Wi-Fi安全十一項(xiàng)錯(cuò)誤與正確的措施

　　只要采取正確的保護(hù)措施，Wi-Fi完全可以具備相當(dāng)程度的安全性。遺憾的是，網(wǎng)上總是充斥著種種過時(shí)的建議與虛構(gòu)的指導(dǎo)。下面就來和小編一起看看Wi-Fi安全十一項(xiàng)錯(cuò)誤與正確的措施吧。

　　1. 不要使用WEP

　　WEP（即有線等效保密機(jī)制）保護(hù)早已過時(shí)，其底層加密機(jī)制現(xiàn)在已經(jīng)完全可以被一些沒啥經(jīng)驗(yàn)的初心者級(jí)黑客輕松打破。因此，大家不應(yīng)該再使用 WEP。立即升級(jí)到由802.1X認(rèn)證機(jī)制保護(hù)的WPA2（即Wi-Fi接入保護(hù)）是我們的不二選擇。如果大家使用的是舊版客戶端或是接入點(diǎn)不支持 WPA2，那么請(qǐng)馬上進(jìn)行固件升級(jí)或者干脆更換設(shè)備吧。

　　2. 不要使用WPA/WPA2-PSK

　　WPA以及WPA2中的預(yù)共享密鑰（簡(jiǎn)稱PSK）模式對(duì)于商務(wù)或企業(yè)應(yīng)用環(huán)境不夠安全。在使用這一模式時(shí)，必須將同樣的預(yù)共享密鑰輸入到每個(gè)客戶端 當(dāng)中。也就是說每當(dāng)有員工離職或是某個(gè)客戶端遭遇丟失或被竊事件，我們都需要在全部設(shè)備上更改一次PSK，這對(duì)于大部分商務(wù)環(huán)境來說顯然是不現(xiàn)實(shí)的。

　　3. 必須采用802.11i

　　WPA以及WPA2安全機(jī)制所采用的EAP（即擴(kuò)展認(rèn)證協(xié)議）模式通過802.1X認(rèn)證機(jī)制代替代替PSK，這樣我們就有能力為每位用戶或每個(gè)客戶 端提供登錄憑證：用戶名、密碼以及/或者數(shù)字證書。真正的加密密鑰會(huì)定期修改，并在后臺(tái)直接進(jìn)行替換，使用者甚至不會(huì)意識(shí)到這一過程的發(fā)生。因此要改變或 撤銷用戶的訪問權(quán)限，我們只需在中央服務(wù)器上修改登錄憑證，而不必在每個(gè)客戶端中更換PSK。每次會(huì)話所配備的獨(dú)立密鑰也避免了用戶流量遭受竊 聽的危險(xiǎn) --這一點(diǎn)如今在火狐插件Firesheep以及Android應(yīng)用程序DroidSheep之類工具的輔助之下已經(jīng)變得非常簡(jiǎn)單。要使用802.1X認(rèn) 證機(jī)制，我們必須先擁有一套R(shí)ADUIS/AAA服務(wù)器。如果大家使用的是Windows Server 2008或是該系列的更高版本，也可以考慮使用網(wǎng)絡(luò)策略服務(wù)器（簡(jiǎn)稱NPS）或是互聯(lián)網(wǎng)驗(yàn)證服務(wù)（簡(jiǎn)稱IAS）的早期服務(wù)器版本。而對(duì)于那些沒有采用 Windows Server的用戶來說，開源服務(wù)器FreeRADIUS是最好的選擇。

　　4. 保證802.1X客戶端得到正確的配置

　　WPA/WPA2的EAP模式在中間人攻擊面前仍然顯得有些脆弱，不過保證客戶端得到正確的配置還是能夠有效地防止此類威脅。舉例來說，我們可以在 Windows的EAP設(shè)置中通過選擇CA認(rèn)證機(jī)制以及指定服務(wù)器地址來啟用服務(wù)器證書驗(yàn)證；也可以通過提示用戶新的受信任服務(wù)器或CA認(rèn)證機(jī)制來禁用該 機(jī)制。

　　我們同樣可以將802.1X配置通過組策略或者像Avenda的Quick1X這樣的第三方解決方案應(yīng)用在域客戶端中。

　　5. 必須采用無線入侵防御系統(tǒng)

