91久久天天躁狠狠躁夜夜,午夜成人在线视频,亚洲欧美日韩另类在线一

淺談無線網(wǎng)絡(luò)安全設(shè)置

a3204 >《無線網(wǎng)絡(luò)》

2011.10.22

關(guān)注

無線網(wǎng)絡(luò)的安全問題已經(jīng)成為不可忽視的主題。即便是家庭網(wǎng)絡(luò)，或者是小型企業(yè)用戶。

個人體會，這些方法可以有助于提高你的無線網(wǎng)絡(luò)的安全性：

1. 關(guān)閉SSID廣播，同時設(shè)置的SSID不要太簡單，尤其避免默認(rèn)名稱

2. 開啟加密的安全認(rèn)證

3. 開啟MAC地址過濾，關(guān)閉DHCP。

其它的設(shè)置如在路由器設(shè)置修改默認(rèn)的管理賬號和密碼，修改默認(rèn)的IP地址段，在本文中不做詳細(xì)介紹。

這里說明一下安全認(rèn)證的方式，有WEP、WPA和WPA2三種可供選擇，這三種是目前比較成熟可用的技術(shù)。

　　　當(dāng)在無線“基本設(shè)置”里面“安全認(rèn)證類型”選擇“自動選擇”、“開放系統(tǒng)”、“共享密鑰”這三項的時，使用的就是WEP加密技術(shù)，“自動選擇”是無線路由器可以和客戶端自動協(xié)商成“開放系統(tǒng)”或者“共享密鑰”。

在這三種加密技術(shù)中，WEP(Wireless Equivalent Privacy)是加密能力最弱的一種無線安全技術(shù)，不過，當(dāng)前它的應(yīng)用是最為廣泛的，這應(yīng)歸功于它實(shí)用于幾乎所有802.11的無線產(chǎn)品。針對802.11b的產(chǎn)品，由于許多消費(fèi)類的無線網(wǎng)絡(luò)產(chǎn)品生產(chǎn)廠商已不提供從WEP升級到WPA的更新了，所以你就別無選擇只能使用它了，并且其他現(xiàn)在還正在生產(chǎn)的新產(chǎn)品如VoIP無線電話等就僅支持WEP，強(qiáng)制一些WLAN用戶降低他們的安全要求以適應(yīng)最低的公共安全等級。

　　其他的WPA(Wi-Fi Protected Access)或WPA2則可提供足夠的無線安全，由于它們使用了更強(qiáng)壯的加密技術(shù)和經(jīng)過改良的密鑰管理技術(shù)。這兩者之間的主要不同之處是WPA2支持更強(qiáng)壯的AES(Advanced Encryption Standard)加密，但更使用用戶糊涂的是，相比較于標(biāo)準(zhǔn)的WPA的TKIP加密技術(shù)，現(xiàn)在有許多允許選擇AES加密的但標(biāo)記為WPA的產(chǎn)品。

　　大部分的802.11g產(chǎn)品都支持WPA，但把老的產(chǎn)品升級為WPA2還有一個過程，甚至基于WPA2的802.11i標(biāo)準(zhǔn)在2004年6月才被批準(zhǔn)。

　　本人推薦使用WPA，因?yàn)樗蚖PA2一樣有效，并且有更廣泛的支持，至少我是這樣認(rèn)為的。然而，要使用WPA的話，可能需要你購買一些新的設(shè)備了，特別是正在使用802.11b的WLAN中，不過標(biāo)準(zhǔn)的802.11g設(shè)備也不是很貴的，并能得到最佳的安全投資回報。

現(xiàn)在有的最新的無線路由器已經(jīng)開始使用WPA2，它把加密密鑰從24位升級到48位，復(fù)制一個密鑰已經(jīng)是不可能的事。這個安全模式的Preshared密鑰部分表示你給授權(quán)的用戶設(shè)置一個密碼，他們輸入密碼后，他們的設(shè)備處理其他的安全操作。筆者個人建議，密碼可以用與你自己有關(guān)的短語，并且最好在這個短語中有空格和標(biāo)點(diǎn)符號，密碼長度越長，別人猜的可能性越小。
AES加密算法是筆者個人的推薦，因?yàn)锳ES使用128位、192位和256位密鑰，可以獲得最好的安全性。有的無線路由器允許你選擇密鑰的長度，這個LinkSys無線路由器沒有，默認(rèn)使用256位標(biāo)準(zhǔn)。TKIP不是一個加密算法，而是一個“密鑰交換”協(xié)議。盡管它也非常安全，但是不如AES強(qiáng)壯，而且會降低連接速度，因?yàn)樗鼤o處理器帶來額外負(fù)擔(dān)。TKIP是一個基于軟件的協(xié)議，而AES是基于硬件的。

