8 偷窃用户设备
只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗,他丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID 及密钥。而对于别有用心的攻击者而言,这些往往比电脑本身更有价值。
二、无线安全对策 1 分析威胁
分析威胁是保护网络的第一步。应当确定潜在人侵者,并纳人规划网络的计划。
2 设计和部署安全网络
改变缺省设置。把基站看作RAS(Remote Access Server,远程访问服务器)。指定专用于WLAN的IP协议。在AP上使用速度最快的、能够支持的安全功能。考虑天线对授权用户和入侵者的影响。在网络上,针对全部用户使用一致的授权规则。在不会被轻易损坏的位置部署硬件。
3 实现WEP
WEP单独使用,并不能提供足够的 WLAN安全性。但通过在每帧中混入一个校验和的做法。WEP能够防止一些初步的攻击手段,即向流中插入已知文本来破解密钥流。必须在每个客户端和每个 AP上实现WEP才能起作用。不必一定使用预先定义的WEP密钥,可以由用户来定义密钥,而且能够经常修改。要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
4 过滤MAC
把MAC过滤器作为第一层保护措施。应该记录WLAN上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络。使用日志记录产生的错误,并定期检查, 断是否某些人企图突破安全措施。
5 过滤协议
过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(Simple Network Management Pintocol,简单网络管理协议)访问无线设备来修改配置的WLAN用户,还可以防止使用较大的ICMP(Intemet Control Message Protocol,网际控制报文协议)包和其他会用作DoS的协议。过滤全部适当的协议和地址。维持对穿越自己网络的数据的控制。
6 使用封闭系统和网络
尽管可以很轻易地捕获RF(Radio Frequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给WLAN用户。
7 分配IP .
判断使用哪一个分配IP的方法最适合自己的机构:静态还是动态指定地址。静态地址可以避免黑客自动获得IP地址,而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。静态IP范围使黑客不得不猜测WLAN中的子网。
8 使用VPN
在合适的位置使用VPN(Virtual Private Network,虚拟专用网)服务。这是唯一一个最安全的远程访问 方法。一些AP(例如Colubris和Nokia)为了执行的方便。已经内置了VPN.
上一页 1 2 34 下一页 