Wi - Fi天生容易受到黑(hēi)客和(hé)竊聽(tīng),但也(yě)可(kě)以是安全的(de),如果你使用(yòng)的(de)權利保障措施。不幸的(de)是,Web是過時(shí)的(de)意見和(hé)神話(huà)。
這(zhè)裏有Wi - Fi安全,解決這(zhè)些神話(huà)中的(de)一些該做(zuò)什(shén)麽和(hé)不該做(zuò)什(shén)麽。
1、不要使用(yòng)WEP
WEP(有線等效保密)安全是早就死了(le)。其底層的(de)加密,可(kě)以快(kuài)速,輕松地打破由經驗不足的(de)黑(hēi)客 。因此,你不應該使用(yòng)WEP 。如果是,請立即升級到WPA2(Wi - Fi保護接入), 802.1X 身份驗證- 802.11i的(de)。如果您有舊(jiù)版客戶端或接入點不支持WPA2,嘗試固件升級或幹脆更換設備。
2、不要使用(yòng)WPA/WPA2-PSK
預共享密鑰(PSK)的(de)WPA和(hé)WPA2安全模式是不會爲企業或企業環境的(de)安全。使用(yòng)此模式時(shí),相同的(de)預共享密鑰必須輸入到每個(gè)客戶端。因此,需要改變每個(gè)員(yuán)工離開的(de)時(shí)間和(hé)客戶端時(shí),丢失或被盜的(de)PSK -對(duì)于大(dà)多(duō)數環境是不切實際的(de)。
3、不要實施的(de)802.11i
EAP(擴展認證協議(yì))的(de)WPA和(hé)WPA2安全模式使用(yòng)802.1X身份驗證,而不是PSKs,提供能夠提供每個(gè)用(yòng)戶或客戶自己的(de)登錄憑據:用(yòng)戶名和(hé)密碼和(hé)/或數字證書(shū)。
實際的(de)加密密鑰定期改變,并在後台靜默交換。因此,要改變或撤銷用(yòng)戶訪問,所有你所要做(zuò)的(de)是修改中央服務器的(de)登錄憑據,而不是改變每個(gè)客戶端的(de) PSK。附加Firesheep和(hé)Android應用(yòng)程序DroidSheep 的(de)獨特的(de)每會話(huà)密鑰也(yě)可(kě)以防止用(yòng)戶竊聽(tīng)對(duì)方的(de)流量-這(zhè)是現在容易與Firefox的(de)工具 。
請記住,最好的(de)安全性可(kě)能你應該使用(yòng)WPA2和(hé)802.1X,也(yě)被稱爲802.11i的(de)。
要啓用(yòng)802.1X身份驗證,就需要有一個(gè)RADIUS / AAA服務器。如果你正在運行 Windows Server 2008和(hé)更高(gāo)版本,可(kě)以考慮使用(yòng)網絡策略服務器(NPS),或Internet驗證服務(IAS)的(de)早期版本的(de)服務器。如果你沒有運行Windows Server,考慮開放源碼 FreeRADIUS服務器。
你可(kě)以把802.1X設置通(tōng)過組策略加入域的(de)客戶,如果你正在運行的(de)Windows Server 2008 R2或更高(gāo)版本。否則,你可(kě)能會考慮第三方的(de)解決方案,幫助配置客戶端。
4、做(zuò)安全的(de)802.1X客戶端
設置支持WPA/WPA2 EAP模式仍然是脆弱的(de)人(rén)在這(zhè)方面的(de)中間人(rén)攻擊 。但是,可(kě)以确保客戶端的(de)EAP設置有助于防止這(zhè)些攻擊。例如,在Windows的(de)EAP設置中,您可(kě)以選擇CA證書(shū)啓用(yòng)服務器證書(shū)驗證,指定服務器地址,并提示用(yòng)戶信任新的(de)服務器或CA證書(shū),禁用(yòng)它。