　　Wi-Fi安全保衛(wèi)戰(zhàn)的內(nèi)容可不僅僅局限于抵抗來自網(wǎng)絡(luò)的直接訪問請(qǐng)求。舉例來說，客戶們可能會(huì)設(shè)置惡意接入點(diǎn)或者組織拒絕服務(wù)攻擊。為了幫助自身檢測(cè)并打擊此類攻擊行為，大家應(yīng)該采用無線入侵防御系統(tǒng)（簡(jiǎn)稱WIPS）。WIPS的設(shè)計(jì)及運(yùn)作方式與供應(yīng)商提供的產(chǎn)品不太一樣，但總體來說該系統(tǒng)會(huì)監(jiān)控搜索行為并及時(shí)向我們發(fā)出通知，而且有可能阻止某些流氓AP或惡意活動(dòng)的發(fā)生。

　　不少商業(yè)供應(yīng)商都在提供WIPS解決方案，例如AirMagnet公司及AirTightNetworks公司。像Snort這樣的開源方案也有不少。

　　6. 必須部署NAP或是NAC

　　在802.11i及WIPS之外，大家還應(yīng)該考慮部署一套網(wǎng)絡(luò)訪問保護(hù)（簡(jiǎn)稱NAP）或是網(wǎng)絡(luò)訪問控制（簡(jiǎn)稱NAC）解決方案。它們能夠?yàn)榫W(wǎng)絡(luò)訪問 提供額外的控制力，即根據(jù)客戶的身份及明確的相關(guān)管理政策為其分配權(quán)限。它們還具備一些特殊功能，用于隔離那些有問題的客戶端并依照管理政策對(duì)這些問題進(jìn) 行修正。

　　有些NAC解決方案中可能還包含了網(wǎng)絡(luò)入侵防御與檢測(cè)功能，但大家一定要留意這些功能是否提供專門的無線保護(hù)機(jī)制。

　　如果大家在客戶端中使用的是Windows Server 2008或更高版本以及Windows Vista系統(tǒng)或更高版本，那么微軟的NAP功能也是值得考慮的。如果系統(tǒng)版本不符合以上要求，類似PacketFence這樣的第三方開源解決方案同樣能幫上大忙。

　　7. 不要相信隱藏SSID的功效

　　無線安全性領(lǐng)域有種說法，即禁用AP的SSID廣播能夠讓我們的網(wǎng)絡(luò)隱藏起來，或者至少將SSID隱藏起來，這樣會(huì)使黑客難以找到目標(biāo)。而事實(shí)上， 這么做只會(huì)將SSID從AP列表中移除。802.11連接請(qǐng)求仍然包含在其中，而且在某些情況下，還會(huì)探測(cè)連接請(qǐng)求并響應(yīng)發(fā)來的數(shù)據(jù)包。因此竊 聽者能夠迅 速找出那些"隱藏"著的SSID--尤其是在網(wǎng)絡(luò)繁忙的時(shí)段--要做到這一點(diǎn)，一臺(tái)完全合法的無線網(wǎng)絡(luò)分析器就足夠了。

　　有些人可能堅(jiān)持認(rèn)為禁用SSID廣播還是能夠提供某種程度上的安全保障的，但請(qǐng)大家記住，它同樣會(huì)給網(wǎng)絡(luò)的配置及性能帶來負(fù)面影響。我們將不得不為 客戶端手動(dòng)輸入SSID，而客戶端的配置也將變得更加復(fù)雜。這一切的一切最終會(huì)導(dǎo)致探測(cè)請(qǐng)求及響應(yīng)數(shù)據(jù)包的增加，也就變相減少了可用的帶寬。

　　8. 不要相信MAC地址過濾功能

　　無線安全領(lǐng)域的另一大習(xí)俗是將啟用MAC地址過濾功能視為另一重安全保障，并認(rèn)為這能有效控制客戶端與網(wǎng)絡(luò)之間的連通。這其中有一些道理，但請(qǐng)注意，竊 聽者們能夠很輕松地監(jiān)控MAC地址認(rèn)證機(jī)制并將自己的計(jì)算機(jī)MAC地址修改為符合要求的內(nèi)容。

　　因此，大家不該將保證安全的希望過多地寄托在MAC地址過濾功能上，而只應(yīng)將其視為對(duì)內(nèi)網(wǎng)計(jì)算機(jī)及終端設(shè)備用戶的一種松散化管理。此外，大家還要考慮到管理MAC更新列表所帶來的種種麻煩與不便。

