科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全无线安全与黑客(3)

无线安全与黑客(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由于无线网络使得雇员们在任何地点都能方便连入WLAN,因此无线网络在公司之间已经变得十分流行。但就像其它新技术一样无线网络在安全方面的考虑是不够周到的。这节将描述一些最普通的改进无线网络安全的方法。

来源:chinaitlab 2010年4月11日

关键字: 黑客 无线安全

  • 评论
  • 分享微博
  • 分享邮件

  无线网络的安全

  由于无线网络使得雇员们在任何地点都能方便连入WLAN,因此无线网络在公司之间已经变得十分流行。但就像其它新技术一样无线网络在安全方面的考虑是不够周到的。这节将描述一些最普通的改进无线网络安全的方法。

  #MAC地址过滤

  这种方法将那些允许连入access point顾客的无线网卡的MAC地址列成一张表。如果存有多台access point,则在所有的这些access point上列表都有效。管理人们应该时刻注意列表是否被更改。尽管这种方法不是很牢靠(上面曾有谈到),但在过去它是种广泛使用的无线网络保安方法。

  #WEP

  正如上面曾说的,WEP为顾客和access point之间的通讯提供数据编码的保护水平。值得一提的是WEP应该被开启,因为没有必要为攻击行为大开方便之门。需再次提醒的是:WEP不是万能的,甚至在有些类型的攻击下它很脆弱。

  #SSID(Network ID)

  为加强无线网络的安全,第一次的尝试是使用网络标识符(SSID)。当一位无线顾客想要与access point联系时,SSID在这期间将被传播。SSID是被固定编入access point和客户端设备的一个7位字符。通过使用SSID,仅有那些持有正确网络标识符的顾客才被允许与access point连接。在WEP启用后,SSID在传播中被从新编码,但如果攻击者拥有与设备的物理连接,他/她将能获取以明文保存的SSID。

  一旦SSID被某攻击者俘获,无线网络管理员人必须手工分配一个新的SSID。

  #防火墙

  使用防火墙来阻止对无线网络的非法存取可能是唯一的可靠手段。正如下面所提及的,对网络的存取需依靠IPSec,secure shell或VPN。这样,防火墙应该被配置成只允许指定的IPSec或secure shell通信。下面将解释从有线访问无线网络:

  1.无线顾客端认证并与无线access point关联。为保证更好的安全,access point应被配置成可过滤MAC地址。

  2.access point送一个请求给DHCP服务器。然后服务器为顾客分配网络地址。

  3.一旦网络地址被分配,无线顾客便已进入无线网络。为能存取有线网络,它可建立一条IPSec VPN通道或使用secure shell.

  为防火墙进行安全配置十分重要,只有这样所有的非法联接才会被拒绝。

  #网络桥接器[Access Points]

  Access Points应该被配置成能过滤MAC地址,尽管MAC地址能被欺骗(看上面)。如果允许与它非法物理连接,管理员们应确保AP被安置于一个安全的地方。

  我们知道通过telnet或浏览器或简单网管协议可配置AP。但这里推荐只通过telnet并禁止其他所有别的途径。

  #设计考虑[Design Considerations]

  在实施任何加强无线网络安全的措施前,适当地计划十分重要。适当计划能排除与无线网络被联系后可能存在的一些风险。

  一些计划的要点:

  1.用VPN或访问控制列表保护你的无线网络。

  2.即使WEP被启用access point也不应该与内部的有线网络相连。

  3.无论怎样access point都不应放置在防火墙之后。

  4.无线客户应该通过secure shell,IP-Sec或virtual private network建立与网络的连接。这些方式提供了用户授权,认证和编码等措施来加固你的网络安全。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章