802.1X設置還(hái)可(kě)以把這(zhè)些加入域的(de)客戶通(tōng)過組策略或使用(yòng)第三方解決方案,如Avenda的(de)Quick1X。
5、不要使用(yòng)一個(gè)無線入侵防禦系統
還(hái)有更多(duō)的(de)比打擊那些直接試圖獲得(de)訪問網絡的(de)Wi - Fi安全 。例如,黑(hēi)客可(kě)以建立惡意接入點或執行拒絕服務攻擊。爲了(le)幫助偵查和(hé)打擊這(zhè)些,你應該執行一個(gè)無線入侵防禦系統(WIPS)。WIPSes的(de)設計和(hé)方法不同供應商之間的(de),但他(tā)們一般顯示器的(de)電波尋找,提醒您,并可(kě)能會停止流氓接入點或惡意活動 。
有許多(duō)商業供應商提供的(de)WIPS解決方案,如AirMagnet和(hé)氣密Neworks。還(hái)有如Snort,開放源碼選項。
6、不要部署NAP或NAC
除了(le)802.11i和(hé)一個(gè)WIPS,你應該考慮部署一個(gè)網絡訪問保護(NAP)或網絡訪問控制(NAC)解決方案。這(zhè)些可(kě)以通(tōng)過網絡訪問提供額外的(de)控制,根據客戶的(de)身份和(hé)遵守明(míng)确的(de)政策。他(tā)們還(hái)可(kě)以包括功能來(lái)隔離有問題的(de)客戶和(hé)整治内得(de)到遵守客戶。
一些NAC解決方案還(hái)可(kě)能包括網絡入侵防禦和(hé)檢測功能,但是你要确保它也(yě)專門提供無線保護。
如果你在運行Windows Server 2008或更高(gāo)版本以及Windows Vista或更高(gāo)版本,爲客戶,您可(kě)以使用(yòng)微軟的(de)NAP功能 。否則,你可(kě)以考慮第三方的(de)解決方案,如開放源碼PacketFence的(de) 。
7、不信任隐藏的(de)SSID
無線安全的(de)神話(huà)之一是禁用(yòng)接入點的(de)SSID廣播,将隐藏您的(de)網絡,或者至少是SSID的(de),使得(de)它爲黑(hēi)客更難。不過,這(zhè)隻是删除SSID的(de)接入點的(de)信标。它仍然包含在802.11協會的(de)請求,以及在某些情況下(xià),探測請求和(hé)響應數據包 。因此,竊聽(tīng)者可(kě)以發現“隐藏”的(de)SSID相當快(kuài)-特别是在一個(gè)繁忙的(de)網絡-一個(gè)合法的(de)無線分(fēn)析儀。
有人(rén)說禁用(yòng)SSID廣播,還(hái)提供了(le)另一種安全層,但它可(kě)以有一個(gè)網絡上的(de)配置和(hé)性能的(de)負面影(yǐng)響。你不得(de)不手動輸入到客戶端的(de)SSID,客戶端配置進一步複雜(zá)化(huà)。這(zhè)也(yě)導緻增加探測請求和(hé)響應數據包,減少可(kě)用(yòng)帶寬。
8、不信任的(de)MAC地址過濾
無線安全的(de)另一個(gè)神話(huà),啓用(yòng)MAC地址過濾添加另一層安全,控制客戶端可(kě)以連接到網絡。這(zhè)有一定道理(lǐ),但它很容易爲竊聽(tīng)監控網絡授權的(de)MAC地址,然後改變其計算(suàn)機的(de)媒體訪問控制(MAC)地址。
因此,你應該沒有實現MAC過濾的(de)思想,它會做(zuò)安全得(de)多(duō),但也(yě)許作爲一種松散的(de)控制到網絡的(de)計算(suàn)機和(hé)設備的(de)最終用(yòng)戶帶來(lái)。還(hái)要考慮,你可(kě)能會面臨保持MAC列表最新的(de)管理(lǐ)噩夢。
