無線網(wǎng)絡(luò)安全—修改默認(rèn)設(shè)置

多數(shù)無線網(wǎng)絡(luò)的默認(rèn)設(shè)置并未發(fā)揮出最大的性能潛力，也沒有提供最大的安全保證，因此用戶在使用無線網(wǎng)絡(luò)時(shí)應(yīng)該修改其默認(rèn)設(shè)置，達(dá)到安全目的。

(1) 設(shè)置AP

許多或AP在出廠時(shí)，數(shù)據(jù)傳輸加密功能是關(guān)閉的，用戶在使用時(shí)應(yīng)開啟數(shù)據(jù)傳輸加密功能。

(2) 設(shè)置安全口令

修改無線路由器的默認(rèn)安全口令，不要設(shè)置過于簡單或常見的口令。

(3) 禁用或修改SNMP設(shè)置

如果用戶的無線接入點(diǎn)支持SNMP, 那么需要禁用它或者修改默認(rèn)的公共和私有的標(biāo)識(shí)符。避免黑客利用SNMP獲取關(guān)于用戶網(wǎng)絡(luò)的重要信息。

(4)禁用DHCP

DHCP功能可在無線局域網(wǎng)內(nèi)自動(dòng)為每臺(tái)電腦分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么別人就能很容易地使用你的。因此，禁用DHCP功能對(duì)而言很有必要。

(5) 隱藏SSID

在無線路由器的設(shè)置當(dāng)中，選擇“隱藏SSID”或“禁止SSID廣播”，這樣就不容易被“蹭網(wǎng)”者搜到。

(6) MAC地址過濾

啟用MAC地址過濾，可以阻止未經(jīng)授權(quán)的無線客戶端訪問AP及進(jìn)入內(nèi)網(wǎng)。路由器出廠時(shí)這種特性通常是關(guān)閉的，因此，需要用戶開啟該功能，通過啟用這種特性，并且只告訴路由器所允許的無線設(shè)備的MAC地址，用戶可以防止他人盜用自己的互聯(lián)網(wǎng)連接，從而提升安全性。

無線網(wǎng)絡(luò)安全—合理使用

(1) 在不使用網(wǎng)絡(luò)時(shí)將其關(guān)閉

如果用戶的并不需要每天24小時(shí)都提供服務(wù)，可以通過關(guān)閉它而減少被黑客們利用的機(jī)會(huì)。

(2) 調(diào)整路由器或AP設(shè)備放置位置

盡量把設(shè)備放置在房屋的中間而不是靠近窗戶的位置，達(dá)到減少信號(hào)覆蓋范圍。

(3) 定期進(jìn)行接入點(diǎn)檢查

對(duì)于使用無線網(wǎng)絡(luò)的企業(yè)，應(yīng)使用相應(yīng)的工具，定期進(jìn)行接入點(diǎn)檢查，檢查時(shí)，可以在一座小樓內(nèi)使用無線筆記本和軟件檢查，也可以使用管理應(yīng)用收集接入點(diǎn)的數(shù)據(jù)。通過定期檢查及時(shí)發(fā)現(xiàn)非法接入點(diǎn)，去除惡意設(shè)備，消除無線威脅。

無線網(wǎng)絡(luò)安全—數(shù)據(jù)加密

為保證數(shù)據(jù)不被非法讀取，而且在接入點(diǎn)和無線設(shè)備之間傳輸?shù)倪^程中不被修改，可以使用加密技術(shù)。從根本意義上講，加密與密碼相似，都是將數(shù)據(jù)轉(zhuǎn)換成只有合法接收者才能讀懂的符號(hào)。加密要求發(fā)送方和接收方都擁有密鑰，才能對(duì)傳輸數(shù)據(jù)進(jìn)行解碼。無線網(wǎng)絡(luò)目前使用的數(shù)據(jù)加密方式主要有如下幾種：

(1) WEP

在鏈路層采用RC4對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)和128位長度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解；鑰匙是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

(2) WPA

WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。

(3) WPA2

WPA2與WPA后向兼容，支持更高級(jí)的AES加密，能夠更好地解決的安全問題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁，但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府。

