極速下載站 —— 提供優(yōu)質(zhì)軟件下載服務(wù),感受全新的極速下載體驗(yàn)!

最近更新 | 軟件專(zhuān)題 | 軟件分類(lèi) | 軟件排行

您的位置:極速下載站資訊首頁(yè)軟件教程電腦軟件教程 → 11個(gè)保護(hù)Wi-Fi無(wú)線(xiàn)網(wǎng)絡(luò)小技巧

11個(gè)保護(hù)Wi-Fi無(wú)線(xiàn)網(wǎng)絡(luò)小技巧

時(shí)間:2012-02-21 22:39:48  作者:不思議游戲  瀏覽量:73

Wi-Fi生來(lái)就容易受到黑客攻擊和竊聽(tīng)。但是,如果你使用正確的安全措施,Wi-Fi可以是安全的。遺憾的是網(wǎng)站上充滿(mǎn)了過(guò)時(shí)的忠告和誤區(qū)。下面是Wi-Fi安全中應(yīng)該做的和不應(yīng)該做的一些事情。

1.不要使用WEP

WEP(有線(xiàn)等效加密協(xié)議)安全早就死了。大多數(shù)沒(méi)有經(jīng)驗(yàn)的黑客能夠迅速地和輕松地突破基本的加密。因此,你根本就不應(yīng)該使用WEP。如果你使用WEP,請(qǐng)立即升級(jí)到具有802.1X身份識(shí)別功能的802.11i的WPA2(WiFi保護(hù)接入)協(xié)議。如果你有不支持WPA2的老式設(shè)備和接入點(diǎn),你要設(shè)法進(jìn)行固件升級(jí)或者干脆更換設(shè)備。

2.不要使用WPA/WPA2-PSK

WPA/WPA2安全的預(yù)共享密鑰(PSK)模式對(duì)于商務(wù)或者企業(yè)環(huán)境是不安全的。當(dāng)使用這個(gè)模式的時(shí)候,同一個(gè)預(yù)共享密鑰必須輸入到每一個(gè)客戶(hù)。因此,每當(dāng)員工離職和一個(gè)客戶(hù)丟失或失竊密鑰時(shí),這個(gè)PSK都要進(jìn)行修改。這在大多數(shù)環(huán)境中是不現(xiàn)實(shí)的。

3.一定要應(yīng)用802.11i

WPA和WPA2安全的EAP(可擴(kuò)展身份識(shí)別協(xié)議)模式使用802.1X身份識(shí)別,而不是PSK,向每一個(gè)用戶(hù)和客戶(hù)提供自己的登錄證書(shū)的能力,如用戶(hù)名和口令以及一個(gè)數(shù)字證書(shū)。

實(shí)際的加密密鑰是在后臺(tái)定期改變和交換的。因此,要改變或者撤銷(xiāo)用戶(hù)訪(fǎng)問(wèn),你要做的事情就是在中央服務(wù)器修改登錄證書(shū),而不是在每一臺(tái)客戶(hù)機(jī)上改變PSK。這種獨(dú)特的每個(gè)進(jìn)程一個(gè)密鑰的做法還防止用戶(hù)相互竊聽(tīng)對(duì)方的通訊。現(xiàn)在,使用火狐的插件Firesheep和Android應(yīng)用DroidSheep等工具很容易進(jìn)行竊聽(tīng)。

要記住,為了達(dá)到盡可能最佳的安全,你應(yīng)該使用帶802.1X的WPA2。這個(gè)協(xié)議也稱(chēng)作802.1i。

要實(shí)現(xiàn)802.1X身份識(shí)別,你需要擁有一臺(tái)RADIUS/AAA服務(wù)器。如果你在運(yùn)行WindowsServer2008和以上版本的操作系統(tǒng),你要考慮使用網(wǎng)絡(luò)政策服務(wù)器(NPS)或者早期服務(wù)器版本的互聯(lián)網(wǎng)身份識(shí)別服務(wù)(IAS)。如果你沒(méi)有運(yùn)行Windows服務(wù)器軟件,你可以考慮使用開(kāi)源FreeRADIUS服務(wù)器軟件。

如果你運(yùn)行WindowsServer2008R2或以上版本,你可以通過(guò)組策略把802.1X設(shè)置到區(qū)域連接在一起的客戶(hù)機(jī)。否則,你可以考慮采用第三方解決方案幫助配置這些客戶(hù)機(jī)。