9、限制SSID的(de)用(yòng)戶可(kě)以連接到
許多(duō)網絡管理(lǐ)員(yuán)忽視一個(gè)簡單的(de),但有潛在危險的(de)的(de)安全風險:用(yòng)戶有意或無意地 連接到鄰近的(de)或未經授權的(de)無線網絡,開拓他(tā)們的(de)計算(suàn)機可(kě)能的(de)入侵 。然而,過濾的(de)SSID是有助于防止這(zhè)種情況的(de)方法之一 。例如,在Windows Vista和(hé)更高(gāo)版本中,您可(kě)以使用(yòng)Netsh WLAN命令添加過濾器,這(zhè)些SSID的(de)用(yòng)戶可(kě)以看到并連接到。用(yòng)于台式機,你也(yě)不能否認,除了(le)您的(de)無線網絡的(de)SSID。爲筆記本電腦(nǎo),你可(kě)以拒絕鄰近網絡的(de)SSID,使他(tā)們能夠連接到熱(rè)點和(hé)家庭網絡。
10、是否物(wù)理(lǐ)上安全的(de)
網絡組件記住,計算(suàn)機安全不僅是更多(duō)的(de)最新技術和(hé)加密。身體保護您的(de)網絡組件,可(kě)同樣重要 。确保接入點放在夠不著(zhe),如上面一個(gè)假天花闆甚至可(kě)以考慮在安全的(de)位置安裝接入點,然後運行到最佳點的(de)天線 。如果沒有擔保,有人(rén)可(kě)以很容易得(de)出和(hé)接入點複位到出廠默認設置開放式訪問。
11、不要忘記保護移動客戶端
你的(de)Wi - Fi的(de)安全問題,不應該停留在你的(de)網絡。與用(yòng)戶的(de)智能手機,筆記本電腦(nǎo),和(hé)藥片可(kě)能會保護現場(chǎng),但是當他(tā)們連接到Wi - Fi熱(rè)點或無線路由器在家嗎?你應該嘗試,以确保其他(tā)Wi - Fi連接的(de)安全,防止入侵和(hé)竊聽(tīng)。
不幸的(de)是,它是不容易外Wi - Fi連接,以确保安全。它需要提供和(hé)推薦的(de)解決方案和(hé)教育用(yòng)戶對(duì)Wi - Fi安全風險和(hé)預防措施相結合。
首先,所有的(de)筆記本電腦(nǎo)和(hé)上網本應該有個(gè)人(rén)防火牆(如Windows防火牆)主動阻止入侵。您可(kě)以通(tōng)過組策略執行,如果在運行Windows Server,或使用(yòng)一個(gè)解決方案來(lái)管理(lǐ)非域計算(suàn)機的(de)Windows Intune如。
接下(xià)來(lái),您需要确保用(yòng)戶的(de)上網流量是加密的(de),而其他(tā)網絡上提供VPN訪問您的(de)網絡從本地竊聽(tīng)。如果你不想使用(yòng)内部VPN,考慮外包服務,如熱(rè)點盾或Witopia 。爲iOS(iPhone,iPad的(de),和(hé)iPod touch)和(hé)Android設備,可(kě)以使用(yòng)本民族的(de)VPN客戶端 。然而,黑(hēi)莓和(hé)Windows Phone 7設備,你必須有一個(gè)郵件服務器設置和(hé)設備配置,以利用(yòng)他(tā)們的(de)VPN客戶端。
您還(hái)應該确保您的(de)Internet公開的(de)服務的(de)任何抵押,以防萬一用(yòng)戶不使用(yòng)VPN而在公共或不受信任的(de)網絡。例如,如果您提供電子郵件訪問(客戶端或基于Web)您的(de)LAN,WAN或VPN外,确保您使用(yòng)SSL加密,以防止在不可(kě)信網絡從任何地方捕獲用(yòng)戶的(de)登錄憑據或消息竊聽(tīng)。
