教你怎樣保護(hù)Wi-Fi無線網(wǎng)絡(luò)安全

1、教你怎樣保護(hù) Wi-Fi 無線網(wǎng)絡(luò)安全本文為大家講解教你怎樣保護(hù) Wi-Fi 無線網(wǎng)絡(luò)安全。Wi-Fi 生來就容易受到黑客攻擊和竊聽。但是，如果你使用正確 的安全措施， Wi-Fi 可以是安全的。遺憾的是網(wǎng)站上充滿了過時的忠 告和誤區(qū)。下面是 Wi-Fi 安全中應(yīng)該做的和不應(yīng)該做的一些事情。1. 不要使用 WEPWEP（有線等效加密協(xié)議 ）安全早就死了。 大多數(shù)沒有經(jīng)驗的黑客 能夠迅速地和輕松地突破基本的加密。因此，你根本就不應(yīng)該使用 WEP。如果你使用 WEP ，請立即升級到具有 802.1X 身份識別功能 的 802.11i 的 WPA2（WiFi 保護(hù)接入 ） 協(xié)議。如果你有不支持 WP

2、A2 的老式設(shè)備和接入點(diǎn)，你要設(shè)法進(jìn)行固件升級或者干脆更換設(shè)備。2. 不要使用 WPA/WPA2-PSKWPA/WPA2 安全的預(yù)共享密鑰 （PSK）模式對于商務(wù)或者企業(yè)環(huán) 境是不安全的。 當(dāng)使用這個模式的時候， 同一個預(yù)共享密鑰必須輸入 到每一個客戶。因此，每當(dāng)員工離職和一個客戶丟失或失竊密鑰時， 這個 PSK 都要進(jìn)行修改。這在大多數(shù)環(huán)境中是不現(xiàn)實的。3. 一定要應(yīng)用 802.11iWPA 和 WPA2 安全的 EAP（可擴(kuò)展身份識別協(xié)議 ）模式使用 802.1X 身份識別，而不是 PSK，向每一個用戶和客戶提供自己的登 錄證書的能力，如用戶名和口令以及一個數(shù)字證書。實際的加密密鑰是在后臺

3、定期改變和交換的。 因此，要改變或者 撤銷用戶訪問， 你要做的事情就是在中央服務(wù)器修改登錄證書， 而不 是在每一臺客戶機(jī)上改變 PSK。這種獨(dú)特的每個進(jìn)程一個密鑰的做法 還防止用戶相互竊聽對方的通訊。現(xiàn)在，使用火狐的插件 Firesheep 和 Android 應(yīng)用 DroidSheep 等工具很容易進(jìn)行竊聽。要記住，為了達(dá)到盡可能最佳的安全，你應(yīng)該使用帶 802.1X 的 WPA2 。這個協(xié)議也稱作 802.1i 。要實現(xiàn) 802.1X 身份識別，你需要擁有一臺 RADIUS/AAA 服務(wù) 器。如果你在運(yùn)行 WindowsServer2008 和以上版本的操作系統(tǒng)， 你要考慮使用網(wǎng)絡(luò)政策服務(wù)

4、器 (NPS) 或者早期服務(wù)器版本的互聯(lián)網(wǎng) 身份識別服務(wù) (IAS) 。如果你沒有運(yùn)行 Windows 服務(wù)器軟件，你可 以考慮使用開源 FreeRADIUS 服務(wù)器軟件。如果你運(yùn)行 WindowsServer2008R2 或以上版本，你可以通過 組策略把 802.1X 設(shè)置到區(qū)域連接在一起的客戶機(jī)。否則，你可以考 慮采用第三方解決方案幫助配置這些客戶機(jī)。4. 一定要保證 802.1X 客戶機(jī)設(shè)置的安全WPA/WPA2 的 EAP 模式仍然容易受到中間人攻擊。 然而，你可 以通過保證客戶機(jī) EAP 設(shè)置的安全來阻止這些攻擊。例如，在 Windows 的 EAP 設(shè)置中， 你可以通過選擇 CA