4.一定要保證802.1X客戶(hù)機(jī)設(shè)置的安全

WPA/WPA2的EAP模式仍然容易受到中間人攻擊。然而,你可以通過(guò)保證客戶(hù)機(jī)EAP設(shè)置的安全來(lái)阻止這些攻擊。例如,在Windows的EAP設(shè)置中,你可以通過(guò)選擇CA證書(shū)、指定服務(wù)器地址和禁止它提示用戶(hù)信任新的服務(wù)器或者CA證書(shū)等方法實(shí)現(xiàn)服務(wù)器證書(shū)驗(yàn)證。

你還可以通過(guò)組策略把802.1X設(shè)置推向區(qū)域連接在一起的客戶(hù)機(jī),或者使用Avenda公司的Quick1X等第三方解決方案。

5.一定要使用一個(gè)無(wú)線(xiàn)入侵防御系統(tǒng)

保證WiFi網(wǎng)絡(luò)安全比抗擊那些直設(shè)法獲取網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限的企圖要做更多的事情。例如,黑客可以建立一個(gè)虛假的接入點(diǎn)或者實(shí)施拒絕服務(wù)攻擊。要幫助檢測(cè)和對(duì)抗這些攻擊,你應(yīng)該應(yīng)用一個(gè)無(wú)線(xiàn)入侵防御系統(tǒng)(WIPS)。廠(chǎng)商直接的WIPS系統(tǒng)的設(shè)計(jì)和方法是不同的,但是,這些系統(tǒng)一般都監(jiān)視虛假的接入點(diǎn)或者惡意行動(dòng),向你報(bào)警和可能阻止這些惡意行為。

有許多商業(yè)廠(chǎng)商提供WIPS解決方案,如AirMagnet和AirTightNeworks。還有Snort等開(kāi)源軟件的選擇。

6.一定要應(yīng)用NAP或者NAC

除了802.11i和WIPS之外,你應(yīng)該考慮應(yīng)用一個(gè)NAP(網(wǎng)絡(luò)接入保護(hù))或者NAC(網(wǎng)絡(luò)接入控制)解決方案。這些解決方案能夠根據(jù)客戶(hù)身份和執(zhí)行定義的政策的情況對(duì)網(wǎng)絡(luò)接入提供額外的控制。這些解決方案還包括隔離有問(wèn)題的客戶(hù)的能力以及提出補(bǔ)救措施讓客戶(hù)重新遵守法規(guī)的能力。

有些NAC解決方案可能包括網(wǎng)絡(luò)入侵防御和檢測(cè)功能。但是,你要保證這個(gè)解決方案還專(zhuān)門(mén)提供無(wú)線(xiàn)保護(hù)功能。

如果你的客戶(hù)機(jī)在運(yùn)行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系統(tǒng),你可以使用微軟的NAP功能。此外,你可以考慮第三方的解決方案,如開(kāi)源軟件的PacketFence。

7.不要信任隱藏的SSID

無(wú)線(xiàn)安全的一個(gè)不實(shí)的說(shuō)法是關(guān)閉接入點(diǎn)的SSID播出將隱藏你的網(wǎng)絡(luò),或者至少可以隱藏你的SSID,讓黑客很難找到你的網(wǎng)絡(luò)。然而,這種做法只是從接入點(diǎn)信標(biāo)中取消了SSID。它仍然包含在802.11相關(guān)的請(qǐng)求之中,在某些情況下還包含在探索請(qǐng)求和回應(yīng)數(shù)據(jù)包中。因此,竊聽(tīng)者能夠使用合法的無(wú)線(xiàn)分析器在繁忙的網(wǎng)絡(luò)中迅速發(fā)現(xiàn)“隱藏的”SSID。

一些人可能爭(zhēng)辯說(shuō),關(guān)閉SSID播出仍然會(huì)提供另一層安全保護(hù)。但是,要記住,它能夠?qū)W(wǎng)絡(luò)設(shè)置和性能產(chǎn)生負(fù)面影響。你必須手工向客戶(hù)機(jī)輸入SSID,這使客戶(hù)機(jī)的配置更加復(fù)雜。這還會(huì)引起探索請(qǐng)求和回應(yīng)數(shù)據(jù)包的增加,從而減少可用帶寬。

12下一頁(yè)>

相關(guān)資訊

相關(guān)軟件