教你保護WiFi無(wú)線(xiàn)網(wǎng)絡(luò )安全

　　Wi-Fi生來(lái)就容易受到黑客攻擊和偷聽(tīng)。但是，如果你使用正確的安全措施，Wi-Fi可以是安全的。下面是YJBYS小編整理的保護Wi-Fi無(wú)線(xiàn)網(wǎng)絡(luò )安全的相關(guān)知識，希望對你有幫助!

　　1.不要使用WEP

　　WEP(有線(xiàn)等效加密協(xié)議)安全早就死了。大多數沒(méi)有經(jīng)驗的黑客能夠迅速地和輕松地突破基本的加密。因此，你根本就不應該使用WEP。如果你使用WEP，請立即升級到具有802.1X身份識別功能的802.11i的WPA2(WiFi保護接入)協(xié)議。如果你有不支持WPA2的老式設備和接入點(diǎn)，你要設法進(jìn)行固件升級或者干脆更換設備。

　　2.不要使用WPA/WPA2-PSK

　　WPA/WPA2安全的預共享密鑰(PSK)模式對于商務(wù)或者企業(yè)環(huán)境是不安全的。當使用這個(gè)模式的時(shí)候，同一個(gè)預共享密鑰必須輸入到每一個(gè)客戶(hù)。因此，每當員工離職和一個(gè)客戶(hù)丟失或失竊密鑰時(shí)，這個(gè)PSK都要進(jìn)行修改。這在大多數環(huán)境中是不現實(shí)的。

　　3.一定要應用802.11i

　　WPA和WPA2安全的EAP(可擴展身份識別協(xié)議)模式使用802.1X身份識別，而不是PSK，向每一個(gè)用戶(hù)和客戶(hù)提供自己的登錄證書(shū)的能力，如用戶(hù)名和口令以及一個(gè)數字證書(shū)。

　　實(shí)際的加密密鑰是在后臺定期改變和交換的。因此，要改變或者撤銷(xiāo)用戶(hù)訪(fǎng)問(wèn)，你要做的事情就是在中央服務(wù)器修改登錄證書(shū)，而不是在每一臺客戶(hù)機上改變PSK。這種獨特的每個(gè)進(jìn)程一個(gè)密鑰的做法還防止用戶(hù)相互偷聽(tīng)對方的通訊�，F在，使用火狐的插件Firesheep和Android應用DroidSheep等工具很容易進(jìn)行偷聽(tīng)。

　　要記住，為了達到盡可能最佳的安全，你應該使用帶802.1X的WPA2。這個(gè)協(xié)議也稱(chēng)作802.1i。

　　要實(shí)現802.1X身份識別，你需要擁有一臺RADIUS/AAA服務(wù)器。如果你在運行WindowsServer2008和以上版本的操作系統，你要考慮使用網(wǎng)絡(luò )政策服務(wù)器(NPS)或者早期服務(wù)器版本的互聯(lián)網(wǎng)身份識別服務(wù)(IAS)。如果你沒(méi)有運行Windows服務(wù)器軟件，你可以考慮使用開(kāi)源FreeRADIUS服務(wù)器軟件。

　　如果你運行WindowsServer2008R2或以上版本，你可以通過(guò)組策略把802.1X設置到區域連接在一起的客戶(hù)機。否則，你可以考慮采用第三方解決方案幫助配置這些客戶(hù)機。

　　4.一定要保證802.1X客戶(hù)機設置的安全

　　WPA/WPA2的EAP模式仍然容易受到中間人攻擊。然而，你可以通過(guò)保證客戶(hù)機EAP設置的安全來(lái)阻止這些攻擊。例如，在Windows的EAP設置中，你可以通過(guò)選擇CA證書(shū)、指定服務(wù)器地址和禁止它提示用戶(hù)信任新的服務(wù)器或者CA證書(shū)等方法實(shí)現服務(wù)器證書(shū)驗證。

　　你還可以通過(guò)組策略把802.1X設置推向區域連接在一起的客戶(hù)機，或者使用Avenda公司的Quick1X等第三方解決方案。

　　5.一定要使用一個(gè)無(wú)線(xiàn)入侵防御系統

　　保證WiFi網(wǎng)絡(luò )安全比抗擊那些直設法獲取網(wǎng)絡(luò )訪(fǎng)問(wèn)權限的企圖要做更多的事情。例如，黑客可以建立一個(gè)虛假的接入點(diǎn)或者實(shí)施拒絕服務(wù)攻擊。要幫助檢測和對抗這些攻擊，你應該應用一個(gè)無(wú)線(xiàn)入侵防御系統(WIPS)。廠(chǎng)商直接的WIPS系統的設計和方法是不同的，但是，這些系統一般都監視虛假的接入點(diǎn)或者惡意行動(dòng)，向你報警和可能阻止這些惡意行為。

　　有許多商業(yè)廠(chǎng)商提供WIPS解決方案，如AirMagnet和AirTightNeworks。還有Snort等開(kāi)源軟件的選擇。

　　6.一定要應用NAP或者NAC

　　除了802.11i和WIPS之外，你應該考慮應用一個(gè)NAP(網(wǎng)絡(luò )接入保護)或者NAC(網(wǎng)絡(luò )接入控制)解決方案。這些解決方案能夠根據客戶(hù)身份和執行定義的政策的情況對網(wǎng)絡(luò )接入提供額外的控制。這些解決方案還包括隔離有問(wèn)題的客戶(hù)的能力以及提出補救措施讓客戶(hù)重新遵守法規的能力。

