保護(hù)無(wú)線網(wǎng)絡(luò)安全首先需要采取與保護(hù)傳統(tǒng)網(wǎng)絡(luò)相同的安全措施,然后才是其他的一些特別措施。在非無(wú)線網(wǎng)絡(luò)領(lǐng)域中需要考慮的問題,在面對(duì)無(wú)線網(wǎng)絡(luò)和設(shè)備時(shí)同樣需要你加以考慮:足夠強(qiáng)度的加密,妥善保存證書,以及保證操作安全。
相對(duì)于有線網(wǎng)絡(luò),無(wú)線網(wǎng)絡(luò)安全并不是另一種網(wǎng)絡(luò)安全,而是更為全面可靠的網(wǎng)絡(luò)安全。
以下給出了在安全方面最為常見的疏忽以及如何避免的方法:
1、不要破壞自己的防火墻
幾乎可以肯定無(wú)論對(duì)于有線還是無(wú)線網(wǎng)絡(luò),你都已經(jīng)安裝了防火墻,這絕對(duì)是正確的。然而,如果你沒有將無(wú)線系統(tǒng)接入點(diǎn)放置在防火墻之外,則防火墻的配置無(wú)濟(jì)于事。應(yīng)當(dāng)確保不會(huì)出現(xiàn)這樣的情況,否則你不僅不能為網(wǎng)絡(luò)創(chuàng)建一道必要的屏障,相反還從已有的防火墻上打開了一條便利的通道。
2、不要小看介質(zhì)訪問控制
介質(zhì)訪問控制(Media Access Control 即MAC)常常被忽略,原因是它并不能防止欺騙行為。但對(duì)于整個(gè)保護(hù)系統(tǒng)的壁壘來(lái)說,它無(wú)疑是一塊重要的磚。從本質(zhì)上它是另一種地址過濾器,并且能夠阻止?jié)撛诘暮诳偷娜肭中袆?dòng)。它所做的是根據(jù)你所確定的基于地址的訪問控制列表來(lái)限制對(duì)特定設(shè)備的網(wǎng)絡(luò)訪問。
MAC同樣提供了針對(duì)潛在入侵者來(lái)調(diào)整訪問控制列表的能力。它的原理和入侵者在被拒之門外之前必須被先敲門一樣。
如果已經(jīng)有了MAC,入侵者一定會(huì)在進(jìn)入系統(tǒng)之前一頭撞在上面,然后只能卷土重來(lái)試圖穿過它,F(xiàn)在你的網(wǎng)絡(luò)就已經(jīng)可以知道入侵者的模樣了。所以你的MAC列表中包括了三類訪問者:首先,存在于訪問者列表中的友好訪問者;其次,沒有在列表中的訪問者以及無(wú)意中進(jìn)入的訪問者;第三,沒有在列表中但是可以確信之前曾經(jīng)不請(qǐng)自來(lái)并試圖闖入的訪問者。如果他們還將試圖闖入,現(xiàn)在就可以立即確定了。
簡(jiǎn)而言之,如果在你檢測(cè)無(wú)線網(wǎng)絡(luò)并且發(fā)現(xiàn)未在MAC列表上的訪問者多次嘗試發(fā)起訪問的時(shí)候,你已經(jīng)受到潛在攻擊者的窺視了,并且他不會(huì)知道你已經(jīng)發(fā)現(xiàn)了他。
3、不要忽略WEP
有線等效加密(Wired Equivalent Privacy,WEP)是一種符合802.11b標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)安全協(xié)議。它在無(wú)線數(shù)據(jù)發(fā)送時(shí)對(duì)數(shù)據(jù)進(jìn)行加密,加密范圍覆蓋了你使用的任何數(shù)據(jù)。一定要使用它。但是必須強(qiáng)調(diào)它是基于密鑰的,因此不要一直使用默認(rèn)密鑰。對(duì)于初次訪問系統(tǒng)的個(gè)人用戶你甚至應(yīng)當(dāng)創(chuàng)建單獨(dú)的WEP密鑰。當(dāng)然也不能認(rèn)為有了WEP就萬(wàn)事大吉。即使是多重加密也不會(huì)保證你萬(wàn)無(wú)一失,因此應(yīng)當(dāng)把WEP與其他無(wú)線安全措施相結(jié)合。