　　許多消費(fèi)級的AP僅僅支持“Personal”版本，也叫做WPA-PSK(Pre-Shared Key)。也有一些消費(fèi)級的無線產(chǎn)品支持WPA2或WPA“Enterprise”(也就是通常所說的WPA“RADIUS”)，不過如果沒有實(shí)現(xiàn)它所必需的附加RADIUS服務(wù)支持的話，這項功能也沒什么大的用處的。

　　對許多個人的WLAN來說，使用WPA-PSK就可提供足夠的安全保護(hù)了，不過所使用的密碼必需足夠長并且是沒有什么具體含義的，不要使用數(shù)字，或者來自字典中的單詞，因?yàn)槿缤琧owpatty之類的程序已經(jīng)可完成對WPA-PSK的基于字典的攻擊。許多安全方面的專家推薦使用128bit的PSK，現(xiàn)在的許多WPA設(shè)備都支持字母與數(shù)字的PSK，也就是說，只需要16個字符就可達(dá)到專家的要求。

　　在因特網(wǎng)上有許多的密碼產(chǎn)生器，我們可以通過Google來快速搜索到。例如有諸如小寫字母、大寫字母、數(shù)字、空格與定制這些的組合來產(chǎn)生密碼，甚至還可估計出要破解產(chǎn)生的這些密碼大致需要多長的時間。

　　在這點(diǎn)的最后，我想提到的是現(xiàn)在有些生產(chǎn)廠商已開始出售這樣的產(chǎn)品了，他們許諾在無線連接的安全保密方便可輕易地通過“一鍵設(shè)置”來未完成。Buffalo Technology最先生產(chǎn)出來了基于他們的AOSS(AirStation One-Touch Secure Station)技術(shù)的第一款產(chǎn)品;Linksys最近也開始出售基于相似技術(shù)的產(chǎn)品了，不過這種技術(shù)是從Broadcom的SecureEasySetup授權(quán)過來的。

　當(dāng)在無線“基本設(shè)置”里面“安全認(rèn)證類型”選擇“自動選擇”、“開放系統(tǒng)”、“共享密鑰”這三項的時，使用的就是WEP加密技術(shù)，“自動選擇”是無線路由器可以和客戶端自動協(xié)商成“開放系統(tǒng)”或者“共享密鑰”。

現(xiàn)在有的最新的無線路由器已經(jīng)開始使用WPA2，它把加密密鑰從24位升級到48位，復(fù)制一個密鑰已經(jīng)是不可能的事。這個安全模式的Preshared密鑰部分表示你給授權(quán)的用戶設(shè)置一個密碼，他們輸入密碼后，他們的設(shè)備處理其他的安全操作。筆者個人建議，密碼可以用與你自己有關(guān)的短語，并且最好在這個短語中有空格和標(biāo)點(diǎn)符號，密碼長度越長，別人猜的可能性越小。
AES加密算法是筆者個人的推薦，因?yàn)锳ES使用128位、192位和256位密鑰，可以獲得最好的安全性。有的無線路由器允許你選擇密鑰的長度，這個LinkSys無線路由器沒有，默認(rèn)使用256位標(biāo)準(zhǔn)。TKIP不是一個加密算法，而是一個“密鑰交換”協(xié)議。盡管它也非常安全，但是不如AES強(qiáng)壯，而且會降低連接速度，因?yàn)樗鼤o處理器帶來額外負(fù)擔(dān)。TKIP是一個基于軟件的協(xié)議，而AES是基于硬件的。

　　3、面對擁有WEP/WPS-PSK破解技術(shù)的人

　　雖然WPA和WPA2解決了許多由WEP帶來的難題，但它們依舊容易受到攻擊，特別是關(guān)于PSK，許多人已可破解WEP密鑰了。要破解WPA和WPA2“Personal”的pre-shared key是比較困難的，并且在時間上的開銷也是相當(dāng)長在，特別是假如使用了AES加密編碼的話更是困難。雖說如此，但它還是可能被破解。

