细节五技术使无线网络更安全
你有没有想过如何让你的无线网络更安全有人说,现在的互联网可以搜索很多关于Wi-Fi的安全信息,如不使用WEP,使用WPA或WPA2,禁用SSID广播,改变默认设置,但是仅有这些是不够的。为此,本文没有详细说明这些基本技术,但对其他方面可以提高无线网络的安全。1。转到企业级加密
如果你创建的WPA或WPA2加密密钥,并连接到一个无线网络,您必须输入的关键。你使用预共享密钥(PSK)模式WPA。企业网络,无论是大的还是小的,应该由企业模式的保护,因为这种保护模式增加了802.1x / EAP认证的无线连接的过程,用户不输入加密密钥的所有计算机上登录,但通过用户名和密码的加密。关键是在安全的隐蔽的方式是每个用户的会话独特。
该方法提供了集中式管理功能,提高了无线网络的安全性。
总之,员工和其他用户使用自己的帐户,进入网络时,他们使用的企业模型。需要时,管理员可以很容易的修改或者废止其访问。这是非常有用的当员工离开或笔记本电脑是偷来的。如果您使用的是个人模式现在,您需要更改密码关键在所有的计算机和接入点AP。
一个企业的模式的特殊因素是半径/ AAA服务器。它与接入点AP在网络和查询用户的数据库。在这里,我建议你使用Windows Server 2003的IAS或Windows服务器2008r网络策略服务器。当然,你也可以考虑开放源服务器的使用,如最流行的文件。如果你认为它需要太多的钱来建立一个认证服务器,或超过了你的预算,可以考虑使用国外的服务。
2。验证物理安全性
无线安全不仅仅是一个技术问题。您可以拥有最强大的Wi-Fi加密,但如何阻止某人通过接入点访问以太网端口或暴露人员,按下复位按钮,将恢复到出厂设置,使您的无线网络四门打开,您呢
所以,一定要让你的接入点远离公众接触的地方,不要让员工随意做。不要把你的接入点放在桌子上,至少把它放在墙上或天花板上。最好把它放在天花板上。
您还可以考虑在不容易看到的地方安装接入点AP,并安装外部天线以获得最强的信号,这样我们就可以更大限度地限制接入点AP。同时,我们可以得到两个好处:一是增加覆盖率;二是使用更高的天线。
当然,你不能只关注接入点。所有的网络连接组件都应该保证是安全的。这甚至包括以太网电缆的连接。虽然这种情况可能有点牵强,但一个不放弃在黄河的家伙会不会切断电缆来访问他的设备呢
在安装过程中,所有的接入点AP,应该很好理解。这是最好的方式来记录所有的接入点模块,连同他们的MAC地址和IP地址。这也表明它的位置。通过这种方式,你可以知道接入点的确切位置在设备检查问题的接入点AP跟踪。
三.安装入侵检测和/或入侵防御系统(IDS和IPS)
这些系统通常在一个软件的工作,并使用用户的无线网卡嗅探无线信号和发现问题。该系统可以检测欺诈性接入点。无论是访问一个新的接入点的网络,还是现有的接入点更改其设置为默认值或不匹配的定义用户的标准,IDS和IPS可以检测。
该系统还可以分析网络数据包,查看是否有人使用黑客技术或正在实施干扰。
有许多种类的入侵检测和防御系统,而这些系统中使用的技术是不同的。在这里,我推荐两开源或免费的系统,著名的kidmet和Snort。现在有很多教程在这两个系统在互联网上,你不妨试试。当然,如果你愿意花钱,你也可以考虑AirMagnet,防空、密闭等国外公司的产品。
4,建立无线使用策略
正如您需要其他网络设备的指南一样,您也应该有一套无线访问的使用策略,至少包括以下几点:
(1)列出允许访问无线网络的设备。最好是关闭所有设备,并明确使用MAC地址过滤功能来指定访问网络的设备。虽然MAC地址可以被欺骗,显然控制什么设备的员工在网络上使用。所有复印件和经批准的设备细节应以比较它们的监测网络在为入侵检测系统提供数据。
2。它显示了可以通过无线连接访问网络的人。利用802.1x认证的时候,我们可以实现这种控制在RADIUS服务器只为那些需要无线接入创建帐户的人。如果802.1x认证也可用于有线网络,你必须说明用户是否想要接收有线或无线接入。这可以通过修改ActiveDirectory或在RADIUS服务器上使用身份验证策略来实现。
(3)无线路由器或访问点AP:建立规则,例如,只有IT部门可以允许建立更多的接入点AP,所以不允许员工插入和访问AP的随意性,增强和扩展信号。对IT部门的内部,最好的规则,包括定义可接受的设备模式和配置。
Wi-Fi热点或连接到家庭网络的规则使用公司设备的使用:由于设备或笔记本电脑中的数据可以被摧毁,但也需要监视无线网络中的网络活动是不安全的,所以你可能想限制Wi-Fi连接只使用网络公司。您可以在Windows中使用netsh实用和控制通过使用网络过滤器。还有另一个选择,那就是,你可以要求一个VPN连接到公司网络,这样至少可以保护互联网活动和访问远程计算机上的文件。
5。使用SSL或IPSec加密
虽然你可以使用最新的和最强大的Wi-Fi加密(在OSI模型的第二级),你也可以考虑实施另一种加密机制,如IPSec(在OSI模型的第三层),这样,既可以提供双重加密的无线网络,但也保证有线通信的安全,防止员工或外部人员随意听设备的以太网端口。
虽然这里提到的五种技术大部分已经在有线网络上成熟,但在无线网络的许多单元中都没有实现,为了使无线网络更安全,试试它。