偶看新闻寻仙宝宝融合对话:Wifi
来源:百度文库 编辑:偶看新闻 时间:2024/05/07 09:17:39
Wi-Fi安全提示:十一项错误与正确的措施(2)
2011-12-12 10:50 核子可乐译 51CTO.com 我要评论(0) 字号:T | T
只要采取正确的保护措施,Wi-Fi完全可以具备相当程度的安全性。遗憾的是,网上总是充斥着种种过时的建议与虚构的指导。在本文当中,我将为大家总结数项正面与负面措施,希望能够切实为提高Wi-Fi安全性带来帮助。
AD:
6. 必须部署NAP或是NAC
在802.11i及WIPS之外,大家还应该考虑部署一套网络访问保护(简称NAP)或是网络访问控制(简称NAC)解决方案。它们能够为网络访问提供额外的控制力,即根据客户的身份及明确的相关管理政策为其分配权限。它们还具备一些特殊功能,用于隔离那些有问题的客户端并依照管理政策对这些问题进行修正。
有些NAC解决方案中可能还包含了网络入侵防御与检测功能,但大家一定要留意这些功能是否提供专门的无线保护机制。
如果大家在客户端中使用的是Windows Server 2008或更高版本以及Windows Vista系统或更高版本,那么微软的NAP功能也是值得考虑的。如果系统版本不符合以上要求,类似PacketFence这样的第三方开源解决方案同样能帮上大忙。
7. 不要相信隐藏SSID的功效
无线安全性领域有种说法,即禁用AP的SSID广播能够让我们的网络隐藏起来,或者至少将SSID隐藏起来,这样会使黑客难以找到目标。而事实上,这么做只会将SSID从AP列表中移除。802.11连接请求仍然包含在其中,而且在某些情况下,还会探测连接请求并响应发来的数据包。因此窃听者能够迅速找出那些"隐藏"着的SSID--尤其是在网络繁忙的时段--要做到这一点,一台完全合法的无线网络分析器就足够了。
有些人可能坚持认为禁用SSID广播还是能够提供某种程度上的安全保障的,但请大家记住,它同样会给网络的配置及性能带来负面影响。我们将不得不为客户端手动输入SSID,而客户端的配置也将变得更加复杂。这一切的一切最终会导致探测请求及响应数据包的增加,也就变相减少了可用的带宽。
8. 不要相信MAC地址过滤功能
无线安全领域的另一大习俗是将启用MAC地址过滤功能视为另一重安全保障,并认为这能有效控制客户端与网络之间的连通。这其中有一些道理,但请注意,窃听者们能够很轻松地监控MAC地址认证机制并将自己的计算机MAC地址修改为符合要求的内容。
因此,大家不该将保证安全的希望过多地寄托在MAC地址过滤功能上,而只应将其视为对内网计算机及终端设备用户的一种松散化管理。此外,大家还要考虑到管理MAC更新列表所带来的种种麻烦与不便。
9. 必须限制SSID用户的连接目标
许多网络管理员都忽视了一个简单但潜在威胁巨大的安全风险,即用户会有意无意地连接到邻近的或是某个未经授权的无线网络中,而这很可能引发对其计算机设备的入侵活动。在这方面,SSID过滤机制是规避风险的一大有效手段。以Windows Vista系统及其更高版本为例,我们可以使用Netsh wlan命令为SSID用户添加可搜索及可连接网络的过滤机制。对于台式机而言,我们则可以直接将除自设无线网络之外的全部SSID加以屏蔽。而在笔记本电脑方面,最好是屏蔽掉所有邻近网络的SSID,只保留周边热点及家用网络连接。
10. 必须保证网络组件的物理安全性
请记住,计算机安全保障的内容并不限于最新技术与加密手段。为自己的网络组件做好物理安保同样重要。确保每个接入点都部署在他人无法触碰(例如天花吊顶中)的位置,甚至可以考虑将大量AP设备安置在某个安全空间内,再甩一根天线摆在最利于信号传送的地方。如果这方面得不到良好贯彻,某些家伙将能够很方便地对AP设备进行重启并恢复默认设置,这样连接的通路也就被打开了。