保護無線網(wǎng)絡安全首先需要采取與保護傳統(tǒng)網(wǎng)絡相同的安全措施�����,然后才是其他的一些特別措施��。在非無線網(wǎng)絡領域中需要考慮的問題�,在面對無線網(wǎng)絡和設備時同樣需要你加以考慮:足夠強度的加密,妥善保存證書�����,以及保證操作安全�。
相對于有線網(wǎng)絡,無線網(wǎng)絡安全并不是另一種網(wǎng)絡安全��,而是更為全面可靠的網(wǎng)絡安全���。
不要破壞自己的防火墻幾乎可以肯定無論對于有線還是無線網(wǎng)絡����,你都已經(jīng)安裝了防火墻��,這絕對是正確的��。然而�,如果你沒有將無線系統(tǒng)接入點放置在防火墻之外,則防火墻的配置無濟于事�。應當確保不會出現(xiàn)這樣的情況,否則你不僅不能為網(wǎng)絡創(chuàng)建一道必要的屏障���,相反還從已有的防火墻上打開了一條便利的通道����。
不要小看介質訪問控制介質訪問控制(Media Access Control 即MAC)常常被忽略,原因是它并不能防止欺騙行為����。但對于整個保護系統(tǒng)的壁壘來說,它無疑是一塊重要的磚����。從本質上它是另一種地址過濾器,并且能夠阻止?jié)撛诘暮诳偷娜肭中袆?��。它所做的是根?jù)你所確定的基于地址的訪問控制列表來限制對特定設備的網(wǎng)絡訪問�����。
MAC同樣提供了針對潛在入侵者來調整訪問控制列表的能力�����。它的原理和入侵者在被拒之門外之前必須被先敲門一樣���。
如果已經(jīng)有了MAC,入侵者一定會在進入系統(tǒng)之前一頭撞在上面�����,然后只能卷土重來試圖穿過它?��,F(xiàn)在你的網(wǎng)絡就已經(jīng)可以知道入侵者的模樣了��。所以你的MAC列表中包括了三類訪問者:首先���,存在于訪問者列表中的友好訪問者;其次,沒有在列表中的訪問者以及無意中進入的訪問者;第三����,沒有在列表中但是可以確信之前曾經(jīng)不請自來并試圖闖入的訪問者。如果他們還將試圖闖入��,現(xiàn)在就可以立即確定了��。
簡而言之���,如果在你檢測無線網(wǎng)絡并且發(fā)現(xiàn)未在MAC列表上的訪問者多次嘗試發(fā)起訪問的時候�,你已經(jīng)受到潛在攻擊者的窺視了�����,并且他不會知道你已經(jīng)發(fā)現(xiàn)了他。
不要忽略WEP有線等效加密(Wired Equivalent Privacy���,WEP)是一種符合802.11b標準的無線網(wǎng)絡安全協(xié)議�。它在無線數(shù)據(jù)發(fā)送時對數(shù)據(jù)進行加密���,加密范圍覆蓋了你使用的任何數(shù)據(jù)�。一定要使用它�����。但是必須強調它是基于密鑰的���,因此不要一直使用默認密鑰�。對于初次訪問系統(tǒng)的個人用戶你甚至應當創(chuàng)建單獨的WEP密鑰�。當然也不能認為有了WEP就萬事大吉。即使是多重加密也不會保證你萬無一失��,因此應當把WEP與其他無線安全措施相結合����。
禁止未經(jīng)認證的訪問接入點接入點目前已經(jīng)可以很方便的進行設置,對于一個任務繁重的IT部門來說�,或許常常會只是采取簡單的訪問規(guī)則并按照按需訪問的策略(as-needed basis)以允許用戶設置接入點�����。但請不要被這種便利所誘惑。接入點是入侵者的頭號目標��。應當詳細研究配置策略和過程��,并且嚴格遵從他們���。
這些策略和過程中都應當包括那些內容?首先�����,你必須仔細制定出關于放置接入點的正確指導方針��,并且確保任何人在配置AP時手邊有這樣一份方針��。其次��,必須有一份安裝說明以指示在無線網(wǎng)絡配置中已存在的AP(以便今后進行參考)����,以及正確發(fā)布配置和允許復查配置的具體過程�����。并且無論是誰設置了AP,都應當立即指定另外一人對安裝進行復查�����。很麻煩么?的確如此���。但由于AP欺騙或漏網(wǎng)之魚造成的安全事故會更加讓你頭疼����。
拒絕筆記本ad-hoc方式接入在任何企業(yè)中都應當采取這一嚴厲的措施�。Ad-hoc模式將允許Wi-Fi用戶直接連接到另一臺相鄰的筆記本,這將構成你完全不能想象的恐怖的網(wǎng)絡環(huán)境��。
作為802.11標準的一部分����,Ad hoc模式允許你的筆記本網(wǎng)絡接口卡運行在獨立基礎服務集(Independent Basic Service Set,IBSS)模式���。這就意味著它可以通過RF與另一臺筆記本進行P2P的連接����。當你用Ad-hoc模式時,自然會想通過無線網(wǎng)絡連接到其他筆記本����。從表面價值角度看,這將是很吸引人的把戲����,因為沒有人能將連接拒之門外���。但必須意識到它允許了對筆記本整個硬盤的訪問����。如果你設置其為允許狀態(tài)���,并且忘了這一點�,那么你的一切都將毫無保留的放在整個世界面前�����。
并且危險并不僅僅限于你不設防的機器��。一名入侵者可以將聯(lián)網(wǎng)的筆記本作為入侵網(wǎng)絡的大門。如果將機器置于Ad hoc模式并且有人暗中入侵���,你所暴露在危險之中的不僅僅是自己的計算機��,而是整個網(wǎng)絡�����。
必須避免這樣危險的習慣�,即從首次使用開始就永遠不要嘗試允許處于Ad hoc模式����。接受這種模式所承擔的風險遠遠大于它所提供的便利。
