Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7004
  • 博文数量: 1
  • 博客积分: 50
  • 博客等级: 民兵
  • 技术积分: 25
  • 用 户 组: 普通用户
  • 注册时间: 2012-12-08 00:13
文章分类
文章存档

2012年(1)

我的朋友
最近访客

分类: 网络与安全

2012-12-08 13:35:47

                                        无线安全与黑客

无线网络的安全
  
    由于无线网络使得雇员们在任何地点都能方便连入WLAN,因此无线网络在公司之间已经变得十分流行。但就像其它新技术一样无线网络在安全方面的考虑是不够周到的。这节将描述一些最普通的改进无线网络安全的方法。
  
    #MAC地址过滤
  
    这种方法将那些允许连入access point顾客的无线网卡的MAC地址列成一张表。如果存有多台access point,则在所有的这些access point上列表都有效。管理人们应该时刻注意列表是否被更改。尽管这种方法不是很牢靠(上面曾有谈到),但在过去它是种广泛使用的无线网络保安方法。 
  
    #WEP
  
    正如上面曾说的,WEP为顾客和access point之间的通讯提供数据编码的保护水平。值得一提的是WEP应该被开启,因为没有必要为攻击行为大开方便之门。需再次提醒的是:WEP不是万能的,甚至在有些类型的攻击下它很脆弱。
  
    #SSID(Network ID)
  
    为加强无线网络的安全,第一次的尝试是使用网络标识符(SSID)。当一位无线顾客想要与access point联系时,SSID在这期间将被传播。SSID是被固定编入access point和客户端设备的一个7位字符。通过使用SSID,仅有那些持有正确网络标识符的顾客才被允许与access point连接。在WEP启用后,SSID在传播中被从新编码,但如果攻击者拥有与设备的物理连接,他/她将能获取以明文保存的SSID。
  
    一旦SSID被某攻击者俘获,无线网络管理员人必须手工分配一个新的SSID。
    #防火墙
  
    使用防火墙来阻止对无线网络的非法存取可能是唯一的可靠手段。正如下面所提及的,对网络的存取需依靠IPSec,secure shell或VPN。这样,防火墙应该被配置成只允许指定的IPSec或secure shell通信。下面将解释从有线访问无线网络:
  
    1.无线顾客端认证并与无线access point关联。为保证更好的安全,access point应被配置成可过滤MAC地址。
  
    2.access point送一个请求给DHCP服务器。然后服务器为顾客分配网络地址。
  
    3.一旦网络地址被分配,无线顾客便已进入无线网络。为能存取有线网络,它可建立一条IPSec VPN通道或使用secure shell.
  
    为防火墙进行安全配置十分重要,只有这样所有的非法联接才会被拒绝。
  
    #网络桥接器[Access Points]
  
    Access Points应该被配置成能过滤MAC地址,尽管MAC地址能被欺骗(看上面)。如果允许与它非法物理连接,管理员们应确保AP被安置于一个安全的地方。
  
    我们知道通过telnet或浏览器或简单网管协议可配置AP。但这里推荐只通过telnet并禁止其他所有别的途径。
  
    #设计考虑[Design Considerations]
  
    在实施任何加强无线网络安全的措施前,适当地计划十分重要。适当计划能排除与无线网络被联系后可能存在的一些风险。 
  
    一些计划的要点:
  
    1.用VPN或访问控制列表保护你的无线网络。
  
    2.即使WEP被启用access point也不应该与内部的有线网络相连。
  
    3.无论怎样access point都不应放置在防火墙之后。
  
    4.无线客户应该通过secure shell,IP-Sec或virtual private network建立与网络的连接。这些方式提供了用户授权,认证和编码等措施来加固你的网络安全。
阅读(918) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:没有了

给主人留下些什么吧!~~