4、禁止未經(jīng)認(rèn)證的訪問接入點(diǎn)
接入點(diǎn)目前已經(jīng)可以很方便的進(jìn)行設(shè)置,對(duì)于一個(gè)任務(wù)繁重的IT部門來(lái)說,或許常常會(huì)只是采取簡(jiǎn)單的訪問規(guī)則并按照按需訪問的策略(as-needed basis)以允許用戶設(shè)置接入點(diǎn)。但請(qǐng)不要被這種便利所誘惑。接入點(diǎn)是入侵者的頭號(hào)目標(biāo)。應(yīng)當(dāng)詳細(xì)研究配置策略和過程,并且嚴(yán)格遵從他們。
這些策略和過程中都應(yīng)當(dāng)包括那些內(nèi)容?首先,你必須仔細(xì)制定出關(guān)于放置接入點(diǎn)的正確指導(dǎo)方針,并且確保任何人在配置AP時(shí)手邊有這樣一份方針。其次,必須有一份安裝說明以指示在無(wú)線網(wǎng)絡(luò)配置中已存在的AP(以便今后進(jìn)行參考),以及正確發(fā)布配置和允許復(fù)查配置的具體過程。并且無(wú)論是誰(shuí)設(shè)置了AP,都應(yīng)當(dāng)立即指定另外一人對(duì)安裝進(jìn)行復(fù)查。很麻煩么?的確如此。但由于AP欺騙或漏網(wǎng)之魚造成的安全事故會(huì)更加讓你頭疼。
5、拒絕筆記本ad-hoc方式接入
在任何企業(yè)中都應(yīng)當(dāng)采取這一嚴(yán)厲的措施。Ad-hoc模式將允許Wi-Fi用戶直接連接到另一臺(tái)相鄰的筆記本,這將構(gòu)成你完全不能想象的恐怖的網(wǎng)絡(luò)環(huán)境。
作為802.11標(biāo)準(zhǔn)的一部分,Ad hoc模式允許你的筆記本網(wǎng)絡(luò)接口卡運(yùn)行在獨(dú)立基礎(chǔ)服務(wù)集(Independent Basic Service Set,IBSS)模式。這就意味著它可以通過RF與另一臺(tái)筆記本進(jìn)行P2P的連接。當(dāng)你用Ad-hoc模式時(shí),自然會(huì)想通過無(wú)線網(wǎng)絡(luò)連接到其他筆記本。從表面價(jià)值角度看,這將是很吸引人的把戲,因?yàn)闆]有人能將連接拒之門外。但必須意識(shí)到它允許了對(duì)筆記本整個(gè)硬盤的訪問。如果你設(shè)置其為允許狀態(tài),并且忘了這一點(diǎn),那么你的一切都將毫無(wú)保留的放在整個(gè)世界面前。
并且危險(xiǎn)并不僅僅限于你不設(shè)防的機(jī)器。一名入侵者可以將聯(lián)網(wǎng)的筆記本作為入侵網(wǎng)絡(luò)的大門。如果將機(jī)器置于Ad hoc模式并且有人暗中入侵,你所暴露在危險(xiǎn)之中的不僅僅是自己的計(jì)算機(jī),而是整個(gè)網(wǎng)絡(luò)。
必須避免這樣危險(xiǎn)的習(xí)慣,即從首次使用開始就永遠(yuǎn)不要嘗試允許處于Ad hoc模式。接受這種模式所承擔(dān)的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于它所提供的便利。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:維護(hù)無(wú)線網(wǎng)絡(luò)安全 五種必須避免的情況
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112151818.html