本文是如何保证Wi-Fi无线
网络安全的,欢迎大家阅读
参考,希望能对您有所帮助。
Wi Fi天生容易被黑客窃听攻击。然而,如果你使用
正确的安全措施,Wi-Fi可以安全的。不幸的是,该
网站是完全过时的意见和误解,这里有一些事情,Wi-Fi应该做和不应该做的安全。
1。不要使用WEP
WEP(有线等效加密协议)是死的早。最没有经验的黑客可以快速并轻松突破基本加密。所以你不应该使用WEP的话。如果你使用WEP,立即
升级到WPA2(WiFi
保护接入)与802.1X身份
功能802.11i协议。如果你有旧设备和接入点不
支持WPA2,你会尝试升级
固件或只需更换设备。
2。不要使用WPA / WPA2-PSK
WPA / WPA2安全预共享密钥(PSK)
模式是企业或企业环境安全。使用此模式时,相同的预共享密钥必须进入每一个客户。因此,这个PSK已被
修改的时候,员工离职和客户丢失或被盗的关键。这是不现实的大多数环境中。
三.必须802.11i
WPA和WPA2安全的EAP(可
扩展身份协议)模式使用802.1x身份代替PSK,
用户提供自己的
登录证书的能力,如
用户名和
密码,和数字证书。
实际的加密密钥的变化规律和在后台进行交换。因此,改变或撤销用户访问,你需要做的事是对每一个客户而不是改变PSK中央
服务器修改登录证书。这种独特的每个过程的一个关键实践也防止用户听彼此的沟通现在,使用Firefox
插件Firesheep和Android
工具如droidsheep容易被窃听。
记住,为了达到尽可能最佳的安全,你应该使用WPA2与802.1x.the协议也被称为802.1i。
实施802.1x身份,你需要有一个半径/ AAA服务器。如果你
运行的是windowsserver2008和
操作系统以上的版本,你需要考虑使用网络
策略服务器(NPS)或网络身份服务早期服务器版本(IAS)。如果你不运行Windows服务器软件,你可以考虑
开源FreeRADIUS服务器软件的使用。
如果你运行一个windowsserver2008r2以上版本,您可以
设置802.1X客户端,通过组策略
连接到该地区。否则的话,你可以考虑采用第三方
解决方案帮助
配置这些客户。
4。必须保证802.1x客户端
安装的安全
WPA / WPA2 EAP模式依然容易受到中间人攻击。但是,你可以确保EAP安全防范这些攻击的客户端
安装程序。例如,在Windows的EAP的设置,你可以通过选择实现CA证书服务器证书验证,指定服务器的
地址,并
禁止它
提示用户信任新服务器和CA证书。
你也可以设置802.1X客户端,通过组策略连接到该地区,或使用Avenda quick1x的三方解决方案。
5。一定要使用无线入侵防御系统。
确保
无线网络安全不仅仅是试图对抗那些企图
访问网络。例如,黑客可以
创建一个虚假的接入点或者实施拒绝服务攻击。帮助
检测和打击这些攻击,你应该申请一个无线入侵防御系统(WIPS)和直接WIPS系统
方法。设计是不同的,但这些系统通常监测虚假接入点或恶意的行为,你报警,防止这些恶意行为。
There are many business vendors providing WIPS solutions, such as AirMagnet and AirTightNeworks.There is also the choice of open source software such as Snort.
