【51CTO.com 12月12日外電頭條】只要采取正確的保護(hù)措施，Wi-Fi完全可以具備相當(dāng)程度的安全性。遺憾的是，網(wǎng)上總是充斥著種種過(guò)時(shí)的建議與虛構(gòu)的指導(dǎo)。在本文當(dāng)中，我將為大家總結(jié)數(shù)項(xiàng)正面與負(fù)面措施，希望能夠切實(shí)為提高Wi-Fi安全性帶來(lái)幫助。

[[52946]]

Wi-Fi自身的特性注定了它很容易遭受攻擊及竊聽(tīng)活動(dòng)的騷擾，但只要我們采取正確的保護(hù)措施，它仍然可以具備相當(dāng)程度的安全性。遺憾的是網(wǎng)上流傳著太多過(guò)時(shí)的建議與虛構(gòu)的指導(dǎo)，而我在本文中將與大家分享數(shù)項(xiàng)正面與負(fù)面措施，旨在為切實(shí)提高Wi-Fi安全性帶來(lái)幫助。

1. 不要使用WEP

WEP（即有線(xiàn)等效保密機(jī)制）保護(hù)早已過(guò)時(shí)，其底層加密機(jī)制現(xiàn)在已經(jīng)完全可以被一些沒(méi)啥經(jīng)驗(yàn)的初心者級(jí)黑客輕松打破。因此，大家不應(yīng)該再使用WEP。立即升級(jí)到由802.1X認(rèn)證機(jī)制保護(hù)的WPA2（即Wi-Fi接入保護(hù)）是我們的不二選擇。如果大家使用的是舊版客戶(hù)端或是接入點(diǎn)不支持WPA2，那么請(qǐng)馬上進(jìn)行固件升級(jí)或者干脆更換設(shè)備吧。（推薦閱讀：無(wú)線(xiàn)攻防:破解WEP密鑰（圖））

2. 不要使用WPA/WPA2-PSK

WPA以及WPA2中的預(yù)共享密鑰（簡(jiǎn)稱(chēng)PSK）模式對(duì)于商務(wù)或企業(yè)應(yīng)用環(huán)境不夠安全。在使用這一模式時(shí)，必須將同樣的預(yù)共享密鑰輸入到每個(gè)客戶(hù)端當(dāng)中。也就是說(shuō)每當(dāng)有員工離職或是某個(gè)客戶(hù)端遭遇丟失或被竊事件，我們都需要在全部設(shè)備上更改一次PSK，這對(duì)于大部分商務(wù)環(huán)境來(lái)說(shuō)顯然是不現(xiàn)實(shí)的。（推薦閱讀：完全教程 Aircrack-ng破解WEP、WPA-PSK加密利器）

3. 必須采用802.11i

WPA以及WPA2安全機(jī)制所采用的EAP（即擴(kuò)展認(rèn)證協(xié)議）模式通過(guò)802.1X認(rèn)證機(jī)制代替代替PSK，這樣我們就有能力為每位用戶(hù)或每個(gè)客戶(hù)端提供登錄憑證：用戶(hù)名、密碼以及/或者數(shù)字證書(shū)。真正的加密密鑰會(huì)定期修改，并在后臺(tái)直接進(jìn)行替換，使用者甚至不會(huì)意識(shí)到這一過(guò)程的發(fā)生。因此要改變或撤銷(xiāo)用戶(hù)的訪(fǎng)問(wèn)權(quán)限，我們只需在中央服務(wù)器上修改登錄憑證，而不必在每個(gè)客戶(hù)端中更換PSK。每次會(huì)話(huà)所配備的獨(dú)立密鑰也避免了用戶(hù)流量遭受竊聽(tīng)的危險(xiǎn)--這一點(diǎn)如今在火狐插件Firesheep以及Android應(yīng)用程序DroidSheep之類(lèi)工具的輔助之下已經(jīng)變得非常簡(jiǎn)單。要使用802.1X認(rèn)證機(jī)制，我們必須先擁有一套R(shí)ADUIS/AAA服務(wù)器。如果大家使用的是Windows Server 2008或是該系列的更高版本，也可以考慮使用網(wǎng)絡(luò)策略服務(wù)器（簡(jiǎn)稱(chēng)NPS）或是互聯(lián)網(wǎng)驗(yàn)證服務(wù)（簡(jiǎn)稱(chēng)IAS）的早期服務(wù)器版本。而對(duì)于那些沒(méi)有采用Windows Server的用戶(hù)來(lái)說(shuō)，開(kāi)源服務(wù)器FreeRADIUS是最好的選擇。

