如何保證無線網路安全

摘要：你是否想過怎樣讓自己的無線網路更安全?有人說，現在上網可以搜尋到關於Wi-Fi安全的大量資訊，如不要使用WEP，要使用WPA或WPA2，禁用SSID廣播，改變預設設定等。但僅有這些還是不夠的。為此，本文不再詳述這些基本技術，而是討論可增強無線網路安全的其它方面。

無線網路安全已經越發受到重視，隨著無線網路的普及，企業內部都已經開始出現了無線辦公的環境。那麼無線網路安全一旦遭到威脅，很有可能直接結果就是使企業敏感資訊遭到洩露。那麼我們如何保障無線網路安全呢？

無線網路安全：轉向企業級加密

如果你建立了一個WPA或WPA2的加密金鑰，並且在連線到某個無線網路時必須輸入這個金鑰，你所使用的就是WPA的預共享金鑰(PSK)模式。企業級網路，不管是大是小，都應當用企業模式進行保護，因為這種保護模式向無線連線過程增加了802.1X/EAP認證。使用者們不是在所有的計算機上輸入加密金鑰，而是通過一個使用者名稱和口令登入。加密金鑰是以隱藏方式安全地使用，並且對每一個使用者和會話都是唯一的。

這種方法提供了集中管理功能和更好的無線網路安全。

簡言之，僱員們和其它使用者在使用企業模式時，都通過其自己的賬號登入進入網路。在需要時，管理員可以輕易地改變或廢止其訪問。在僱員離職或膝上型電腦被盜時，這種方式非常有用。如果你現在正使用個人模式，你就需要在所有的電腦和接入點AP上改變加密金鑰。

企業模式的一個特別因素是RADIUS/AAA伺服器。它與網路中的接入點AP通訊，並查詢使用者的資料庫。在此，筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網路策略伺服器NPS。當然，你也可以考慮使用開源伺服器，如最流行的FreeRADIUS。如果你覺得建立一個身份驗證的伺服器需要花費太多的金錢，或者超過了你的預算，不妨考慮使用外購服務。

無線網路安全： 驗證物理上的安全性

無線安全並不僅僅是技術問題。你可以擁有最強健的Wi-Fi 加密，但是你又能如何阻止某人將電纜線接入到暴露的乙太網埠呢?或者有人經過某個接入點時按下了復位按鈕，將其恢復到了出廠設定，讓你的無線網路四門大開，你又該如何是好?

所以，請一定要保證你的接入點AP遠離公眾可以接觸的地方，也不要讓僱員隨意去擺弄它。不要把你的接入點放到桌子上，最起碼應該將其掛到牆上或天花板上，最好將其放到高於天花板的位置。

還可以考慮將接入點AP安裝在不易於被看到的地方，並安裝外部天線，這樣還可以獲得最強的訊號。如此一來，就可以在更大程度上限制接入點AP，同時，又可以獲得兩方面的好處，一是增加了覆蓋範圍，二是利用了較高的天線。

當然，你不能僅關注接入點。所有的網路連線元件都應當保證其安全。這甚至包括乙太網電纜的連線。雖然下面這種情況可能有點兒牽強，但是難道某個“不到黃河不死心”的傢伙就沒有切斷電纜接入自己的裝置的可能?。

在安裝過程中，應當對所有的接入點AP瞭如指掌。最好製作一張表格，記錄所有的接入點模組，連同它們的MAC地址和IP地址。還要標明其所在的位置。通過這種方法就可以確切地知道，在進行裝置清查或跟蹤有問題的接入點AP時，這些接入點到底在什麼地方。

無線網路安全： 安裝入侵檢測和(或)入侵防禦系統(即IDS和IPS)

這兩種系統通常靠一個軟體來工作，並且使用使用者的無線網路卡來嗅探無線訊號並查詢問題。這種系統可以檢測欺詐性的接入點。無論是向網路中接入一個新的接入點，還是一個現有的接入點將其設定改變為預設值，還是與使用者所定義的標準不匹配，IDS和IPS都可以檢測出來。

這種系統還可以分析網路資料包，檢視是否有人正在使用黑客技術或是正在實施干擾。

現在有很多種的入侵檢測和防禦系統，這些系統所使用的技術也各不相同。在此，筆者向您推薦兩開源的或免費的系統，即大名鼎鼎的Kidmet和Snort。現在網上有關於這兩個系統的大量教程，您不妨試試。當然，如果你願意花錢，還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。

無線網路安全： 構建無線使用策略

正如需要其它網路裝置的使用指南一樣，你也應當有一套針對無線訪問的使用策略，其中至少包括以下幾條：

①列示可獲得授權訪問無線網路的裝置：最好先禁用所有的裝置，在路由器上使用MAC地址的過濾功能來明確地指明准許哪些裝置訪問網路。雖然MAC地址可以被欺騙，但是這樣做顯然會控制僱員們正在網路上使用哪些裝置。所有被核准裝置的硬拷貝及其細節都應當加以保留，以便於在監視網路時以及為入侵檢測系統提供資料時進行比較。

②列示可通過無線連線訪問網路的人員：在使用802.1X認證時，在RADIUS伺服器中僅為那些需要無線訪問的人建立賬戶就可以實施這種控制。如果在有線網路上也使用802.1X認證，你必須指明使用者是否要接收有線或無線訪問，可以通過修改活動目錄或在RADIUS伺服器上使用認證策略達到這個目的。

③無線路由器或接入點AP的建立規則：例如，僅准許IT部門建立更多的接入點AP，因而不准許僱員隨意插入接入點Ap來增強和延伸訊號。對IT部門的內部而言，其規則最好包括定義可接受的裝置模式和配置等。

④使用Wi-Fi熱點或藉助公司裝置連線到家庭網路的規則：因為某個裝置或膝上型電腦

上的資料可以被破壞，而且在不安全的無線網路上需要監視網際網路活動，所以你可能會想到限制Wi-Fi連線僅給公司網路使用。可以藉助於Windows中的netsh實用程式，並通過運用網路過濾器來加以控制。還有另外一個選擇，即你可以要求一個到達公司網路的VPN連線，這樣至少可以保護網際網路活動，並可以遠端訪問檔案。

無線網路安全：使用SSL或Ipsec加密

雖然你可能正使用最新的、最強健的Wi-Fi加密(位於OSI模型的第二層上)，也不妨考慮實施另外一種加密機制，如IPSec(位於OSI模型的第三層上)。這樣做，不但可以在無線網路上提供雙重加密，還可以保證有線通訊的安全。這會防止僱員或外部人員隨意插入到裝置的乙太網埠進行竊聽。

雖然在這裡談到的這五種技術大多在有線網路上已經很成熟，但在許多單位的無線網路上卻並沒有得以實施。為了讓你的無線網路訪問更安全，不妨一試。