6。一定要打瞌睡或NAC。
除了802.11i和在制品,应该考虑应用一个NAP(网络访问保护)和NAC(网络访问
控制)解决方案,这些解决方案提供了基于客户身份
情况的网络接入和
执行规定的政策政策的额外控制。这些解决方案包括隔离有问题的客户,提出补救措施让客户重新审视法规的能力。
一些NAC解决方案可能包括网络入侵预防和检测功能。然而,您必须确保该解决方案还专门用于无线保护。
如果你的客户机运行windowsserver2008或以上版本和Windows Vista以上的版本的
操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开放源代码软件的packetfence。
7。不要信任隐藏的SSID
一个虚假的无线安全的说法是,SSID广播,
关闭接入点会隐藏你的网络,或者至少可以隐藏你的SSID,这使得黑客找到你的网络困难。然而,这种做法只能
取消SSID的接入点的灯塔。它仍包含在802.11的相关要求,并在一些案例还包括探索中的请求和响应数据包。因此,窃听者可以使用一个合法的无线分析仪能够快速
发现在一个繁忙的网络隐藏SSID。
有些人可能认为,关闭SSID广播仍将提供另一层安全保护。但是,请记住,它可以对
网络设置和
性能产生负面
影响。您必须手动
输入SSID的客户端,使客户端的配置更加复杂,这也将导致在
搜索请求和响应包的增加,从而降低可用带宽。
8。不要信任MAC地址过滤
无线安全的另一个
错误的论点是使MAC(媒体访问控制)地址过滤,这将增加一层安全保护和控制,客户端可以连接到网络,有一定的真实性。但是,请记住,窃听者可以很容易地在网络上,然后更改您的
计算机的MAC地址授权MAC地址监控。
因此,您不认为Mac过滤可以为安全性和使用MAC地址过滤做很多事情,但是,您可以使用这种方法作为一种松散控制的方式,让用户使用哪个客户机和设备进入网络。但是,您也应该考虑保持最新mac列表所面临的
管理问题。
9。一定要限制网络SSID用户可以连接到
许多网络
管理员都忽略了一个简单的和有潜在危险的安全风险:用户有意或无意地连接到附近的或未经授权的无线网络,使他们的
电脑可以打开可能的入侵。然而,过滤SSID是一种方法来防止这种情况的发生。例如,在Windows Vista及以上,你可以使用netshwlan指令添加过滤器的SSID,用户可以看到和连接,台式电脑,你可以拒绝所有的SSID除了在你的无线网络的名称。
笔记本电脑,你可以简单地拒绝SSID附近的网络保持连接到热点和自己的网络。
10。必须对网络
组件的安全进行物理保护。
记住,计算机安全不仅仅是最新的技术和加密。这也是身体保证你的网络组件的安全非常重要。我们必须确保接入点放置在无法触及的地方,如吊顶或接入点放置在一个秘密的地方,然后天线用在最好的地方。如果它不安全,有人会很容易的接入点和接入点复位对供应商开放接入点的
默认值。
11。不要忘记保护移动客户
您的WiFi安全问题不应局限于您的网络,使用
智能手机、笔记本电脑和平板电脑的用户也必须受到保护,但当他们连接到WiFi热点或家庭
路由器时会发生什么呢你要确保自己的其他WiFi连接也防止入侵和窃听的安全。
不幸的是,要保证WiFi连接的安全性并不容易,这需要一个全面的方法,如提供和建议解决方案,以及教育用户关于WiFi安全风险和防御措施。
首先,所有的笔记本电脑和上网本应该有一个个人防火墙防止入侵。如果你运行windowsserve操作系统,你可以通过组策略执行此功能。你也可以使用windowsintune和其他解决方案在范围管理非计算机。
其次,你需要确保用户的网络通信进行加密防止
本地监听,并提供访问你的其他网络上的VPN网络。如果你不使用VPN内部对于这个
应用程序,你可以考虑使用hotspotshield或者Witopia外包服务。iOS(iPhone、iPad、Android和iPodtouch)和设备,你可以使用本地的VPN客户端软件,这些设备。然而,对于黑莓和WindowsPhone7设备,你必须设置一个
消息服务器和设置设备使用自己的VPN客户端软件。
您还应该确保面向Internet的服务是安全的。一旦用户不能使用VPN在公共网络上或不可靠的网络,你可以使用这项服务。例如,如果您提供的电子邮件地址您的
局域网、广域网或VPN,外,你应该确保SSL加密来防止地方窃听,窃听者的非可信网络可以捕捉用户的登录证书或信息。