4. 保證802.1X客戶(hù)端得到正確的配置

WPA/WPA2的EAP模式在中間人攻擊面前仍然顯得有些脆弱，不過(guò)保證客戶(hù)端得到正確的配置還是能夠有效地防止此類(lèi)威脅。舉例來(lái)說(shuō)，我們可以在Windows的EAP設(shè)置中通過(guò)選擇CA認(rèn)證機(jī)制以及指定服務(wù)器地址來(lái)啟用服務(wù)器證書(shū)驗(yàn)證；也可以通過(guò)提示用戶(hù)新的受信任服務(wù)器或CA認(rèn)證機(jī)制來(lái)禁用該機(jī)制。

我們同樣可以將802.1X配置通過(guò)組策略或者像Avenda的Quick1X這樣的第三方解決方案應(yīng)用在域客戶(hù)端中。

5. 必須采用無(wú)線(xiàn)入侵防御系統(tǒng)

Wi-Fi安全保衛(wèi)戰(zhàn)的內(nèi)容可不僅僅局限于抵抗來(lái)自網(wǎng)絡(luò)的直接訪(fǎng)問(wèn)請(qǐng)求。舉例來(lái)說(shuō)，客戶(hù)們可能會(huì)設(shè)置惡意接入點(diǎn)或者組織拒絕服務(wù)攻擊。為了幫助自身檢測(cè)并打擊此類(lèi)攻擊行為，大家應(yīng)該采用無(wú)線(xiàn)入侵防御系統(tǒng)（簡(jiǎn)稱(chēng)WIPS）。WIPS的設(shè)計(jì)及運(yùn)作方式與供應(yīng)商提供的產(chǎn)品不太一樣，但總體來(lái)說(shuō)該系統(tǒng)會(huì)監(jiān)控搜索行為并及時(shí)向我們發(fā)出通知，而且有可能阻止某些流氓AP或惡意活動(dòng)的發(fā)生。

不少商業(yè)供應(yīng)商都在提供WIPS解決方案，例如AirMagnet公司及AirTightNetworks公司。像Snort這樣的開(kāi)源方案也有不少。#p#

6. 必須部署NAP或是NAC

在802.11i及WIPS之外，大家還應(yīng)該考慮部署一套網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)（簡(jiǎn)稱(chēng)NAP）或是網(wǎng)絡(luò)訪(fǎng)問(wèn)控制（簡(jiǎn)稱(chēng)NAC）解決方案。它們能夠?yàn)榫W(wǎng)絡(luò)訪(fǎng)問(wèn)提供額外的控制力，即根據(jù)客戶(hù)的身份及明確的相關(guān)管理政策為其分配權(quán)限。它們還具備一些特殊功能，用于隔離那些有問(wèn)題的客戶(hù)端并依照管理政策對(duì)這些問(wèn)題進(jìn)行修正。

有些NAC解決方案中可能還包含了網(wǎng)絡(luò)入侵防御與檢測(cè)功能，但大家一定要留意這些功能是否提供專(zhuān)門(mén)的無(wú)線(xiàn)保護(hù)機(jī)制。

如果大家在客戶(hù)端中使用的是Windows Server 2008或更高版本以及Windows Vista系統(tǒng)或更高版本，那么微軟的NAP功能也是值得考慮的。如果系統(tǒng)版本不符合以上要求，類(lèi)似PacketFence這樣的第三方開(kāi)源解決方案同樣能幫上大忙。

7. 不要相信隱藏SSID的功效

無(wú)線(xiàn)安全性領(lǐng)域有種說(shuō)法，即禁用AP的SSID廣播能夠讓我們的網(wǎng)絡(luò)隱藏起來(lái)，或者至少將SSID隱藏起來(lái)，這樣會(huì)使黑客難以找到目標(biāo)。而事實(shí)上，這么做只會(huì)將SSID從AP列表中移除。802.11連接請(qǐng)求仍然包含在其中，而且在某些情況下，還會(huì)探測(cè)連接請(qǐng)求并響應(yīng)發(fā)來(lái)的數(shù)據(jù)包。因此竊聽(tīng)者能夠迅速找出那些"隱藏"著的SSID--尤其是在網(wǎng)絡(luò)繁忙的時(shí)段--要做到這一點(diǎn)，一臺(tái)完全合法的無(wú)線(xiàn)網(wǎng)絡(luò)分析器就足夠了。

有些人可能堅(jiān)持認(rèn)為禁用SSID廣播還是能夠提供某種程度上的安全保障的，但請(qǐng)大家記住，它同樣會(huì)給網(wǎng)絡(luò)的配置及性能帶來(lái)負(fù)面影響。我們將不得不為客戶(hù)端手動(dòng)輸入SSID，而客戶(hù)端的配置也將變得更加復(fù)雜。這一切的一切最終會(huì)導(dǎo)致探測(cè)請(qǐng)求及響應(yīng)數(shù)據(jù)包的增加，也就變相減少了可用的帶寬。

