你有没有想过如何让你的无线网络更安全?有人说现在在网上可以搜到很多关于Wi-Fi安全的信息,比如不用WEP,用WPA或者WPA2,禁用SSID广播,更改默认设置等等但是这些还不够。为此目的,
本文将不详细阐述这些基本技术,而是讨论可以增强无线网络安全性的其他方面。
1.转向企业加密。
如果您创建了WPA或WPA2加密密钥,并且在连接到无线网络时必须输入此密钥,则您使用的是WPA的预共享密钥(PSK)模式。企业级网络,无论大小,都应该受到企业模型的保护。
因为这种保护模式在无线连接过程中增加了802.1X/EAP身份验证。用户使用用户名和密码登录,而不是在所有计算机上输入加密密钥。加密密钥以隐藏的方式安全使用,并且对于每个用户和会话都是唯一的。
该方法提供了集中管理功能和更好的无线网络安全性。
简而言之,员工和其他用户在使用企业模型时通过自己的帐户登录网络。必要时,管理员可以轻松更改或撤销他们的访问权限。当员工离职或笔记本电脑被盗时,这种方法非常有用。如果您现在使用个人模式,
您需要更改所有计算机和接入点AP上的加密密钥。
企业模型的一个特殊因素是RADIUS/AAA服务器。它与网络中的接入点AP通信,并查询用户的数据库。这里,
建议你用windows server 2003的IAS或者Windows Sever 2008r网络策略服务器的NPS。当然也可以考虑使用开源服务器,比如现在最流行的FreeRADIUS。
如果您认为设置认证服务器的成本太高,或者超出了您的预算,请考虑使用外包服务。
2.验证物理安全性。
无线安全不仅仅是一个技术问题。你可以拥有最强的Wi-Fi加密,但你如何防止有人将电缆连接到暴露的以太网端口?或者当有人经过某个接入点并按下重置按钮时,它会恢复到出厂设置。
如果您的无线网络完全开放,您应该怎么办?
所以请确保自己的接入点AP远离大众,不要让员工随意摆弄。不要把你的接入点放在桌子上,至少要挂在墙上或者天花板上,最好放在天花板上方。
还可以考虑把接入点AP安装在不容易被看到的地方,安装外置天线,这样可以获得最强的信号。这样,可以更大程度地限制接入点AP,同时可以获得两个好处。首先,覆盖区域增加。
二是使用更高的天线。
当然,不能只关注接入点。所有网络连接组件都应受到保护。这甚至包括以太网电缆的连接。虽然下面的情况可能有点牵强,但是一个“不到黄河誓不罢休”的家伙,是不是有可能切断电缆,接入自己的设备?
在安装过程中,您应该对所有接入点AP了如指掌。最好制作一个表格来记录所有接入点模块,以及它们的MAC地址和IP地址。还要注明它的位置。这样,我们可以确切地知道,
在进行设备清点或跟踪有问题的接入点AP时,这些接入点在哪里?
3.安装入侵检测和/或入侵防御系统(即IDS和IPS)。
这两个系统通常由一个软件工作,利用用户的无线网卡来嗅探无线信号,发现问题。该系统可以检测欺诈性接入点。无论是新接入点连接到网络还是现有接入点将其设置更改为默认值,
仍然不符合用户定义的标准,IDS和IPS都可以检测到。
该系统还可以分析网络数据包,查看是否有人在使用黑客技术或进行干扰。
入侵检测和防御系统有很多种,这些系统使用的技术也各不相同。在这里,我向大家推荐两个开源或者免费的系统,分别是大名鼎鼎的Kidmet和Snort。现在网上有很多关于这两个系统的教程,你不妨试试。当然,
如果你愿意花钱,也可以考虑AirMagnet、AirDefence、气密等国外公司的产品。
4.建立无线使用策略
正如需要其它网络设备的使用指南一样,你也应当有一套针对无线访问的使用策略,其中至少包括以下几条:
列示可获得授权访问无线网络的设备:最好先禁用所有的设备,在路由器上使用MAC地址的过滤功能来明确地指明准许哪些设备访问网络。虽然MAC地址可以被欺骗,
但是这样做显然会控制雇员们正在网络上使用哪些设备。所有被核准设备的硬拷贝及其细节都应当加以保留,以便于在监视网络时以及为入侵检测系统提供数据时进行比较。
列示可通过无线连接访问网络的人员:在使用802.1X认证时,在RADIUS服务器中仅为那些需要无线访问的人创建账户就可以实施这种控制。如果在有线网络上也使用802.1X认证,
你必须指明用户是否要接收有线或无线访问,可以通过修改活动目录或在RADIUS服务器上使用认证策略达到这个目的。
无线路由器或接入点AP的建立规则:例如,仅准许IT部门建立更多的接入点AP,因而不准许雇员随意插入接入点Ap来增强和延伸信号。对IT部门的内部而言,其规则最好包括定义可接受的设备模式和配置等。
使用Wi-Fi热点或借助公司设备连接到家庭网络的规则:因为某个设备或笔记本电脑上的数据可以被破坏,而且在不安全的无线网络上需要监视互联网活动,所以你可能会想到限制Wi-Fi连接仅给公司网络使用。
可以借助于Windows中的netsh实用程序,并通过运用网络过滤器来加以控制。还有另外一个选择,即你可以要求一个到达公司网络的VPN连接,这样至少可以保护互联网活动,并可以远程访问文件。
5、使用SSL或Ipsec加密
虽然你可能正使用最新的、最强健的Wi-Fi加密(位于OSI模型的第二层上),也不妨考虑实施另外一种加密机制,如IPSec(位于OSI模型的第三层上)。这样做,不但可以在无线网络上提供双重加密,
还可以保证有线通信的安全。这会防止雇员或外部人员随意插入到设备的以太网端口进行窃听。
虽然在这里谈到的这五种技术大多在有线网络上已经很成熟,但在许多单位的无线网络上却并没有得以实施。为了让你的无线网络访问更安全,不妨一试。