WLAN安全技術(shù)概述

無線局域網(wǎng)(Wireless Local Area Network，WLAN)具有可移動性、安裝簡單、高靈活性和擴(kuò)展能力，作為對傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在許多特殊環(huán)境中得到了廣泛的應(yīng)用。隨著無線數(shù)據(jù)網(wǎng)絡(luò)解決方案的不斷推出，“不論您在任何時間、任何地點(diǎn)都可以輕松上網(wǎng)”這一目標(biāo)被輕松實(shí)現(xiàn)了。
　　由于無線局域網(wǎng)采用公共的電磁波作為載體，任何人都有條件竊聽或干擾信息，因此對越權(quán)存取和竊聽的行為也更不容易防備。在2001年拉斯維加斯的黑客會議上，安全專家就指出，無線網(wǎng)絡(luò)將成為黑客攻擊的另一塊熱土。一般黑客的工具盒包括一個帶有無線網(wǎng)卡的微機(jī)和一片無線網(wǎng)絡(luò)探測卡軟件，被稱為Netstumbler(下載)。因此，我們在一開始應(yīng)用無線網(wǎng)絡(luò)時，就應(yīng)該充分考慮其安全性。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種:

服務(wù)集標(biāo)識符(SSID)

　　通過對多個無線接入點(diǎn)AP(Access Point)設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個簡單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持"任何(ANY)"SSID方式，只要無線工作站在任何AP范圍內(nèi)，客戶端都會自動連接到AP，這將跳過SSID安全功能。

　　物理地址過濾(MAC)

　　由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個方案要求AP 中的MAC地址列表必需隨時更新，可擴(kuò)展性差;而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作;如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

　　連線對等保密(WEP)

　　在鏈路層采用RC4對稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一個密鑰，一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

　　Wi-Fi保護(hù)接入(WPA)

　　WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計算出通用密鑰。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集，WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個組成部分，是一個完整的安全性方案。

國家標(biāo)準(zhǔn)(WAPI)

　　WAPI(WLAN Authenticationand Privacy Infrastructure)，即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn) GB15629.11中提出的WLAN安全解決方案。同時本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE Registration Authority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動終端(MT)與無線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。與現(xiàn)有計費(fèi)技術(shù)兼容的服務(wù)，可實(shí)現(xiàn)按時計費(fèi)、按流量計費(fèi)、包月等多種計費(fèi)方式。AP設(shè)置好證書后，無須再對后臺的AAA服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展，可滿足家庭、企業(yè)、運(yùn)營商等多種應(yīng)用模式。

　　端口訪問控制技術(shù)(802.1x)

　　該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個邏輯端口，否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計費(fèi)，特別適合于公共無線接入解決方案。

　　無線局域網(wǎng)安全防范措施

　　1.采用端口訪問技術(shù)(802.1x)進(jìn)行控制，防止非授權(quán)的非法接入和訪問。

　　2.采用128位WEP加密技術(shù)，并不使用產(chǎn)商自帶的WEP密鑰。

　　3.對于密度等級高的網(wǎng)絡(luò)采用VPN進(jìn)行連接。

　　4.對AP和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定。

　　5.禁止AP向外廣播其SSID。

　　6.修改缺省的AP密碼，Intel的AP的默認(rèn)密碼是Intel。

　　7.布置AP的時候要在公司辦公區(qū)域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區(qū)域(難度比較大)，同時要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò)。

　　8.禁止員工私自安裝AP，通過便攜機(jī)配置無線網(wǎng)卡和無線掃描軟件可以進(jìn)行掃描。

　　9.如果網(wǎng)卡支持修改屬性需要密碼功能，要開啟該功能，防止網(wǎng)卡屬性被修改。

　　10.配置設(shè)備檢查非法進(jìn)入公司的2.4G電磁波發(fā)生器，防止被干擾和DOS

　　11.制定無線網(wǎng)絡(luò)管理規(guī)定，規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員，禁止設(shè)置P2P的Ad hoc網(wǎng)絡(luò)結(jié)構(gòu)