你是否想過怎樣讓自己的無線網(wǎng)絡(luò)更安全?有人說�����,現(xiàn)在上網(wǎng)可以搜索到關(guān)于Wi-Fi安全的大量信息��,如不要使用WEP�,要使用WPA或WPA2,禁用SSID廣播���,改變默認設(shè)置等����。但僅有這些還是不夠的����。為此�,本文不再詳述這些基本技術(shù),而是討論可增強無線網(wǎng)絡(luò)安全的其它方面��。
1�����、 轉(zhuǎn)向企業(yè)級加密
如果你創(chuàng)建了一個WPA或WPA2的加密密鑰,并且在連接到某個無線網(wǎng)絡(luò)時必須輸入這個密鑰�,你所使用的就是WPA的預(yù)共享密鑰(PSK)模式。企業(yè)級網(wǎng)絡(luò)�,不管是大是小,都應(yīng)當用企業(yè)模式進行保護����,因為這種保護模式向無線連接過程增加了802.1X/EAP認證。用戶們不是在所有的計算機上輸入加密密鑰���,而是通過一個用戶名和口令登錄�����。加密密鑰是以隱藏方式安全地使用����,并且對每一個用戶和會話都是唯一的��。
這種方法提供了集中管理功能和更好的無線網(wǎng)絡(luò)安全���。
簡言之�����,雇員們和其它用戶在使用企業(yè)模式時��,都通過其自己的賬號登錄進入網(wǎng)絡(luò)�。在需要時,管理員可以輕易地改變或廢止其訪問�。在雇員離職或筆記本電腦被盜時,這種方式非常有用��。如果你現(xiàn)在正使用個人模式���,你就需要在所有的電腦和接入點AP上改變加密密鑰�����。
企業(yè)模式的一個特別因素是RADIUS/AAA服務(wù)器��。它與網(wǎng)絡(luò)中的接入點AP通信�����,并查詢用戶的數(shù)據(jù)庫。在此�,筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網(wǎng)絡(luò)策略服務(wù)器NPS。當然����,你也可以考慮使用開源服務(wù)器�����,如最流行的FreeRADIUS��。如果你覺得建立一個身份驗證的服務(wù)器需要花費太多的金錢�����,或者超過了你的預(yù)算���,不妨考慮使用外購服務(wù)。
2���、 驗證物理上的安全性
無線安全并不僅僅是技術(shù)問題�。你可以擁有最強健的Wi-Fi 加密��,但是你又能如何阻止某人將電纜線接入到暴露的以太網(wǎng)端口呢?或者有人經(jīng)過某個接入點時按下了復(fù)位按鈕����,將其恢復(fù)到了出廠設(shè)置,讓你的無線網(wǎng)絡(luò)四門大開,你又該如何是好?
所以��,請一定要保證你的接入點AP遠離公眾可以接觸的地方���,也不要讓雇員隨意去擺弄它�。不要把你的接入點放到桌子上�����,最起碼應(yīng)該將其掛到墻上或天花板上�����,最好將其放到高于天花板的位置�。
還可以考慮將接入點AP安裝在不易于被看到的地方,并安裝外部天線��,這樣還可以獲得最強的信號���。如此一來���,就可以在更大程度上限制接入點AP,同時�,又可以獲得兩方面的好處���,一是增加了覆蓋范圍��,二是利用了較高的天線�����。
當然����,你不能僅關(guān)注接入點。所有的網(wǎng)絡(luò)連接組件都應(yīng)當保證其安全���。這甚至包括以太網(wǎng)電纜的連接�。雖然下面這種情況可能有點兒牽強�,但是難道某個“不到黃河不死心”的家伙就沒有切斷電纜接入自己的設(shè)備的可能?。
在安裝過程中���,應(yīng)當對所有的接入點AP了如指掌�����。最好制作一張表格�����,記錄所有的接入點模塊�,連同它們的MAC地址和IP地址。還要標明其所在的位置�����。通過這種方法就可以確切地知道�����,在進行設(shè)備清查或跟蹤有問題的接入點AP時���,這些接入點到底在什么地方�。
3���、 安裝入侵檢測和(或)入侵防御系統(tǒng)(即IDS和IPS)
