随便穿过一个本地的商业公园,我就筏县乐大约15个向公公开发的无线接入点,而其中几个不需要认证就可以访问公司的网络。如果你用无线网络接口打开你的笔迹本,并在城市里面走动,也没有什么太奇怪的。为了保住你的无线网络不受那些查找接入点的war-driver(译者注:War Driver就是携带着一台标准的手提电脑、无线NIC卡驾车在城市商业区四处游逛。这样就可以准确地确定所在地区内所有802.11网络的位置及它们是否使用WEP。)的影响,利用认证和加密等基础方法提高无线访问点的安全性非常重要。
无线访问点可以通过配置实现访问点SSID和域名的广播,而通常这是不需要的。通过关闭广播,你可以在很大程度上停止对外界公开你的网络。是的,SSID是在无线节点连接到无线网络的时候传输的,但是相比较之先它还是不常见的。SSID应该设置为不能描述企业信息,从而使黑客了解无线网络的所有者更加困难。
无线安全加密可以防御有人在数据传播的时候读取到,而且可以和有线等效保密(Wired Equivalent Privacy,WEP)、WPA、EAP-TLS或者虚拟专用网软件一起使用。WEP缺少真正的认证,而是使用静态加密密钥。而静态加密密钥只需要用免费软件在很短的时间内就可以获取到,对不断地窃听者提供的防护也很少。WPA要求认证,并使用较长的动态加密密钥,而它被攻击的可能也降低了。但是WPA确实要求兼容的客户端硬件和软件。EAP-TLS使用数字证书验证和加密使用SSL的无线流量,但是要求某种程度的复杂的PKI架构。
无线天线通常有电力设置,可以允许调整信号的传输强度。最好把天线调整为他们正好可以覆盖需要无线访问的范围,而不要进入可能潜伏了黑客的地方。
大多数的无线访问点还允许限制媒体存取控制(MAC)地址的访问。MAC地址是只 用于识别每个网络节点的硬件地址。但是要警惕,它也可以被攻击,使用的是可以捕获网络上允许的设备的MAC地址的被动无线嗅探器攻击。一旦获取到了,黑客就可以伪装他的MAC地址,而且也不会只限制在那一层了。限制MAC地址可以增加必须攻破的层,值得考虑使用。
这是对无线安全基础和风险的简要介绍,但是它可以让你全面地查看管理无线网络和无线访问点安全策略的时候肯定会面对的一些真实问题。
返回栏目页:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/