/ D3 q. J# L) D7 a1 @6 ]2 R$ P9 O
建立安全的无线网络访问节点(access point )的出发点在于如阿防止信息向非授权外部访问的泄漏。这一原则往往是知宜行难。由于无线网络的安全设置要比一般的线缆网络复杂的多,因为线缆网络的访问节点都是固定的,而在无线网络的信号收发范围内,所有的节点都可以接入。( n/ e. Y/ {" s+ |
无线网络本身的特点所造成的问题是无法避免的,但采取正确的无线网络系统防护手段将保护用户的系统,并避免严重的安全问题。 而如草率配置,该非安全无线网络将导致“服务不可用”或成为攻击其它网络的“跳板”。为了把安全漏洞所造成的风险降至最低,请确保网络技术人员按照以下建议进行配置和测试。* T |1 J; |! K+ @( o, _, g6 ?
" y3 t+ s) x1 p) _
一、规划好天线安装位置0 a+ H9 B: C5 A& j% k
+ E3 ~& v. E, o. l 这是实现“非泄漏”无线访问节点的第一步,通过无线信号的覆盖范围来确定访问节点天线的摆放位置。请注意不要把天线放置在窗户旁边,因为玻璃无法挡住信号的外泄。在理想情况下,信号发射天线最好放置在工作区域的正中间,这样就可以把信号泄漏降至最低程度。当然上述情况不大可能完全做到,但只要尽量保证按上述原则来执行就不会有错。 V/ j3 v% q8 M' e" g: A) N) P
* k2 G W/ v! _9 R! g$ E1 w8 L
二、使用WEP(无线加密协议)
8 E* b2 `3 @% t" f* y/ `1 z
1 Z. B; b% v4 V: v' ] WEP(无线加密协议)是针对无线网络数据传输加密的标准。尽管它仍存在明显的脆弱性,但用来防范普通黑客还是相当有效的。许多无线访问节点产品的厂商都把WEP设置为disable,以方便安装。因此节点天线一旦开始收发信号,黑客就可以通过嗅探器对无线数据明文进行访问。
0 }& S4 U4 W8 S. H5 b( C8 G5 _0 r3 R
三、更改SSID设置并取消广播
6 u& o: [/ n2 \8 n' E$ r0 P+ J" n- z* w/ K& V
服务设置初始化校验器(SSID,service set identifier)用来鉴别无线访问节点所使用的初始化字符串,客户端要通过SSID来完成连接的初始化。该校验器由制造商进行设定,同一厂商产品使用同样的默认值,比如3Com公司的设备使用“101”字符串。如果被黑客了解到相应的初始化字符串,那么就可以轻易建立非授权链接。因此笔者建议,在配置贵单位无线网络时,请更改SSID初始化字符串,使其难于猜测,并在条件许可的情况下,限制校验器的SSID广播,以此来杜绝非法链接。该网络将依然可用,但不会给黑客以可乘之机。* G$ ?3 r6 g: i% D8 Y; W
. T. c# K9 J5 I& ^/ g; i0 S. n8 P6 A
四、取消动态主机配置协议(DHCP)/ m" v: f0 c( s5 J- s" T& S, k; ?
( W, | {8 N: H. r
这一安全策略听起来颇有些奇怪,但对于无线网络的安全来说是非常有效的。采取了这一措施后,黑客将不得不猜错贵单位网络的IP地址、子网掩码以及其它所必须的TCP/IP参数。即使黑客可以访问贵单位的无线网络节点,但如果不知道IP地址等上述内容,仍是不得其门而入。; M5 D$ x4 @6 g6 C
7 r, s" R. B; k; V: F- F
五、取消或更改SNMP设置, _. n9 P- i/ @7 Q! ^
# O& s3 A8 `2 [5 m' i 如果贵单位访问节点支持SNMP,那么或者取消它或者更改Public和Private公用字符串。如果不采取这一步骤,那么黑客将利用SNMP来获取贵单位网络的重要信息。
1 B9 S5 G3 R# `1 m/ F- Z6 v. R% @# N; x5 K7 i' f6 H
六、使用访问列表
5 Z0 _+ B0 l$ D5 `$ I
: B) K$ [- Q' Z5 n 为了更进一步的保护好贵单位无线网络,请设置一个访问列表。并非所有的无线访问节点都支持这一特性,但如果贵单位网管做到这一步,那将实现精确规定可连接入访问节点的机器。支持这一特性的访问节点设备有的使用TFTP协议来周期性的下载更新访问列表,这样网管人员就不需要在每台设备上进行访问列表的同步设定了。 |
狗仔卡
发表于 2009-2-17 13:16:55
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