　　9. 必須限制SSID用戶的連接目標(biāo)

　　許多網(wǎng)絡(luò)管理員都忽視了一個(gè)簡(jiǎn)單但潛在威脅巨大的安全風(fēng)險(xiǎn)，即用戶會(huì)有意無意地連接到鄰近的或是某個(gè)未經(jīng)授權(quán)的無線網(wǎng)絡(luò)中，而這很可能引發(fā)對(duì)其計(jì)算 機(jī)設(shè)備的入侵活動(dòng)。在這方面，SSID過濾機(jī)制是規(guī)避風(fēng)險(xiǎn)的一大有效手段。以Windows Vista系統(tǒng)及其更高版本為例，我們可以使用Netsh wlan命令為SSID用戶添加可搜索及可連接網(wǎng)絡(luò)的過濾機(jī)制。對(duì)于臺(tái)式機(jī)而言，我們則可以直接將除自設(shè)無線網(wǎng)絡(luò)之外的全部SSID加以屏蔽。而在筆記本 電腦方面，最好是屏蔽掉所有鄰近網(wǎng)絡(luò)的SSID，只保留周邊熱點(diǎn)及家用網(wǎng)絡(luò)連接。

　　10. 必須保證網(wǎng)絡(luò)組件的物理安全性

　　請(qǐng)記住，計(jì)算機(jī)安全保障的內(nèi)容并不限于最新技術(shù)與加密手段。為自己的網(wǎng)絡(luò)組件做好物理安保同樣重要。確保每個(gè)接入點(diǎn)都部署在他人無法觸碰（例如天花 吊頂中）的位置，甚至可以考慮將大量AP設(shè)備安置在某個(gè)安全空間內(nèi)，再甩一根天線擺在最利于信號(hào)傳送的地方。如果這方面得不到良好貫徹，某些家伙將能夠很 方便地對(duì)AP設(shè)備進(jìn)行重啟并恢復(fù)默認(rèn)設(shè)置，這樣連接的通路也就被打開了。

　　11. 不要忘記保護(hù)移動(dòng)客戶端

　　在網(wǎng)絡(luò)之外，用戶智能手機(jī)、筆記本電腦與平板設(shè)備也是我們必須關(guān)注的安全要點(diǎn)，因?yàn)樗鼈兺瑯訒?huì)接入Wi-Fi熱點(diǎn)或是家庭無線路由器。要保障Wi- Fi連接之外的設(shè)備安全其實(shí)是相當(dāng)困難的，因?yàn)槲覀儾粌H要為用戶提供建議及具體解決方案，還要對(duì)他們進(jìn)行Wi-Fi安全風(fēng)險(xiǎn)及預(yù)防措施的相關(guān)指導(dǎo)。首先， 所有的筆記本及上網(wǎng)本必須要具備個(gè)人防火墻。其次，一定確保用戶的互聯(lián)網(wǎng)流量經(jīng)過嚴(yán)格加密，以防止犯罪分子通過在其它網(wǎng)絡(luò)上利用VPN發(fā)起訪問來竊 聽我們 的敏感信息。如果大家不想使用內(nèi)部VPN，那不妨考慮采納像Hotspot Shield或者Witopia這樣的外包服務(wù)。對(duì)于iOS及Android設(shè)備而言，則完全可以使用其自帶的VPN客戶端。而在黑莓及Windows Phone 7設(shè)備方面，大家就必須親手打造一套完善的郵件服務(wù)器設(shè)置與設(shè)備配置，進(jìn)而用上它們的VPN客戶端。

【W(wǎng)i-Fi安全十一項(xiàng)錯(cuò)誤與正確的措施】相關(guān)文章：

高考答題卡錯(cuò)誤涂法盤點(diǎn)(附正確方法)06-11

如何正確使用安全帶08-14

新手司機(jī)容易犯的十個(gè)錯(cuò)誤03-22

新手司機(jī)常犯的十大致命駕駛錯(cuò)誤03-02

安全工程師考點(diǎn)：木工機(jī)械的安全技術(shù)措施11-30

《正確喝水》教案09-11

2017中考英語寫作常見的十類錯(cuò)誤03-16

2017司法考試前后突發(fā)的十種情況及應(yīng)對(duì)措施11-29

無線網(wǎng)絡(luò)安全防范措施12-04