Wi - Fi天生容易受到黑客和窃听,但也可以是安全的,如果你使用的权利保障措施。不幸的是,Web是过时的意见和神话。
这里有Wi - Fi安全,解决这些神话中的一些该做什么和不该做什么。
1、不要使用WEP
WEP(有线等效保密)安全是早就死了。其底层的加密,可以快速,轻松地打破由经验不足的黑客 。因此,你不应该使用WEP 。如果是,请立即升级到WPA2(Wi - Fi保护接入), 802.1X 身份验证- 802.11i的。如果您有旧版客户端或接入点不支持WPA2,尝试固件升级或干脆更换设备。
2、不要使用WPA/WPA2-PSK
预共享密钥(PSK)的WPA和WPA2安全模式是不会为企业或企业环境的安全。使用此模式时,相同的预共享密钥必须输入到每个客户端。因此,需要改变每个员工离开的时间和客户端时,丢失或被盗的PSK -对于大多数环境是不切实际的。
3、不要实施的802.11i
EAP(扩展认证协议)的WPA和WPA2安全模式使用802.1X身份验证,而不是PSKs,提供能够提供每个用户或客户自己的登录凭据:用户名和密码和/或数字证书。
实际的加密密钥定期改变,并在后台静默交换。因此,要改变或撤销用户访问,所有你所要做的是修改中央服务器的登录凭据,而不是改变每个客户端的 PSK。附加Firesheep和Android应用程序DroidSheep 的独特的每会话密钥也可以防止用户窃听对方的流量-这是现在容易与Firefox的工具 。
请记住,最好的安全性可能你应该使用WPA2和802.1X,也被称为802.11i的。
要启用802.1X身份验证,就需要有一个RADIUS / AAA服务器。如果你正在运行 Windows Server 2008和更高版本,可以考虑使用网络策略服务器(NPS),或Internet验证服务(IAS)的早期版本的服务器。如果你没有运行Windows Server,考虑开放源码 FreeRADIUS服务器。
你可以把802.1X设置通过组策略加入域的客户,如果你正在运行的Windows Server 2008 R2或更高版本。否则,你可能会考虑第三方的解决方案,帮助配置客户端。
4、做安全的802.1X客户端
设置支持WPA/WPA2 EAP模式仍然是脆弱的人在这方面的中间人攻击 。但是,可以确保客户端的EAP设置有助于防止这些攻击。例如,在Windows的EAP设置中,您可以选择CA证书启用服务器证书验证,指定服务器地址,并提示用户信任新的服务器或CA证书,禁用它。
802.1X设置还可以把这些加入域的客户通过组策略或使用第三方解决方案,如Avenda的Quick1X。
5、不要使用一个无线入侵防御系统
还有更多的比打击那些直接试图获得访问网络的Wi - Fi安全 。例如,黑客可以建立恶意接入点或执行拒绝服务攻击。为了帮助侦查和打击这些,你应该执行一个无线入侵防御系统(WIPS)。WIPSes的设计和方法不同供应商之间的,但他们一般显示器的电波寻找,提醒您,并可能会停止流氓接入点或恶意活动 。
有许多商业供应商提供的WIPS解决方案,如AirMagnet和气密Neworks。还有如Snort,开放源码选项。
6、不要部署NAP或NAC
除了802.11i和一个WIPS,你应该考虑部署一个网络访问保护(NAP)或网络访问控制(NAC)解决方案。这些可以通过网络访问提供额外的控制,根据客户的身份和遵守明确的政策。他们还可以包括功能来隔离有问题的客户和整治内得到遵守客户。
一些NAC解决方案还可能包括网络入侵防御和检测功能,但是你要确保它也专门提供无线保护。
如果你在运行Windows Server 2008或更高版本以及Windows Vista或更高版本,为客户,您可以使用微软的NAP功能 。否则,你可以考虑第三方的解决方案,如开放源码PacketFence的 。
7、不信任隐藏的SSID
无线安全的神话之一是禁用接入点的SSID广播,将隐藏您的网络,或者至少是SSID的,使得它为黑客更难。不过,这只是删除SSID的接入点的信标。它仍然包含在802.11协会的请求,以及在某些情况下,探测请求和响应数据包 。因此,窃听者可以发现“隐藏”的SSID相当快-特别是在一个繁忙的网络-一个合法的无线分析仪。
有人说禁用SSID广播,还提供了另一种安全层,但它可以有一个网络上的配置和性能的负面影响。你不得不手动输入到客户端的SSID,客户端配置进一步复杂化。这也导致增加探测请求和响应数据包,减少可用带宽。
8、不信任的MAC地址过滤
无线安全的另一个神话,启用MAC地址过滤添加另一层安全,控制客户端可以连接到网络。这有一定道理,但它很容易为窃听监控网络授权的MAC地址,然后改变其计算机的媒体访问控制(MAC)地址。
因此,你应该没有实现MAC过滤的思想,它会做安全得多,但也许作为一种松散的控制到网络的计算机和设备的最终用户带来。还要考虑,你可能会面临保持MAC列表最新的管理噩梦。
9、限制SSID的用户可以连接到
许多网络管理员忽视一个简单的,但有潜在危险的的安全风险:用户有意或无意地 连接到邻近的或未经授权的无线网络,开拓他们的计算机可能的入侵 。然而,过滤的SSID是有助于防止这种情况的方法之一 。例如,在Windows Vista和更高版本中,您可以使用Netsh WLAN命令添加过滤器,这些SSID的用户可以看到并连接到。用于台式机,你也不能否认,除了您的无线网络的SSID。为笔记本电脑,你可以拒绝邻近网络的SSID,使他们能够连接到热点和家庭网络。
10、是否物理上安全的
网络组件记住,计算机安全不仅是更多的最新技术和加密。身体保护您的网络组件,可同样重要 。确保接入点放在够不着,如上面一个假天花板甚至可以考虑在安全的位置安装接入点,然后运行到最佳点的天线 。如果没有担保,有人可以很容易得出和接入点复位到出厂默认设置开放式访问。
11、不要忘记保护移动客户端
你的Wi - Fi的安全问题,不应该停留在你的网络。与用户的智能手机,笔记本电脑,和药片可能会保护现场,但是当他们连接到Wi - Fi热点或无线路由器在家吗?你应该尝试,以确保其他Wi - Fi连接的安全,防止入侵和窃听。
不幸的是,它是不容易外Wi - Fi连接,以确保安全。它需要提供和推荐的解决方案和教育用户对Wi - Fi安全风险和预防措施相结合。
首先,所有的笔记本电脑和上网本应该有个人防火墙(如Windows防火墙)主动阻止入侵。您可以通过组策略执行,如果在运行Windows Server,或使用一个解决方案来管理非域计算机的Windows Intune如。
接下来,您需要确保用户的上网流量是加密的,而其他网络上提供VPN访问您的网络从本地窃听。如果你不想使用内部VPN,考虑外包服务,如热点盾或Witopia 。为iOS(iPhone,iPad的,和iPod touch)和Android设备,可以使用本民族的VPN客户端 。然而,黑莓和Windows Phone 7设备,你必须有一个邮件服务器设置和设备配置,以利用他们的VPN客户端。
您还应该确保您的Internet公开的服务的任何抵押,以防万一用户不使用VPN而在公共或不受信任的网络。例如,如果您提供电子邮件访问(客户端或基于Web)您的LAN,WAN或VPN外,确保您使用SSL加密,以防止在不可信网络从任何地方捕获用户的登录凭据或消息窃听。