同時,又可以獲得兩方面的好處,一是增加了覆蓋範圍,二是利用了較高的天線。
當然,你不能僅關注接入點。所有的網路連線元件都應當保證其安全。這甚至包括乙太網電纜的連線。雖然下面這種情況可能有點兒牽強,但是難道某個“不到黃河不死心”的傢伙就沒有切斷電纜接入自己的裝置的可能?。
在安裝過程中,應當對所有的接入點AP瞭如指掌。最好製作一張表格,記錄所有的接入點模組,連同它們的MAC地址和IP地址。還要標明其所在的位置。通過這種方法就可以確切地知道,在進行裝置清查或跟蹤有問題的接入點AP時,這些接入點到底在什麼地方。
無線網路安全: 安裝入侵檢測和(或)入侵防禦系統(即IDS和IPS)
這兩種系統通常靠一個軟體來工作,並且使用使用者的無線網路卡來嗅探無線訊號並查詢問題。這種系統可以檢測欺詐性的接入點。無論是向網路中接入一個新的接入點,還是一個現有的接入點將其設定改變為預設值,還是與使用者所定義的標準不匹配,IDS和IPS都可以檢測出來。
這種系統還可以分析網路資料包,檢視是否有人正在使用黑客技術或是正在實施干擾。
現在有很多種的入侵檢測和防禦系統,這些系統所使用的技術也各不相同。在此,筆者向您推薦兩開源的或免費的系統,即大名鼎鼎的Kidmet和Snort。現在網上有關於這兩個系統的大量教程,您不妨試試。當然,如果你願意花錢,還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。
無線網路安全: 構建無線使用策略
正如需要其它網路裝置的使用指南一樣,你也應當有一套針對無線訪問的使用策略,其中至少包括以下幾條:
①列示可獲得授權訪問無線網路的裝置:最好先禁用所有的裝置,在路由器上使用MAC地址的過濾功能來明確地指明准許哪些裝置訪問網路。雖然MAC地址可以被欺騙,但是這樣做顯然會控制僱員們正在網路上使用哪些裝置。所有被核准裝置的硬拷貝及其細節都應當加以保留,以便於在監視網路時以及為入侵檢測系統提供資料時進行比較。
②列示可通過無線連線訪問網路的人員:在使用802.1X認證時,在RADIUS伺服器中僅為那些需要無線訪問的人建立賬戶就可以實施這種控制。如果在有線網路上也使用802.1X認證,你必須指明使用者是否要接收有線或無線訪問,可以通過修改活動目錄或在RADIUS伺服器上使用認證策略達到這個目的。
③無線路由器或接入點AP的建立規則:例如,僅准許IT部門建立更多的接入點AP,因而不准許僱員隨意插入接入點Ap來增強和延伸訊號。對IT部門的內部而言,其規則最好包括定義可接受的裝置模式和配置等。
④使用Wi-Fi熱點或藉助公司裝置連線到家庭網路的規則:因為某個裝置或膝上型電腦
上的資料可以被破壞,而且在不安全的無線網路上需要監視網際網路活動,所以你可能會想到限制Wi-Fi連線僅給公司網路使用。可以藉助於Windows中的netsh實用程式,並通過運用網路過濾器來加以控制。還有另外一個選擇,即你可以要求一個到達公司網路的VPN連線,這樣至少可以保護網際網路活動,並可以遠端訪問檔案。
無線網路安全:使用SSL或Ipsec加密
雖然你可能正使用最新的、最強健的Wi-Fi加密(位於OSI模型的第二層上),也不妨考慮實施另外一種加密機制,如IPSec(位於OSI模型的第三層上)。這樣做,不但可以在無線網路上提供雙重加密,還可以保證有線通訊的安全。這會防止僱員或外部人員隨意插入到裝置的乙太網埠進行竊聽。
雖然在這裡談到的這五種技術大多在有線網路上已經很成熟,但在許多單位的無線網路上卻並沒有得以實施。為了讓你的無線網路訪問更安全,不妨一試。
相關文章
- 保護無線網路安全連線九個技巧
- 保護好你的WIFI無線網路安全WiFi
- 如何保障無線網路的安全
- 網路安全防範技術主要包括哪些?如何保證網際網路安全?
- 保證網路安全有哪些方式?
- 計算機網路——如何保證網路傳輸的安全性計算機網路
- Win7如何保護你的無線網路Win7
- 網際網路的安全是如何保證的:TLS、SSL 和 CATLS
- 無線網路安全攻防
- 無線網路安全標準(轉)
- 三分鐘破解無線網——無線網路安全攻防
- 無線網路中如何選擇無線加密加密
- 無線網路安全隱藏電腦
- 無線網路安全的九項注意
- 工業機器人如何保證網路效能機器人
- 無線網路安全——1、WiFi安全基礎知識WiFi
- 微軟安全指南:制定安全無線網路策略(轉)微軟
- 無線網路安全六種簡單技巧
- Windows XP 無線網路安全精解(轉)Windows
- 如何保證MongoDB的安全性?MongoDB
- 如何保證Web伺服器安全Web伺服器
- 5G物聯網時代,如何保證智慧駕駛安全
- 如何申請SSL證書保護網路資訊保安
- 網際網路公司無線認證平臺好嗎
- VOIP連線員工,Juniper確保網路安全方案(轉)
- 雲網路對等連線產品的高可用保證
- Java何以保網路安全(轉)Java
- 無線網路安全防護建議詳解!
- 4步驟設定無線路由網路安全路由
- 三國殺之無線網路安全解析
- 無線網路安全設定的七點技巧
- 代理伺服器是如何保護網路安全的?伺服器
- gorm是如何保證協程安全的GoORM
- 如何保護SSL證書私鑰安全
- 比特幣是如何保證安全的?比特幣
- 【網路安全基礎】如何區分等保備案和等保測評?
- 網際網路公司無線認證平臺哪裡有
- 企業WiFi認證,如何保證企業WiFi安全?WiFi