　　有些NAC解決方案可能包括網(wǎng)絡(luò )入侵防御和檢測功能。但是，你要保證這個(gè)解決方案還專(zhuān)門(mén)提供無(wú)線(xiàn)保護功能。

　　如果你的客戶(hù)機在運行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系統，你可以使用微軟的NAP功能。此外，你可以考慮第三方的解決方案，如開(kāi)源軟件的PacketFence。

　　7.不要信任隱藏的SSID

　　無(wú)線(xiàn)安全的一個(gè)不實(shí)的說(shuō)法是關(guān)閉接入點(diǎn)的SSID播出將隱藏你的網(wǎng)絡(luò )，或者至少可以隱藏你的SSID，讓黑客很難找到你的網(wǎng)絡(luò )。然而，這種做法只是從接入點(diǎn)信標中取消了SSID。它仍然包含在802.11相關(guān)的請求之中，在某些情況下還包含在探索請求和回應數據包中。因此，偷聽(tīng)者能夠使用合法的無(wú)線(xiàn)分析器在繁忙的網(wǎng)絡(luò )中迅速發(fā)現“隱藏的”SSID。

　　一些人可能爭辯說(shuō)，關(guān)閉SSID播出仍然會(huì )提供另一層安全保護。但是，要記住，它能夠對網(wǎng)絡(luò )設置和性能產(chǎn)生負面影響。你必須手工向客戶(hù)機輸入SSID，這使客戶(hù)機的配置更加復雜。這還會(huì )引起探索請求和回應數據包的增加，從而減少可用帶寬。

　　8.不要信任MAC地址過(guò)濾

　　無(wú)線(xiàn)安全的另一個(gè)不實(shí)的說(shuō)法是啟用MAC(媒體接入控制)地址過(guò)濾將增加另一層安全，控制哪一個(gè)客戶(hù)機能夠連接到這個(gè)網(wǎng)絡(luò )。這有一些真實(shí)性。但是，要記住，偷聽(tīng)者很容易監視網(wǎng)絡(luò )中授權的MAC地址并且隨后改變自己的計算機的MAC地址。

　　因此，你不要以為MAC過(guò)濾能夠為安全做許多事情而采用MAC地址過(guò)濾。不過(guò)，你可以把這種做法作為松散地控制用戶(hù)可以使用哪一臺客戶(hù)機和設備進(jìn)入網(wǎng)絡(luò )的方法。但是，你還要考慮保持MAC列表處于最新?tīng)顟B(tài)所面臨的管理難題。

　　9.一定要限制SSID用戶(hù)能夠連接的網(wǎng)絡(luò )

　　許多網(wǎng)絡(luò )管理員忽略了一個(gè)簡(jiǎn)單而具有潛在危險的安全風(fēng)險：用戶(hù)故意地或者非故意地連接到臨近的或者非授權的無(wú)線(xiàn)網(wǎng)絡(luò )，使自己的計算機向可能的入侵敞開(kāi)大門(mén)。然而，過(guò)濾SSID是防止發(fā)生這種情況的一個(gè)途徑。例如，在WindowsVista和以上版本中，你可以使用netshwlan指令向用戶(hù)能夠看到和連接的那些SSID增加過(guò)濾器。對于臺式電腦來(lái)說(shuō)，你可以拒絕你的無(wú)線(xiàn)網(wǎng)絡(luò )的那些SSID以外的所有的SSID。對于筆記本電腦來(lái)說(shuō)，你可以?xún)H僅拒絕臨近網(wǎng)絡(luò )的SSID，讓它們仍然連接到熱點(diǎn)和它們自己的網(wǎng)絡(luò )。

　　10.一定要物理地保護網(wǎng)絡(luò )組件的安全

　　要記住，計算機安全并不僅僅是最新的技術(shù)和加密。物理地保證你的網(wǎng)絡(luò )組件的安全同樣重要。要保證接入點(diǎn)放置在接觸不到的地方，如假吊頂上面或者考慮把接入點(diǎn)放置在一個(gè)保密的地方，然后在一個(gè)最佳地方使用一個(gè)天線(xiàn)。如果不安全，有人會(huì )輕松來(lái)到接入點(diǎn)并且把接入點(diǎn)重新設置到廠(chǎng)商默認值以開(kāi)放這個(gè)接入點(diǎn)。

【教你保護WiFi無(wú)線(xiàn)網(wǎng)絡(luò )安全】相關(guān)文章：

如何保護無(wú)線(xiàn)網(wǎng)絡(luò )安全連接11-08

筆記本電腦搜索不到無(wú)線(xiàn)wifi05-09

六招教你防止別人WIFI蹭網(wǎng)05-06

如何設置無(wú)線(xiàn)路由器實(shí)現wifi連接10-27

Win10共享WiFi無(wú)線(xiàn)網(wǎng)絡(luò )的方法09-18

保護思科無(wú)線(xiàn)企業(yè)網(wǎng)絡(luò )考試要點(diǎn)10-25

教你解決無(wú)線(xiàn)網(wǎng)絡(luò )無(wú)法連接故障問(wèn)題08-04

手把手教你如何破譯無(wú)線(xiàn)路由器密碼09-13

保護思科無(wú)線(xiàn)企業(yè)網(wǎng)絡(luò )考試要點(diǎn)（最新）09-05

四步教你輕松解決無(wú)線(xiàn)網(wǎng)絡(luò )故障09-09