8. 不要相信MAC地址過(guò)濾功能

無(wú)線(xiàn)安全領(lǐng)域的另一大習(xí)俗是將啟用MAC地址過(guò)濾功能視為另一重安全保障，并認(rèn)為這能有效控制客戶(hù)端與網(wǎng)絡(luò)之間的連通。這其中有一些道理，但請(qǐng)注意，竊聽(tīng)者們能夠很輕松地監(jiān)控MAC地址認(rèn)證機(jī)制并將自己的計(jì)算機(jī)MAC地址修改為符合要求的內(nèi)容。

因此，大家不該將保證安全的希望過(guò)多地寄托在MAC地址過(guò)濾功能上，而只應(yīng)將其視為對(duì)內(nèi)網(wǎng)計(jì)算機(jī)及終端設(shè)備用戶(hù)的一種松散化管理。此外，大家還要考慮到管理MAC更新列表所帶來(lái)的種種麻煩與不便。

9. 必須限制SSID用戶(hù)的連接目標(biāo)

許多網(wǎng)絡(luò)管理員都忽視了一個(gè)簡(jiǎn)單但潛在威脅巨大的安全風(fēng)險(xiǎn)，即用戶(hù)會(huì)有意無(wú)意地連接到鄰近的或是某個(gè)未經(jīng)授權(quán)的無(wú)線(xiàn)網(wǎng)絡(luò)中，而這很可能引發(fā)對(duì)其計(jì)算機(jī)設(shè)備的入侵活動(dòng)。在這方面，SSID過(guò)濾機(jī)制是規(guī)避風(fēng)險(xiǎn)的一大有效手段。以Windows Vista系統(tǒng)及其更高版本為例，我們可以使用Netsh wlan命令為SSID用戶(hù)添加可搜索及可連接網(wǎng)絡(luò)的過(guò)濾機(jī)制。對(duì)于臺(tái)式機(jī)而言，我們則可以直接將除自設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)之外的全部SSID加以屏蔽。而在筆記本電腦方面，最好是屏蔽掉所有鄰近網(wǎng)絡(luò)的SSID，只保留周邊熱點(diǎn)及家用網(wǎng)絡(luò)連接。

10. 必須保證網(wǎng)絡(luò)組件的物理安全性

請(qǐng)記住，計(jì)算機(jī)安全保障的內(nèi)容并不限于最新技術(shù)與加密手段。為自己的網(wǎng)絡(luò)組件做好物理安保同樣重要。確保每個(gè)接入點(diǎn)都部署在他人無(wú)法觸碰（例如天花吊頂中）的位置，甚至可以考慮將大量AP設(shè)備安置在某個(gè)安全空間內(nèi)，再甩一根天線(xiàn)擺在最利于信號(hào)傳送的地方。如果這方面得不到良好貫徹，某些家伙將能夠很方便地對(duì)AP設(shè)備進(jìn)行重啟并恢復(fù)默認(rèn)設(shè)置，這樣連接的通路也就被打開(kāi)了。

11. 不要忘記保護(hù)移動(dòng)客戶(hù)端

在網(wǎng)絡(luò)之外，用戶(hù)智能手機(jī)、筆記本電腦與平板設(shè)備也是我們必須關(guān)注的安全要點(diǎn)，因?yàn)樗鼈兺瑯訒?huì)接入Wi-Fi熱點(diǎn)或是家庭無(wú)線(xiàn)路由器。要保障Wi-Fi連接之外的設(shè)備安全其實(shí)是相當(dāng)困難的，因?yàn)槲覀儾粌H要為用戶(hù)提供建議及具體解決方案，還要對(duì)他們進(jìn)行Wi-Fi安全風(fēng)險(xiǎn)及預(yù)防措施的相關(guān)指導(dǎo)。首先，所有的筆記本及上網(wǎng)本必須要具備個(gè)人防火墻。其次，一定確保用戶(hù)的互聯(lián)網(wǎng)流量經(jīng)過(guò)嚴(yán)格加密，以防止犯罪分子通過(guò)在其它網(wǎng)絡(luò)上利用VPN發(fā)起訪(fǎng)問(wèn)來(lái)竊聽(tīng)我們的敏感信息。如果大家不想使用內(nèi)部VPN，那不妨考慮采納像Hotspot Shield或者Witopia這樣的外包服務(wù)。對(duì)于iOS及Android設(shè)備而言，則完全可以使用其自帶的VPN客戶(hù)端。而在黑莓及Windows Phone 7設(shè)備方面，大家就必須親手打造一套完善的郵件服務(wù)器設(shè)置與設(shè)備配置，進(jìn)而用上它們的VPN客戶(hù)端。

原文鏈接：http://www.cio.com/article/693420/Wi_Fi_Security_Tips_11_Do_s_and_Don_ts?page=1#slideshow

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】