如何保障WiFi网络安全
下面是OMG的小编辑器,用于收集和整理文章,希望对你有所帮助。WiFi本身注定是容易受到攻击和窃听活动的。然而,只要我们采取适当的保护措施,它仍然可以有相当的安全性,不幸的是,互联网上有太多过时的建议和虚构的指导。在这篇文章中,我将与大家分享一些积极和消极的措施,旨在帮助提高WiFi安全性。
1。不要使用WEP
WEP(有线等效安全保护机制)是过时的。它的底层加密机制现在是由一些有经验的黑客完全免费的。因此,你不应该再使用WEP。它是立即升级到WPA2我们选择(WiFi接入保护)的802.1x认证机制的保护。如果您使用的是客户端和接入点的老版本不支持WPA2,然后请立即升级固件或只需更换设备。
2。不要使用WPA / WPA2-PSK
预共享密钥(PSK)在WPA和WPA2模式是不安全的企业应用环境。使用此模式时,相同的预共享密钥必须进入每一个客户。也就是说,当员工离开或客户丢失或被盗,我们需要改变PSK对所有设备,这是大多数商业环境显然不现实。
三.必须采取802.11i
WPA和WPA2安全机制采用EAP(扩展认证协议)通过802.1x认证机制代替PSK模式,所以我们必须提供登录凭据每用户或客户的能力:用户名、密码和/或数字证书。真正的加密密钥将被修改,定期更换直接在背景,和用户甚至不会实现的过程。因此,改变或撤销用户的访问权限,我们只需要修改了中心服务器的登录凭证,不需要在每个客户端代替PSK。每个会话提供了独立的关键也避免了用户流量被窃听者--危险;mdash,就是现在非常简单的Firefox插件的帮助下Firesheep和Android应用droidsheep工具。使用802.1X认证机制,首先要有一套半径/ AAA服务器。如果您使用的是Windows Server 2008或更高版本的系列,你也可以考虑使用网络策略服务器(NPS)或Internet验证服务(IAS)的。那些不使用Windows服务器,开源服务器FreeRADIUS是最好的选择。
4。确保802.1x客户端获取正确的配置
在中间人攻击WPA / WPA2 EAP模式仍然是脆弱的,但它可以确保客户端配置正确或有效地防止这种威胁。例如,我们可以通过选择CA认证机制和Windows EAP设置指定服务器地址启用服务器证书验证。我们还可以通过提示新的受信任服务器或CA身份验证机制来禁止该机制。
我们还可以使用802.1x配置域客户端通过组策略或第三方解决方案如Avenda的quick1x。
5。无线入侵防御系统必须采用
在WiFi安全战争的内容不限于抗直接访问请求来自网络。例如,一个客户端可以设置恶意接入点或组织拒绝服务攻击。为了帮助自己发现和打击这种攻击,我们应该使用无线入侵防御系统(WIPS),WIPS运作模式设计,供应商不一样,但总的来说,该系统将监控的搜索行为,请及时通知我们,它可能会阻止一些流氓AP或恶意活动。
许多商业厂商提供的网路解决方案,如AirMagnet和airtightnetworks。有很多像Snort开源解决方案。
6。必须部署NAP或NAC
除了802.11i和在制品,你也应该考虑部署网络访问保护(NAP)或网络接入控制(NAC)的解决方案。他们可以是接入网络提供额外的控制,能根据客户的身份和相关的管理政策,明确分配给他们的权利,他们也有一些特殊的功能,用于隔离有问题的客户,修改与管理政策,根据这些问题。
一些NAC解决方案可能包含网络入侵预防和检测功能,但我们必须注意这些功能是否提供专门的无线保护机制。
如果你使用Windows Server 2008或更高版本客户端和Windows Vista系统或者更高的版本,那么微软的NAP功能也值得考虑。如果系统版本不符合上述要求,第三方开源解决方案也可以帮助像packetfence。
7。不相信隐藏SSID的疗效
在无线安全领域,就是说,禁用AP的SSID广播可以隐藏自己的网络,或隐藏SSID,至少,这将使黑客找到目标困难。事实上,这只会将SSID从AP list.802.11连接请求还包括,和某些情况下,连接请求进行检测和传入的数据包的回应。因此,窃听者可以很快的找到那些隐藏的的ssidmdash;mdash;尤其是在网络繁忙时期,要做到这一点,一个完全合法的无线网络分析仪是不够的。
有些人可能认为,SSID广播禁止仍然可以提供一定程度的安全,但请记住,它也会对网络的配置和性能带来负面影响。我们将不得不手动输入SSID的客户端,以及客户端的配置将变得更加复杂。所有这一切都将最终导致在检测的请求和响应数据包的增加,也减少了可用的带宽。
8。不要信任MAC地址过滤功能。
在无线安全领域的另一个主要的习惯是使用MAC地址过滤功能作为另一个安全的保障,并认为它能有效地控制客户端和网络之间的连接,这是有原因的,但请注意,窃听者可以很容易地监控MAC地址认证机制和修改计算机的MAC地址所需的内容。
因此,我们不应该对保证MAC地址过滤功能的安全性寄予太大的希望。我们应该把它看作是对内部网络计算机和终端设备用户的松散管理,此外,您还必须考虑管理mac更新列表带来的麻烦和不便。
9。必须限制SSID用户连接目标
许多网络管理员都忽略了一个简单但有潜在危险的安全风险,即用户将有意或无意地向周边或未经授权的无线网络,这很可能导致入侵他们的电脑设备。在这方面,SSID过滤机制是避免风险的有效手段。与Windows Vista系统及其高版本,例如,我们可以使用netsh wlan命令添加一个搜索和连接的SSID用户网络过滤机制。为桌面,我们可以屏蔽所有的SSID除了无线网络的笔记本电脑,最好是屏蔽所有SSID从相邻的网络,只保留周边热点家庭网络连接。
10。必须保证网络组件的物理安全性。
记住,计算机安全的内容并不局限于最新的技术和加密。这也是为你自己的网络组件的物理安全重要。确保每个接入点部署的位置没有人可以触摸(如天花板),甚至认为大量的AP设备放在一个安全的空间,然后一个天线放在信号传输的最有利的位置。如果这方面不到位,有些人将能够重新启动AP设备恢复默认设置方便,所以连接路径也开。
11。不要忘记保护移动客户端
在网络中,用户的智能手机、笔记本电脑和平板设备也必须注意安全点,因为他们将接入WiFi热点或家庭无线路由器也。它保护装置安全之外的无线连接是比较困难的,因为我们不仅要为用户提供建议和具体的解决方案,但也引导学生进行WiFi安全风险和防范措施。首先,所有的笔记本和上网本必须有一个个人防火墙。其次,我们必须确保用户的互联网流量是严格加密,防止犯罪分子听敏感信息利用VPN等网络。如果你不想使用内部的VPN,你可以考虑采用出来urced服务热点盾或者Witopia。iOS和Android设备,他们可以充分利用自己的VPN客户端,黑莓和Windows Phone 7的设备,我们必须建立一套完整的邮件服务器设置和设备配置,然后使用VPN客户端。