5、證書、指定服務(wù)器地 址和禁止它提示用戶信任新的服務(wù)器或者 CA 證書等方法實現(xiàn)服務(wù)器 證書驗證。你還可以通過組策略把 802.1X 設(shè)置推向區(qū)域連接在一起的客戶機(jī)，或者使用 Avenda 公司的 Quick1X 等第三方解決方案。5. 一定要使用一個無線入侵防御系統(tǒng)保證 WiFi 網(wǎng)絡(luò)安全比抗擊那些直設(shè)法獲取網(wǎng)絡(luò)訪問權(quán)限的企圖 要做更多的事情。 例如，黑客可以建立一個虛假的接入點(diǎn)或者實施拒 絕服務(wù)攻擊。 要幫助檢測和對抗這些攻擊， 你應(yīng)該應(yīng)用一個無線入侵 防御系統(tǒng) （WIPS） 。廠商直接的 WIPS 系統(tǒng)的設(shè)計和方法是不同的， 但是，這些系統(tǒng)一般都監(jiān)視虛假的接入點(diǎn)或者惡意行動， 向你報警和

6、可能阻止這些惡意行為。有許多商業(yè)廠商提供 WIPS 解決方案，如 AirMagnet 和 AirTightNeworks 。還有 Snort 等開源軟件的選擇。6. 一定要應(yīng)用 NAP 或者 NAC除了 802.11i 和 WIPS 之外，你應(yīng)該考慮應(yīng)用一個 NAP（ 網(wǎng)絡(luò)接 入保護(hù)）或者 NAC（ 網(wǎng)絡(luò)接入控制 ）解決方案。這些解決方案能夠根據(jù) 客戶身份和執(zhí)行定義的政策的情況對網(wǎng)絡(luò)接入提供額外的控制。 這些 解決方案還包括隔離有問題的客戶的能力以及提出補(bǔ)救措施讓客戶 重新遵守法規(guī)的能力。有些 NAC 解決方案可能包括網(wǎng)絡(luò)入侵防御和檢測功能。但是， 你要保證這個解決方案還專門提供無線保護(hù)功能。

7、如果你的客戶機(jī)在運(yùn)行 WindowsServer2008 或以上版本以及 WindowsVista 或以上版本的操作系統(tǒng)，你可以使用微軟的 NAP 功 能。此外，你可以考慮第三方的解決方案，如開源軟件的PacketFence 。7. 不要信任隱藏的 SSID無線安全的一個不實的說法是關(guān)閉接入點(diǎn)的 SSID 播出將隱藏你 的網(wǎng)絡(luò)，或者至少可以隱藏你的 SSID ，讓黑客很難找到你的網(wǎng)絡(luò)。 然而，這種做法只是從接入點(diǎn)信標(biāo)中取消了SSID 。它仍然包含在802.11 相關(guān)的請求之中，在某些情況下還包含在探索請求和回應(yīng)數(shù) 據(jù)包中。因此，竊聽者能夠使用合法的無線分析器在繁忙的網(wǎng)絡(luò)中迅 速發(fā)現(xiàn)“隱藏的”

8、SSID。一些人可能爭辯說，關(guān)閉 SSID 播出仍然會提供另一層安全保護(hù)。 但是，要記住， 它能夠?qū)W(wǎng)絡(luò)設(shè)置和性能產(chǎn)生負(fù)面影響。你必須手工 向客戶機(jī)輸入 SSID ，這使客戶機(jī)的配置更加復(fù)雜。這還會引起探索 請求和回應(yīng)數(shù)據(jù)包的增加，從而減少可用帶寬。8. 不要信任 MAC 地址過濾無線安全的另一個不實的說法是啟用 MAC（媒體接入控制 ）地址 過濾將增加另一層安全， 控制哪一個客戶機(jī)能夠連接到這個網(wǎng)絡(luò)。 這 有一些真實性。 但是，要記住，竊聽者很容易監(jiān)視網(wǎng)絡(luò)中授權(quán)的 MAC 地址并且隨后改變自己的計算機(jī)的 MAC 地址。因此，你不要以為 MAC 過濾能夠為安全做許多事情而采用 MAC 地址過濾