目前使用WPA2方式加密數(shù)據(jù)通訊可以為提供足夠的安全，但是WPA2方式還不是很成熟，并不是所有用戶都可以順利使用，部分無線設(shè)備也不支持WPA2加密，所以對(duì)于這些用戶和設(shè)備來說，只能被迫停留在不安全的技術(shù)上。

(4) 802.11i

IEEE 802.11i（當(dāng)接入點(diǎn)經(jīng)過Wi-Fi聯(lián)盟認(rèn)證時(shí)，它也被稱為WPA2）為數(shù)據(jù)加密采用了高級(jí)加密標(biāo)準(zhǔn)（AES）。AES是目前最嚴(yán)格的加密標(biāo)準(zhǔn)，而且這種方法從來沒有被破解過。

(5) WAPI

WAPI(WLAN Authentication and Privacy Infrastructure)，即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn) GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE Registration Authority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。

目前WEP加密方式已經(jīng)被黑客攻破，網(wǎng)上已經(jīng)有完整的破解攻略及攻擊軟件，WPA最近也出現(xiàn)了暴力破解的攻略，而WPA2、WAPI及802.11i目前還是非常安全的數(shù)據(jù)加密手段。

#p#

無線網(wǎng)絡(luò)安全—建立無線虛擬專用網(wǎng)

VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN功能雖然不屬于802.11標(biāo)準(zhǔn)定義下的技術(shù)，但它作為目前最常見的連接中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊技術(shù)，已經(jīng)成為無線路由器的一項(xiàng)基本功能。

如果客戶端因?yàn)檫^于陳舊或者驅(qū)動(dòng)程序不兼容而無法支持802.11i、WPA2或者WAPI，在這種情況下，VPN可以作為保護(hù)無線客戶端連接的備用解決方案，利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強(qiáng)安全管理，達(dá)到安全目的。

無線網(wǎng)絡(luò)安全—使用入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)的入侵事件。無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測加入了一些無線局域網(wǎng)的檢查和對(duì)破壞系統(tǒng)反應(yīng)的特性，可以監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警等。

目前，市場上常見的無線入侵檢測系統(tǒng)是AirdefenseRogueWatch和AirdefenseGuard。而一些無線入侵檢測系統(tǒng)也得到了Linux系統(tǒng)的支持。例如：自由軟件開放源代碼組織的Snort-Wireless和WIDZ。

無線網(wǎng)絡(luò)安全—針對(duì)無線網(wǎng)絡(luò)攻擊工具的防范

針對(duì)上一節(jié)所羅列的攻擊工具，提出相應(yīng)的防范措施，如下表3所示。

表 防范方法

[[29463]]

無線網(wǎng)絡(luò)安全—總結(jié)

對(duì)于一般用戶只需采用修改默認(rèn)設(shè)置及合理使用基本上能夠滿足安全要求；對(duì)于企業(yè)及政府應(yīng)根據(jù)安全等級(jí)要求來決定采用何種安全手段，如果無線網(wǎng)絡(luò)設(shè)備只支持WEP加密方式，則利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強(qiáng)安全管理，否則采用WPA2、WAPI等更加高級(jí)的加密方式，如果要求安全等級(jí)更高則還需配置專業(yè)系統(tǒng)來實(shí)現(xiàn)自動(dòng)檢測及自動(dòng)防御。

無線網(wǎng)絡(luò)隨著用戶對(duì)安全知識(shí)的了解及技術(shù)廠商對(duì)解決方案不斷的探索，基本上已經(jīng)具有全面的安全功能，如果得到正確的使用和妥善的保護(hù)，無論是普通用戶、企業(yè)還是政府都能夠放心享受無線網(wǎng)絡(luò)帶來的便利，在無線網(wǎng)絡(luò)上安全暢游。

【編輯推薦】

1. 巧用安全軟件防遭截屏
2. 無線網(wǎng)絡(luò)常見的攻擊工具
3. 淺析無線網(wǎng)絡(luò)存在的安全問題
4. 計(jì)算機(jī)安全之認(rèn)清木馬的原理
5. 移動(dòng)互聯(lián)網(wǎng)時(shí)代下的信息安全
6. 五種方法讓員工成為數(shù)據(jù)安全的保護(hù)神