Chinaunix首页 | 论坛 | 博客
  • 博客访问: 103606
  • 博文数量: 36
  • 博客积分: 1106
  • 博客等级: 少尉
  • 技术积分: 495
  • 用 户 组: 普通用户
  • 注册时间: 2012-10-16 10:33
文章分类
文章存档

2013年(3)

2012年(33)

我的朋友

分类: 网络与安全

2012-11-06 10:21:43

    相信很多人经历过被蹭网,现在市面上的蹭网软件也很普遍,怎样能保护自已的无线网络不被偷蹭?今天讲一讲网络安全策略之如何让无线网络更安全。


      你能不能想过怎样让自身的无线网络更安全?有人说,现在上网能够搜索到关于Wi-Fi安全的大量信息,如不要运用 WEP,要运用 WPA或WPA2,禁用SSID广播,改动默认配置等。但仅有这些仍旧不够的。为此,本文不再详述这些基本技能,而是探讨可增强无线网络安全的网络安全策略技巧。

  网络安全策略一、 转向企业级加密

  假如你建立了一个WPA或WPA2的加密密钥,并且在连接到某个无线网络时必须输入这个密钥,你所运用的就是WPA的预共享密钥(PSK)模式。企业级网络,不管是大是小,都应当用企业模式执行 保卫,因为这种保卫模式向无线连接流程添加了802.1X/EAP认证。用户们不是在所有的计算机上输入加密密钥,而是议决一个用户名和口令登录。加密密钥是以潜藏形式安全地运用,并且对每一个用户和会话都是独一的。

  这种要领提供了集中维护功能和更好的无线网络安全。

  简言之,雇员们和其它用户在运用企业模式时,都议决其自身的账号登录进入网络。在须要时,维护员能够轻易地改动或废止其访问。在雇员离职或笔记本计算机被盗时,这种形式特别有用。假如你现在正运用私人模式,你就须要在所有的计算机和接入点AP上改动加密密钥。

  企业模式的一个特别因素是RADIUS/AAA服务器。它与网络中的接入点AP通信,并查询用户的数据库。在此,网侠建议你运用 windows server 2003 的IAS或Windows Sever 2008r 网络管理策略服务器NPS。当然,你也能够思虑运用开源服务器,如最流行的FreeRADIUS。假如你觉得建立一个身份验证的服务器须要花费太多的金钱,或者超过了你的预算,不妨思虑运用外购服务。

  网络安全策略二、 验证物理上的安全性

  无线安全并不仅仅是技能疑问。你能够拥有最强健的Wi-Fi 加密,但是你又能怎么阻止某人将电缆线接入到暴露的以太网端口呢?或者有人经历某个接入点时按下了复位按钮,将其还原到了出厂配置,让你的无线网络四门大开,你又该怎么是好?

  所以,请必须要保证你的接入点AP远离大众能够接触的地点,也不要让雇员随意去摆弄它。不要把你的接入点放到桌子上,最起码应该将其挂到墙上或天花板上,最好将其放到高于天花板的位置。

  还能够思虑将接入点AP安装在不易于被看到的地点,并安装外部天线,这样还能够取得最强的信号。如此一来,就能够在更大程度上限定接入点AP,同时,又能够取得两方面的优点,一是添加了覆盖范围,二是运用 了较高的天线。

  当然,你不能 仅重视接入点。所有的网络连接组件都应当保证其安全。这甚至包含以太网电缆的连接。虽然下面这种情况可能有点儿牵强,但是难道某个“不到黄河不死心”的家伙就没有切断电缆接入自身的装备的可能?。

  在安装流程中,应当对所有的接入点AP了如指掌。最好打造一张表格,记载所有的接入点模块,连同它们的MAC地址和IP地址。还要标明其所在的位置。议决这种要领就能够确切地知晓,在执行 装备清查或跟踪有疑问的接入点AP时,这些接入点到底在什么地点。

  网络安全策略三、 安装入侵检测和(或)入侵防御系统(即IDS和IPS)

  这两种系统通常靠一个软件来工作,并且运用


  用户的无线网卡来嗅探无线信号并查找疑问。这种系统能够检测欺诈性的接入点。无论是向网络中接入一个新的接入点,仍旧一个现有的接入点将其配置改动为默认值,仍旧与用户所解释的准则 不匹配,IDS和IPS都能够检测出来。

  这种系统还能够剖析网络数据包,查看能不能有人正在运用黑客技能或是正在实施干扰。

  现在有许多种的入侵检测和防御系统,这些系统所运用的技能也各不相似。在此,网侠向您推选两开源的或不花钱的系统,即大名鼎鼎的Kidmet和Snort。现在网上相关于这两个系统的大量教程 ,您不妨试试。当然,假如你愿意花钱,还能够思虑 AirMagnet、AirDefence、AirTight等国外公司的产品。

   网络安全策略四、 构建无线运用策略

  正如须要其它网络装备的运用指南一样,你也应当有一套针对无线访问的网络管理策略,其中至少包含以下几条:

  ①列示可取得授权访问无线网络的装备:最好先禁用所有的装备,在路由器上运用 MAC地址的过滤功能来明确地指明准许哪些装备访问网络。虽然MAC地址能够被欺骗,但是这样做显然会控制雇员们正在网络上运用哪些装备。所有被核准装备的硬copy 及其细节都应当加以保存,以便于在监视网络时以及为入侵检测系统提供数据时执行 比较。

  ②列示可议决无线连接访问网络的人员:在运用 802.1X认证时,在RADIUS服务器中仅为那些须要无线访问的人建立账户就能够实施这种控制。假如在有线网络上也运用 802.1X认证,你必须指明用户能不能要接收有线或无线访问,能够议决修改活动目录或在RADIUS服务器上运用认证策略达到这个目标。

  ③无线路由器或接入点AP的建立准则:比方,仅准许IT部门建立更多的接入点AP,因而不准许雇员随意插入接入点Ap来增强和延伸信号。对IT部门的内部而言,其准则最好包含解释可接受的装备模式和配置等。

  ④运用 Wi-Fi热点或借助公司装备连接到家庭网络的准则:因为某个装备或笔记本计算机上的数据能够被破坏,并且在不安全的无线网络上须要监视互联网活动,所以你可能会想到限定 Wi-Fi连接仅给公司网络运用。能够借助于Windows中的netsh实用程序,并议决运用网络过滤器来加以控制。还有另外一个挑选,即你能够要求一个到达公司网络的VPN连接,这样至少能够保卫互联网活动,并能够远程访问文件。

   网络安全策略五、运用 SSL或Ipsec加密

  虽然你可能正运用最新的、最强健的Wi-Fi加密(位于OSI模型的第二层上),也不妨思虑实施另外一种加密机制,如IPSec(位于OSI模型的第三层上)。这样做,不但能够在无线网络上提供双重加密,还能够保证有线通信的安全。这会防止 雇员或外部人员随意插入到装备的以太网端口执行 窃听。

  虽然在这里谈到的这五种网络安全策略技能已经多在有线网络上已经很成熟,但在许多单位的无线网络上却并没有得以实施。为了让你的无线网络访问更安全,不妨一试。

阅读(1162) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~