无线安全与黑客(3)

　　无线网络的安全

　　由于无线网络使得雇员们在任何地点都能方便连入WLAN,因此无线网络在公司之间已经变得十分流行。但就像其它新技术一样无线网络在安全方面的考虑是不够周到的。这节将描述一些最普通的改进无线网络安全的方法。

　　#MAC地址过滤

　　这种方法将那些允许连入access point顾客的无线网卡的MAC地址列成一张表。如果存有多台access point，则在所有的这些access point上列表都有效。管理人们应该时刻注意列表是否被更改。尽管这种方法不是很牢靠(上面曾有谈到)，但在过去它是种广泛使用的无线网络保安方法。

　　#WEP

　　正如上面曾说的，WEP为顾客和access point之间的通讯提供数据编码的保护水平。值得一提的是WEP应该被开启，因为没有必要为攻击行为大开方便之门。需再次提醒的是:WEP不是万能的，甚至在有些类型的攻击下它很脆弱。

　　#SSID(Network ID)

　　为加强无线网络的安全，第一次的尝试是使用网络标识符(SSID)。当一位无线顾客想要与access point联系时，SSID在这期间将被传播。SSID是被固定编入access point和客户端设备的一个7位字符。通过使用SSID,仅有那些持有正确网络标识符的顾客才被允许与access point连接。在WEP启用后，SSID在传播中被从新编码,但如果攻击者拥有与设备的物理连接，他/她将能获取以明文保存的SSID。

　　一旦SSID被某攻击者俘获，无线网络管理员人必须手工分配一个新的SSID。

　　#防火墙

　　使用防火墙来阻止对无线网络的非法存取可能是唯一的可靠手段。正如下面所提及的，对网络的存取需依靠IPSec，secure shell或VPN。这样，防火墙应该被配置成只允许指定的IPSec或secure shell通信。下面将解释从有线访问无线网络:

　　1.无线顾客端认证并与无线access point关联。为保证更好的安全,access point应被配置成可过滤MAC地址。

　　2.access point送一个请求给DHCP服务器。然后服务器为顾客分配网络地址。

　　3.一旦网络地址被分配，无线顾客便已进入无线网络。为能存取有线网络，它可建立一条IPSec VPN通道或使用secure shell.

　　为防火墙进行安全配置十分重要，只有这样所有的非法联接才会被拒绝。

　　#网络桥接器[Access Points]

　　Access Points应该被配置成能过滤MAC地址,尽管MAC地址能被欺骗(看上面)。如果允许与它非法物理连接，管理员们应确保AP被安置于一个安全的地方。

　　我们知道通过telnet或浏览器或简单网管协议可配置AP。但这里推荐只通过telnet并禁止其他所有别的途径。

　　#设计考虑[Design Considerations]

　　在实施任何加强无线网络安全的措施前，适当地计划十分重要。适当计划能排除与无线网络被联系后可能存在的一些风险。

　　一些计划的要点：

　　1.用VPN或访问控制列表保护你的无线网络。

　　2.即使WEP被启用access point也不应该与内部的有线网络相连。

　　3.无论怎样access point都不应放置在防火墙之后。

　　4.无线客户应该通过secure shell,IP-Sec或virtual private network建立与网络的连接。这些方式提供了用户授权，认证和编码等措施来加固你的网络安全。