9、。不過，你可以把這種做法作為松散地控制用戶可以使用哪 一臺客戶機(jī)和設(shè)備進(jìn)入網(wǎng)絡(luò)的方法。但是，你還要考慮保持 MAC 列 表處于最新狀態(tài)所面臨的管理難題。9. 一定要限制 SSID 用戶能夠連接的網(wǎng)絡(luò)許多網(wǎng)絡(luò)管理員忽略了一個簡單而具有潛在危險的安全風(fēng)險： 用 戶故意地或者非故意地連接到臨近的或者非授權(quán)的無線網(wǎng)絡(luò)， 使自己 的計算機(jī)向可能的入侵敞開大門。然而，過濾 SSID 是防止發(fā)生這種 情況的一個途徑。例如，在 WindowsVista 和以上版本中，你可以 使用 netshwlan 指令向用戶能夠看到和連接的那些 SSID 增加過濾 器。對于臺式電腦來說，你可以拒絕你的無線網(wǎng)絡(luò)的那些 SSI

10、D 以外 的所有的 SSID 。對于筆記本電腦來說，你可以僅僅拒絕臨近網(wǎng)絡(luò)的 SSID，讓它們?nèi)匀贿B接到熱點(diǎn)和它們自己的網(wǎng)絡(luò)。10. 一定要物理地保護(hù)網(wǎng)絡(luò)組件的安全要記住， 計算機(jī)安全并不僅僅是最新的技術(shù)和加密。 物理地保證 你的網(wǎng)絡(luò)組件的安全同樣重要。要保證接入點(diǎn)放置在接觸不到的地 方，如假吊頂上面或者考慮把接入點(diǎn)放置在一個保密的地方， 然后在 一個最佳地方使用一個天線。 如果不安全， 有人會輕松來到接入點(diǎn)并 且把接入點(diǎn)重新設(shè)置到廠商默認(rèn)值以開放這個接入點(diǎn)。11. 不要忘記保護(hù)移動客戶你的 WiFi 安全的擔(dān)心不應(yīng)該僅限于你的網(wǎng)絡(luò)。使用智能手機(jī)、 筆記本電腦和平板電腦的用戶也許也要得到保護(hù)。

11、 但是，在他們連接 到 WiFi 熱點(diǎn)或者自己家里的路由器的時候會怎樣呢 ?你要保證他們 其它的 WiFi 連接也是安全的以防止入侵和竊聽。遺憾的是保證 WiFi 連接外部的安全并不是一件容易的事情。這 需要采取綜合性的方法，如提供和推薦解決方案以及教育用戶有關(guān) WiFi 安全風(fēng)險和防御措施等。首先，所有的筆記本電腦和上網(wǎng)本都應(yīng)該有一個個人防火墻以防 止入侵。如果你運(yùn)行 WindowsServe 操作系統(tǒng)，你可以通過組策略 強(qiáng)制執(zhí)行這個功能， 你還可以使用 WindowsIntune 等解決方案管理 非范圍內(nèi)的名計算機(jī)。其次，你需要保證用戶的互聯(lián)網(wǎng)通訊是加密的以防止本地竊聽， 同時在其它網(wǎng)絡(luò)上提供訪問你的網(wǎng)絡(luò)的 (虛擬專用網(wǎng) )接入。如果你不 為這種應(yīng)用使用內(nèi)部的， 可以考慮使用 HotspotShield 或者 Witopia 等外包服務(wù)。對于 iOS(iPhone 、iPad 和 iPodTouch) 和 Android 設(shè) 備來說，你可以使用這些設(shè)備本地的客戶端軟件。然而，對于黑莓和 WindowsPhone7 設(shè)備來說，你必須設(shè)置一個消息服務(wù)器并且設(shè)置 這個設(shè)備使用自己的客戶端軟件。你還應(yīng)該保證你的面向互聯(lián)網(wǎng)的服務(wù)是安