Win7如何保護你的無線網路

clown_發表於2016-09-29

  1、 轉向企業級加密

  如果你建立了一個WPA或WPA2的加密金鑰,並且在連線到某個無線網路時必須輸入這個金鑰,你所使用的就是WPA的預共享金鑰(PSK)模式。企業級網路,不管是大是小,都應當用企業模式進行保護,因為這種保護模式向無線連線過程增加了802.1X/EAP認證。使用者們不是在所有的計算機上輸入加密金鑰,而是透過一個使用者名稱和口令登入。加密金鑰是以隱藏方式安全地使用,並且對每一個使用者和會話都是唯一的。

  這種方法提供了集中管理功能和更好的無線網路安全。

  簡言之,僱員們和其它使用者在使用企業模式時,都透過其自己的賬號登入進入網路。在需要時,管理員可以輕易地改變或廢止其訪問。在僱員離職或筆記本電腦被盜時,這種方式非常有用。如果你現在正使用個人模式,你就需要在所有的電腦和接入點AP上改變加密金鑰。

  企業模式的一個特別因素是RADIUS/AAA伺服器。它與網路中的接入點AP通訊,並查詢使用者的資料庫。在此,筆者建議你使用windows server 2003 的IAS或Windows Sever 2008 網路策略伺服器NPS。當然,你也可以考慮使用開源伺服器,如最流行的FreeRADIUS。如果你覺得建立一個身份驗證的伺服器需要花費太多的金錢,或者超過了你的預算,不妨考慮使用外購服務。

  2、 驗證物理上的安全性

  無線安全並不僅僅是技術問題。你可以擁有最強健的Wi-Fi 加密,但是你又能如何阻止某人將電纜線接入到暴露的乙太網埠呢?或者有人經過某個接入點時按下了復位按鈕,將其恢復到了出廠設定,讓你的無線網路四門大開,你又該如何是好?

  所以,請一定要保證你的接入點AP遠離公眾可以接觸的地方,也不要讓僱員隨意去擺弄它。不要把你的接入點放到桌子上,最起碼應該將其掛到牆上或天花板上,最好將其放到高於天花板的位置。

  還可以考慮將接入點AP安裝在不易於被看到的地方,並安裝外部天線,這樣還可以獲得最強的訊號。如此一來,就可以在更大程度上限制接入點AP,同時,又可以獲得兩方面的好處,一是增加了覆蓋範圍,二是利用了較高的天線。

  當然,你不能僅關注接入點。所有的網路連線元件都應當保證其安全。這甚至包括乙太網電纜的連線。雖然下面這種情況可能有點兒牽強,但是難道某個“不到黃河不死心”的傢伙就沒有切斷電纜接入自己的裝置的可能?。

  在安裝過程中,應當對所有的接入點AP瞭如指掌。最好製作一張表格,記錄所有的接入點模組,連同它們的MAC地址和IP地址。還要標明其所在的位置。透過這種方法就可以確切地知道,在進行裝置清查或跟蹤有問題的接入點AP時,這些接入點到底在什麼地方。

  3、 安裝入侵檢測和(或)入侵防禦系統(即IDS和IPS)

  這兩種系統通常靠一個軟體來工作,並且使用使用者的無線網路卡來嗅探無線訊號並查詢問題。這種系統可以檢測欺詐性的接入點。無論是向網路中接入一個新的接入點,還是一個現有的接入點將其設定改變為預設值,還是與使用者所定義的標準不匹配,IDS和IPS都可以檢測出來。

  這種系統還可以分析網路資料包,檢視是否有人正在使用駭客技術或是正在實施干擾。

  現在有很多種的入侵檢測和防禦系統,這些系統所使用的技術也各不相同。在此,筆者向您推薦兩開源的或免費的系統,即大名鼎鼎的Kidmet和Snort。現在網上有關於這兩個系統的大量教程,您不妨試試。當然,如果你願意花錢,還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產品。

  4、 構建無線使用策略

  正如需要其它網路裝置的使用指南一樣,你也應當有一套針對無線訪問的使用策略,其中至少包括以下幾條:

  ① 列示可獲得授權訪問無線網路的裝置:最好先停用所有的裝置,在路由器上使用MAC地址的過濾功能來明確地指明准許哪些裝置訪問網路。雖然MAC地址可以被欺騙,但是這樣做顯然會控制僱員們正在網路上使用哪些裝置。所有被核准裝置的硬複製及其細節都應當加以保留,以便於在監視網路時以及為入侵檢測系統提供資料時進行比較。

  ② 列示可透過無線連線訪問網路的人員:在使用802.1X認證時,在RADIUS伺服器中僅為那些需要無線訪問的人建立賬戶就可以實施這種控制。如果在有線網路上也使用802.1X認證,你必須指明使用者是否要接收有線或無線訪問,可以透過修改活動目錄或在RADIUS伺服器上使用認證策略達到這個目的。

  ③ 無線路由器或接入點AP的建立規則:例如,僅准許IT部門建立更多的接入點AP,因而不准許僱員隨意插入接入點Ap來增強和延伸訊號。對IT部門的內部而言,其規則最好包括定義可接受的裝置模式和配置等。

  ④ 使用Wi-Fi熱點或藉助公司裝置連線到家庭網路的規則:因為某個裝置或膝上型電腦上的資料可以被破壞,而且在不安全的無線網路上需要監視網際網路活動,所以你可能會想到限制Wi-Fi連線僅給公司網路使用。可以藉助於Windows中的netsh實用程式,並透過運用網路過濾器來加以控制。還有另外一個選擇,即你可以要求一個到達公司網路的VPN連線,這樣至少可以保護網際網路活動,並可以遠端訪問檔案。

  5、使用SSL或Ipsec加密

  雖然你可能正使用最新的、最強健的Wi-Fi加密(位於OSI模型的第二層上),也不妨考慮實施另外一種加密機制,如IPSec(位於OSI模型的第三層上)。這樣做,不但可以在無線網路上提供雙重加密,還可以保證有線通訊的安全。這會防止僱員或外部人員隨意插入到裝置的乙太網埠進行竊聽。

  雖然在這裡談到的這五種技術大多在有線網路上已經很成熟,但在許多單位的無線網路上卻並沒有得以實施。為了讓你的無線網路訪問更安全,不妨一試。

相關文章