Windows XP 無線網路安全精解(轉)

Windows XP 無線網路安全精解(轉)[@more@]

　　早期無線網路由於自身的特殊性和裝置昂貴的原因，一直沒有普遍開來，因此，無線的網路安全一直也沒有引起多少人的注意，隨著近幾年，無線網路裝置的價格一降再降，終於降到了大多數人可以接受的地步，而配置一個無線的網路也不需要具備以往的高階工程師技術，在Win XP下，只需要按照嚮導點選幾下滑鼠，用不了幾分鐘就可以建成一個無線網路，簡易就是不安全的代名詞，因此，無線網路的安全也越來越被人們所關注。

　　目前無線網路的主要風險體現在服務盜用、資料盜取，資料破壞、干擾正常服務幾個方面，這些在XP的無線網路裡同樣存在。為避免安全風險的威脅，我們將逐一進行分析。

　　還是應了上面的那句話：“簡易就是不安全的代名詞”，XP的無線安全風險的最大因素，恰恰是來自於XP最簡單易用的功能——“無線零配置”(WIRELESS? ZERO? CONFIGURATION)，由於接入點可以自動傳送接收訊號，因此XP客戶端一旦進入了無線網路訊號的覆蓋範圍，就可以自動建立連線，如果進入了多個無線網路的訊號覆蓋範圍，系統能自動與最近的接入點聯絡，並自動配置網路卡進行連線，完成後，在“可用網路”中將出現建立的連線的SSID，由於不少廠商使用網路卡的半個MAC地址來預設命名SSID，因此，使得SSID預設名可以推測，攻擊者知道了預設名稱後，至少連到接入點的網路是輕而易舉了。

　　主要的針對措施有三個：

　　1、啟用無線裝置的不廣播功能，不進行SSID的擴散。

　　這個功能需要在硬體裝置的選項裡尋找，啟用後將封閉網路，

　　這個時候想連線網路的人必須提供準確的網路名，而不是XP系統自動提供的網路名。

　　2、使用不規則網路名，禁止使用預設名。

　　如果不廣播了，攻擊者還是可以透過猜測網路名連入網路，因此有必要修改預設名。

　　這裡的不規則可以借鑑一下密碼設定技巧，不設定具有敏感資訊的網路名。

　　3、客戶端MAC地址過濾

　　設定只有具有指定的MAC的客戶端才可以連線接入點，可以將連入者進一步把關。

　　上面的三個辦法只是屬於XP無線安全的初級設定，不要指望設定了這三個步驟後就可以高枕無憂了，從目前的安全設定來看，雖然可以防備部分無線攻擊了，但是，由於並沒有對傳輸中的資料採取任何加密措施，因此，只要攻擊者使用一些特定的無線區域網工具，就可以抓取空中的各種資料包，透過對這些資料包的內容分析，可以獲得各種資訊，其中就包括SSID和MAC地址，因此前面的三個辦法對於這種攻擊就形同虛設了。我們下一步面臨的是無線傳輸的加密問題----WEP。

　　這是一個極具爭議的話題，因此，為避免走入誤區，我們將不對這個問題的強項和弱點一一詳細解釋，只一句話帶過：“WEP為無線區域網提供了從資料安全性、完整性到資料來源真實性較為全面的安全性，但是WEP的金鑰容易被攻擊者得到”。雖然目前針對這一點廠商有所加強，微軟也釋出了相關的升級包(KB826942，support.microsoft.com/default.aspx?scid=kb;zh-cn;826942)， 但是不能從根本上解決這個問題。

　　WEP執行於接入點，如果我們是在2000上啟用WEP，那麼必須使用客戶端軟體提供的共享金鑰，如果是使用的XP，就不需要了，系統會在第一次接入啟用WEP的時候進行提示，輸入金鑰後可繼續以下的配置：

　　1、開啟“網路連線”，點選無線網路卡的屬性。

　　2、選中“首選網路”，選中或新增一個條目，然後點選屬性。

　　3、開啟“無線網路屬性”後進行以下操作：

　　1)修改“網路名”

　　2)將“資料加密(WEP)”打勾

　　3)將“網路驗證”打勾

　　4)選擇匹配接入點的“金鑰格式”(ASCII或十六進位制)和“金鑰長度”(40或

　　104)。

　　5)需要輸入正確的“網路金鑰”

　　6)不選“自動選中金鑰”。

　　4、儲存關閉。

　　OK，針對XP下針對WEP的設定基本上就完成了，但是為了無線網路的更加穩固，

　　我們再看看其他需要注意的安全措施：

　　1、網路中儘可能包含一個驗證伺服器。

　　將網路配置成所有連線請求必須先透過驗證伺服器的驗證，

　　將大大提高無線網路的安全性。

　　2、每月修改一次WEP金鑰

　　因為WEP有記錄缺陷，所以最好每隔一段時間就修改一次WEP金鑰。

　　3、避免有線與無線網路互聯。

　　無線網路應該是獨立的，為避免互相牽連，避免增加安全風險，應將有線與無線網路分開，至少應該在二者之間建立防火牆。

　　4、建立VPN驗證

　　在接入點和網路之間再加入一臺VPN伺服器，這樣一來攻擊者可能可以接上接入點，但只是死蟹一隻，進不了網路，無法對網路搞任何破壞。

　　5、定期維護

　　維護的內容是檢查網路和審查日誌，

　　檢查網路可以使用一些攻擊無線網路的掃描工具，

　　Netstumbler(.netstumbler.com/">)

　　Kismet

　　審查日誌的重點是審查帳戶登陸事件。

　　最後附上Ed Bott的無線網路的檢查清單：

　　1、給接入點設定一個強壯的密碼。

　　2、禁用接入點的遠端管理功能。

　　3、無線網路裝置的韌體(FirmWare)保持升級到最新。

　　4、修改接入點的網路名的預設名。

　　5、使用MAC過濾控制

　　6、啟用WEP並設定強壯密碼。