這兩種系統(tǒng)通?��?恳粋€軟件來工作,并且使用用戶的無線網(wǎng)卡來嗅探無線信號并查找問題���。這種系統(tǒng)可以檢測欺詐性的接入點�。無論是向網(wǎng)絡(luò)中接入一個新的接入點,還是一個現(xiàn)有的接入點將其設(shè)置改變?yōu)槟J值��,還是與用戶所定義的標準不匹配�����,IDS和IPS都可以檢測出來�。
這種系統(tǒng)還可以分析網(wǎng)絡(luò)數(shù)據(jù)包�����,查看是否有人正在使用黑客技術(shù)或是正在實施干擾���。
現(xiàn)在有很多種的入侵檢測和防御系統(tǒng)���,這些系統(tǒng)所使用的技術(shù)也各不相同。在此���,筆者向您推薦兩開源的或免費的系統(tǒng)�����,即大名鼎鼎的Kidmet和Snort?��,F(xiàn)在網(wǎng)上有關(guān)于這兩個系統(tǒng)的大量教程��,您不妨試試��。當然�,如果你愿意花錢����,還可以考慮AirMagnet、AirDefence�����、AirTight等國外公司的產(chǎn)品�。
4、 構(gòu)建無線使用策略
正如需要其它網(wǎng)絡(luò)設(shè)備的使用指南一樣���,你也應(yīng)當有一套針對無線訪問的使用策略�,其中至少包括以下幾條:
?、倭惺究色@得授權(quán)訪問無線網(wǎng)絡(luò)的設(shè)備:最好先禁用所有的設(shè)備,在路由器上使用MAC地址的過濾功能來明確地指明準許哪些設(shè)備訪問網(wǎng)絡(luò)�。雖然MAC地址可以被欺騙,但是這樣做顯然會控制雇員們正在網(wǎng)絡(luò)上使用哪些設(shè)備����。所有被核準設(shè)備的硬拷貝及其細節(jié)都應(yīng)當加以保留����,以便于在監(jiān)視網(wǎng)絡(luò)時以及為入侵檢測系統(tǒng)提供數(shù)據(jù)時進行比較�����。
?����、诹惺究赏ㄟ^無線連接訪問網(wǎng)絡(luò)的人員:在使用802.1X認證時��,在RADIUS服務(wù)器中僅為那些需要無線訪問的人創(chuàng)建賬戶就可以實施這種控制����。如果在有線網(wǎng)絡(luò)上也使用802.1X認證����,你必須指明用戶是否要接收有線或無線訪問,可以通過修改活動目錄或在RADIUS服務(wù)器上使用認證策略達到這個目的��。
?�、蹮o線路由器或接入點AP的建立規(guī)則:例如,僅準許IT部門建立更多的接入點AP�����,因而不準許雇員隨意插入接入點Ap來增強和延伸信號���。對IT部門的內(nèi)部而言�����,其規(guī)則最好包括定義可接受的設(shè)備模式和配置等��。
?���、苁褂肳i-Fi熱點或借助公司設(shè)備連接到家庭網(wǎng)絡(luò)的規(guī)則:因為某個設(shè)備或筆記本電腦上的數(shù)據(jù)可以被破壞���,而且在不安全的無線網(wǎng)絡(luò)上需要監(jiān)視互聯(lián)網(wǎng)活動���,所以你可能會想到限制Wi-Fi連接僅給公司網(wǎng)絡(luò)使用?��?梢越柚赪indows中的netsh實用程序�,并通過運用網(wǎng)絡(luò)過濾器來加以控制。還有另外一個選擇���,即你可以要求一個到達公司網(wǎng)絡(luò)的VPN連接����,這樣至少可以保護互聯(lián)網(wǎng)活動�����,并可以遠程訪問文件�。
5、使用SSL或Ipsec加密
雖然你可能正使用最新的����、最強健的Wi-Fi加密(位于OSI模型的第二層上)�����,也不妨考慮實施另外一種加密機制�,如IPSec(位于OSI模型的第三層上)。這樣做�����,不但可以在無線網(wǎng)絡(luò)上提供雙重加密,還可以保證有線通信的安全����。這會防止雇員或外部人員隨意插入到設(shè)備的以太網(wǎng)端口進行竊聽。
雖然在這里談到的這五種技術(shù)大多在有線網(wǎng)絡(luò)上已經(jīng)很成熟�,但在許多單位的無線網(wǎng)絡(luò)上卻并沒有得以實施。為了讓你的無線網(wǎng)絡(luò)訪問更安全����,不妨一試。
