当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > WLAN安全锦囊妙计

安全基础
正常关机后光电鼠标仍发光怎么解决
金山安全反病毒专家教你认识和安装系统补丁
微软IE团队成员揭秘中国网银不兼容非IE浏览器的原因
防火墙端口扫描和路径追踪设置防黑客入侵
压缩包里的压缩文件加上缩略图的方法
拒绝修改exe文件关联随EXE程序启动的木马
保护硬盘隐私数据防止黑客窃取的操作小方法
开机按F1故障怎么解决(新手学电脑)
实用技巧:自定义软件安装的默认路径
快速打开控制面板中的某一项目
避免网购被骗 揭秘网络钓鱼的9种骗术
删不掉文件的原因和辅助删除的软件工具
隐藏的系统克隆帐户全了解
剖析DDOS攻击的原理 提供解决方法
360安全卫士完美帮你系统打补丁
桌面多出几个IE图标有的不能删除怎么办
加载*dll出错,系统找不到指定的模块
如何揪出并根除Windows系统启动项
菜鸟防止黑客攻击的10个系统设置方法
新手学电脑:宽带拨号的设置方法

安全基础 中的 WLAN安全锦囊妙计


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 37 ::
收藏到网摘: n/a

无线局域网的安全技术在不断地发展,研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境,力求找到安全高效的解决方案。

无论是WEP、WPA还是WAPI与802.11i,想必都不能单独解决无线局域网的安全问题,如何与现有的安全技术结合应用,最大限度地确保WLAN的安全势在必行。

合理配置是前提

合理配置无线局域网是确保安全的首要前提,主要包括:

● 改变ESSID的缺省值,使用不易被猜到的ESSID号;

● 关闭对ESSID的定期广播,这样设置之后,虽然客户机必须发送探测帧以询问ESSID,但入侵者则需借助一些无线数据包捕获及分析工具,增加了窃听难度;

● 改变缺省密钥并定期更换;

● 在网络规模较小且用户相对固定的场合使用MAC地址过滤来控制客户的访问。

加强客户端的防御

客户端的数据同样是不法分子觊觎的对象,加强防御也是保证WLAN安全的有效措施之一。在客户端可以通过以下三种方法保证数据的安全:

● 使用口令及个人防火墙,防止对客户机的驱动器和文件夹的非授权访问;

● 通信过程使用一次一密的会话密钥,因为密钥频繁改变,窃听者难以获得足够的数据以破解密钥;

● 选择具有强加密算法的、基于应用层的第三方加密软件,可以绕过对Wi-Fi的各种攻击,保证数据不被解密。

抵御对内部网的攻击

在无线局域网与内部有线局域网相连通的环境,由于WLAN的不安全会殃及内部有线网,因此采取相应的抵御策略也是不可忽视的环节。使用企业级防火墙将AP(接入点)置于防火墙之外,只让IP或MAC地址合法的用户进入内部网,再配以VPN(Virtual Private Networking虚拟专网)功能,既可使出差在外和在家办公的员工通过Internet访问内部有线网,又可以阻止通过WLAN对内部网的非授权访问。在这种应用中,通过无线访问内部网的企图被防火墙及VPN服务器隔离,同时,VPN服务器提供鉴别服务,而支持完全加密且基于VPN的方案易于扩展,能够做到支持大量用户。

加强检测与鉴别

在网络中加入RADIUS(Remote Authentication Dial-in User Service,远程鉴定拨入用户服务)服务器,实现客户与AP间的相互鉴别,进而做到检测和隔离欺诈性AP。RADIUS服务器可以同时承担VPN服务器的任务,同时使用基于端口的鉴定标准802.lx,通过访问中心数据库对多种服务客户(如VPN客户及普通无线客户)进行鉴别。

网络管理不可忽视

除解决好上述安全策略之外,网络管理也是确保安全的有效措施。对于网络管理者而言,如果知道所有合法用户的MAC和IP地址,使用入侵检测工具(也是黑客常用的工具)定期扫描搜索便可发现非法用户。此外,使用静态IP地址在一定程度上也可以防止对无线网的非授权访问。因为使用DHCP服务器动态配置IP地址的网络会给一个“偷来”的ESSID配置一个合法的IP地址。

综上所述,由于无线局域网安全机制本身固有的安全脆弱性及无线传输介质特有的开放性和穿透性,如果再加上安装实施或使用过程中的疏漏,其安全性将变得十分脆弱。为了保证无线局域网的数据安全,除了安装配置和管理上应加强防范之外,用户端同样要加强防范。使用口令及个人防火墙可防止数据被非授权访问;对于安全级别要求较高且无线网又与内部有线网相连的场合,可以使用企业级防火墙并配以VPN和RADIUS;对高度敏感的数据使用第三方的、基于应用层的强加密算法对数据进行加密,可以绕过各种对无线网的有效攻击。只有确保无线网应用各环节的安全,才能充分发挥无线网的优越性。