当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > WLAN安全锦囊妙计

安全基础
十大高招教会你摆脱黑客的网络攻击
2007个人计算计安全配置手册---武装到牙齿
【安全防护】网络入侵检测初步探测方法
保护系统 从防范IP泄漏开始!
教你如何防止系统中IE被恶意修改
交换机路由器更加安全三种办法
网络的核心所在 交换机漏洞五宗罪
上网必看,8招让你安全高效上网
提醒 网络玩家成为黑客攻击主要对象
十一种常见流氓软件完全卸载方法
聊天的危险 即时通讯常见安全问题
保护系统从防范IP泄漏开始
动态嵌入式DLL木马简便发现与清除方法
更新换代Vista系统安全新特性全面阐述
不可不留神 病毒损坏硬件有七大损招
注册表探秘 跟踪病毒的映象劫持的危害
追根溯源DLL技术木马进程内幕大揭密
擦亮眼睛小心假冒卡巴斯基的陷阱
简单安全习惯减少电脑资料丢失损坏几率
避免自己的服务器被列入黑名单的小技巧

安全基础 中的 WLAN安全锦囊妙计


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

无线局域网的安全技术在不断地发展,研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境,力求找到安全高效的解决方案。

无论是WEP、WPA还是WAPI与802.11i,想必都不能单独解决无线局域网的安全问题,如何与现有的安全技术结合应用,最大限度地确保WLAN的安全势在必行。

合理配置是前提

合理配置无线局域网是确保安全的首要前提,主要包括:

● 改变ESSID的缺省值,使用不易被猜到的ESSID号;

● 关闭对ESSID的定期广播,这样设置之后,虽然客户机必须发送探测帧以询问ESSID,但入侵者则需借助一些无线数据包捕获及分析工具,增加了窃听难度;

● 改变缺省密钥并定期更换;

● 在网络规模较小且用户相对固定的场合使用MAC地址过滤来控制客户的访问。

加强客户端的防御

客户端的数据同样是不法分子觊觎的对象,加强防御也是保证WLAN安全的有效措施之一。在客户端可以通过以下三种方法保证数据的安全:

● 使用口令及个人防火墙,防止对客户机的驱动器和文件夹的非授权访问;

● 通信过程使用一次一密的会话密钥,因为密钥频繁改变,窃听者难以获得足够的数据以破解密钥;

● 选择具有强加密算法的、基于应用层的第三方加密软件,可以绕过对Wi-Fi的各种攻击,保证数据不被解密。

抵御对内部网的攻击

在无线局域网与内部有线局域网相连通的环境,由于WLAN的不安全会殃及内部有线网,因此采取相应的抵御策略也是不可忽视的环节。使用企业级防火墙将AP(接入点)置于防火墙之外,只让IP或MAC地址合法的用户进入内部网,再配以VPN(Virtual Private Networking虚拟专网)功能,既可使出差在外和在家办公的员工通过Internet访问内部有线网,又可以阻止通过WLAN对内部网的非授权访问。在这种应用中,通过无线访问内部网的企图被防火墙及VPN服务器隔离,同时,VPN服务器提供鉴别服务,而支持完全加密且基于VPN的方案易于扩展,能够做到支持大量用户。

加强检测与鉴别

在网络中加入RADIUS(Remote Authentication Dial-in User Service,远程鉴定拨入用户服务)服务器,实现客户与AP间的相互鉴别,进而做到检测和隔离欺诈性AP。RADIUS服务器可以同时承担VPN服务器的任务,同时使用基于端口的鉴定标准802.lx,通过访问中心数据库对多种服务客户(如VPN客户及普通无线客户)进行鉴别。

网络管理不可忽视

除解决好上述安全策略之外,网络管理也是确保安全的有效措施。对于网络管理者而言,如果知道所有合法用户的MAC和IP地址,使用入侵检测工具(也是黑客常用的工具)定期扫描搜索便可发现非法用户。此外,使用静态IP地址在一定程度上也可以防止对无线网的非授权访问。因为使用DHCP服务器动态配置IP地址的网络会给一个“偷来”的ESSID配置一个合法的IP地址。

综上所述,由于无线局域网安全机制本身固有的安全脆弱性及无线传输介质特有的开放性和穿透性,如果再加上安装实施或使用过程中的疏漏,其安全性将变得十分脆弱。为了保证无线局域网的数据安全,除了安装配置和管理上应加强防范之外,用户端同样要加强防范。使用口令及个人防火墙可防止数据被非授权访问;对于安全级别要求较高且无线网又与内部有线网相连的场合,可以使用企业级防火墙并配以VPN和RADIUS;对高度敏感的数据使用第三方的、基于应用层的强加密算法对数据进行加密,可以绕过各种对无线网的有效攻击。只有确保无线网应用各环节的安全,才能充分发挥无线网的优越性。