无线WIFI如何使用才安全(10个安全办法)
Wi-Fi生来就容易遭到黑客攻击和易做图。但是,假设你运用正确的平安措施,Wi-Fi可以是平安的。遗憾的是网站上充溢了过时的忠告和误区。下面是Wi-Fi平安中应该做的和不应该做的一些事情。1.不要运用WEP
WEP(有线等效加密协议)平安早就死了。大少数没有阅历的黑客可以迅速地和轻松地打破基本的加密。因此,你基本就不应该运用WEP。假设你运用WEP,请立刻晋级到具有802.1X身份识别功用的802.11i的WPA2(WiFi维护接入)协议。假设你有不支持WPA2的老式设备和接入点,你要设法停止固件晋级或许干脆改换设备。
2.不要运用WPA/WPA2-PSK
WPA/WPA2平安的预共享密钥(PSK)形式关于商务或许企业环境是不平安的。当运用这个形式的时分,同一个预共享密钥必需输入到每一个客户。因此,每当员工离任和一个客户丧失或失失密钥时,这个PSK都要停止修正。这在大少数环境中是不理想的。
3.一定要运用802.11i
WPA和WPA2平安的EAP(可扩展身份识别协议)形式运用802.1X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的才干,如用户名和口令以及一个数字证书。
实践的加密密钥是在后台活期改动和交流的。因此,要改动或许撤销用户访问,你要做的事情就是在中央效劳器修正登录证书,而不是在每一台客户机上改动PSK。这种共同的每个进程一个密钥的做法还防止用户相互易做图对方的通讯。如今,运用火狐的插件Firesheep和Android运用DroidSheep等工具很容易停止易做图。
要记住,为了到达尽能够最佳的平安,你应该运用带802.1X的WPA2。这个协议也称作802.1i。
要完成802.1X身份识别,你需求拥有一台RADIUS/AAA效劳器。假设你在运转WindowsServer2008和以上版本的操作系统,你要思索运用网络政策效劳器(NPS)或许早期效劳器版本的互联网身份识别效劳(IAS)。假设你没有运转Windows效劳器软件,你可以思索运用开源FreeRADIUS效劳器软件。
假设你运转WindowsServer2008R2或以上版本,你可以经过组战略把802.1X设置到区域衔接在一同的客户机。否则,你可以思索采用第三方处置方案协助配置这些客户机。
4.一定要保证802.1X客户机设置的平安
WPA/WPA2的EAP形式依然容易遭到中间人攻击。但是,你可以经过保证客户机EAP设置的平安来阻止这些攻击。例如,在Windows的EAP设置中,你可以经过选择CA证书、指定效劳器地址和制止它提示用户信任新的效劳器或许CA证书等方法完成效劳器证书验证。
你还可以经过组战略把802.1X设置推向区域衔接在一同的客户机,或许运用Avenda公司的Quick1X等第三方处置方案。
5.一定要运用一个无线入侵进攻系统
保证WiFi网络平安比抗击那些直设法获取网络访问权限的希图要做更多的事情。例如,黑客可以树立一个虚伪的接入点或许实施拒绝效劳攻击。要协助检测和对立这些攻击,你应该运用一个无线入侵进攻系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统普通都监视虚伪的接入点或许恶意举动,向你报警和能够阻止这些恶意行为。
有许多商业厂商提供WIPS处置方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6.一定要运用NAP或许NAC
除了802.11i和WIPS之外,你应该思索运用一个NAP(网络接入维护)或许NAC(网络接入控制)处置方案。这些处置方案可以依据客户身份和执行定义的政策的状况对网络接入提供额外的控制。这些处置方案还包括隔离有效果的客户的才干以及提出弥补措施让客户重新恪违法规的才干。
有些NAC处置方案能够包括网络入侵进攻和检测功用。但是,你要保证这个处置方案还专门提供无线维护功用。
假设你的客户机在运转WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以运用微软的NAP功用。此外,你可以思索第三方的处置方案,如开源软件的PacketFence。
7.不要信任隐藏的SSID
无线平安的一个不实的说法是封锁接入点的SSID播出将隐藏你的网络,或许至少可以隐藏你的SSID,让黑客很难找到你的网络。但是,这种做法只是从接入点信标中取消了SSID。它依然包括在802.11相关的央求之中,在某些状况下还包括在探求央求和回应数据包中。因此,易做图者可以运用合法的无线剖析器在忙碌的网络中迅速发现“隐藏的”SSID。
一些人能够争辩说,封锁SSID播出依然会提供另一层平安维护。但是,要记住,它可以对网络设置和功用发生负面影响。你必需手工向客户机输入SSID,这使客户机的配置愈加复杂。这还会惹起探求央求和回应数据包的添加,从而增加可用带宽。
8.不要信任MAC地址过滤
无线平安的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将添加另一层平安,控制哪一个客户机可以衔接到这个网络。这有一些真实性。但是,要记住,易做图者很容易监视网络中授权的MAC地址并且随后改动自己的计算机的MAC地址。
因此,你不要以为MAC过滤可以为平安做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松懈地控制用户可以运用哪一台客户机和设备进入网络的方法。但是,你还要思索坚持MAC列表处于最新形状所面临的管理难题。
9.一定要限制SSID用户可以衔接的网络
许多网络管理员疏忽了一个复杂而具有潜在风险的平安风险:用户故意地或许非故意地衔接到临近的或许非授权的无线网络,使自己的计算机向能够的入侵关闭大门。但是,过滤SSID是防止发作这种状况的一个途径。例如,在WindowsVista和以上版本中,你可以运用netshwlan指令向用户可以看到和衔接的那些SSID添加过滤器。关于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的一切的SSID。关于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们依然衔接到热点和它们自己的网络。
10.一定要物理地维护网络组件的平安
要记住,计算机平安并不只仅是最新的技术和加密。物理地保证你的网络组件的平安异样重要。要保证接入点放置在接触不到的中央,如假吊顶下面或许思索把接入点放置在一个失密的中央,然后在一个最佳中央运用一个天线。假设不平安,有人会轻松离开接入点并且把接入点重新设置到厂商默许值以开放这个接入点