無線網(wǎng)絡(luò)應(yīng)用中安全管理幾點建議
現(xiàn)如今無線網(wǎng)絡(luò)越來越普及,在應(yīng)用方面,學(xué)習(xí)啦小編在這里給出幾點無線網(wǎng)絡(luò)應(yīng)用中安全管理建議。
使用無線加密協(xié)議
無線加密協(xié)議(WEP)是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法,它可以對每一個企圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識別,同時對網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。許多無線設(shè)備廠商為了使產(chǎn)品安裝簡單易行,都把他們產(chǎn)品的出廠配置設(shè)置成禁止WEP模式,這樣做最大的弊端是數(shù)據(jù)可以被直接從無線網(wǎng)絡(luò)上讀取,因此黑客從你的無線網(wǎng)絡(luò)建成開始就能立即掃描該無線網(wǎng)絡(luò)上的各類信息。使用無線加密協(xié)議盡管不是完美的方法,但如果能夠正確使用WEP的全部功能,那么WEP仍提供了在一定程度上比較合理的安全措施,對阻止黑客仍然有一定效用。
(注:在目前建議使用WPA等新一些的加密協(xié)議,WEP密鑰的破解已經(jīng)非常成熟,通常破解一個正在使用中的無線網(wǎng)的WEP密鑰2個小時就可以實現(xiàn),成功率是100%,而破解WPA則需要很長的時間和復(fù)雜的配置,成功率也低一些。)
關(guān)閉網(wǎng)絡(luò)線路
無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的一個最大的區(qū)別在于:無線網(wǎng)絡(luò)可以從天線允許范圍內(nèi)的任意一點接入,而有線網(wǎng)絡(luò)只有限定的若干固定的接入點。保障無線網(wǎng)絡(luò)的安全比保障有線網(wǎng)絡(luò)的安全要困難得多。保證無線接入點安全的關(guān)鍵是禁止非授權(quán)用戶訪問網(wǎng)絡(luò),即安全的接入點對非授權(quán)用戶是關(guān)閉的。
設(shè)計天線的放置位置
使無線接入點保持封閉的第一步是正確放置天線,從而限制能夠到達(dá)天線有效范圍的信號量。天線的理想位置是目標(biāo)覆蓋區(qū)域的中心,并使泄露到墻外的信號盡可能的少。不過,完全控制無線信號是幾乎不可能的,所以還需要同時采取其它一些措施來保證網(wǎng)絡(luò)安全。
禁用動態(tài)主機配置協(xié)議
無線網(wǎng)絡(luò)使用這個策略后,將迫使黑客去破解目標(biāo)的IP地址,子網(wǎng)掩碼,和其它必需的TCP/IP參數(shù)。因為即使黑客可以使用你的無線接入點,他還必需要知道你的IP地址。
禁用或修改SNMP設(shè)置
如果你的無線接入點支持SNMP(簡單網(wǎng)絡(luò)管理協(xié)議), 那么你需要禁用它或者修改默認(rèn)的公共和私有的標(biāo)識符。不這么做的話,黑客將可以利用SNMP獲取關(guān)于你網(wǎng)絡(luò)的重要信息。
盡量使用訪問列表
設(shè)置一個訪問列表可以更好地保護(hù)你的網(wǎng)絡(luò)。如果你能夠這樣做的話,你就可以使無線路由器只允許部分MAC地址的網(wǎng)絡(luò)設(shè)備進(jìn)行通訊,或者禁止那些黑名單中的MAC地址訪問。啟用MAC地址過濾,無線路由器獲取數(shù)據(jù)包后,就會對數(shù)據(jù)包進(jìn)行分析。如果此數(shù)據(jù)包是從所禁止的MAC地址列表中發(fā)送而來的,那么無線路由器就會丟棄此數(shù)據(jù)包,不進(jìn)行任何處理。因此對于惡意的主機,即使不斷改變IP地址也沒有用。但是,不是所有的無線接入點都支持這一功能,而且它必須手動輸入MAC地址過濾標(biāo)準(zhǔn)。支持這項功能的接入點可以利用TFTP(簡單文件傳輸協(xié)議)定期地來下載更新訪問列表,從而避免了必須使所有設(shè)備上的列表保持同步的巨大的管理工作量。
改變服務(wù)集標(biāo)識符并且禁止SSID廣播
服務(wù)集標(biāo)識符(SSID)是無線接入的身份標(biāo)識符,是無線網(wǎng)絡(luò)用于定位服務(wù)的一項功能,用戶用它來建立與接入點之間的連接,為了能夠進(jìn)行通訊,無線路由器和主機必須使用相同的SSID。這個身份標(biāo)識符是由通信設(shè)備制造商設(shè)置的,并且每個廠商都用自己的缺省值。例如,3COM的設(shè)備都用“101”。在通訊過程中,無線路由器首先廣播其SSID,任何在此接收范圍內(nèi)的主機都可以獲得SSID,使用此SSID值對自身進(jìn)行配置后就可以和無線路由器進(jìn)行通訊。知道這些標(biāo)識符的黑客可以不經(jīng)過授權(quán)就享受你的無線服務(wù)。盡管目前大部分無線路由器都已經(jīng)支持禁用自動廣播SSID功能,你仍需要給你的每個無線接入點設(shè)置一個唯一并且難以推測的SSID,同時盡可能禁止你的SSID向外廣播。這樣,你的無線網(wǎng)絡(luò)就不能通過廣播的方式來吸納更多用戶,這不是說你的網(wǎng)絡(luò)不可用,只是它不會出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。