無線局域網(wǎng)很方便,但同時也存在一些安全隱患,某公司開通了無線局域網(wǎng),將AP架設在公司會議室,但是最近發(fā)現(xiàn)經(jīng)常有不明身份的電腦訪問公司局域網(wǎng),怎樣才能禁止非授權人員聯(lián)入公司無線局域網(wǎng)呢?其實,這是因為公司的AP沒有進行安全設置造成的。下面我們就給大家講解一些無線局域網(wǎng)的安全設置。
1、采用無線加密協(xié)議防止未授權用戶
保護無線網(wǎng)絡安全的最基本手段是加密,通過簡單的設置AP和無線網(wǎng)卡等設備,就可以啟用WEP加密。無線加密協(xié)議(WEP)是對無線網(wǎng)絡上的流量進行加密的一種標準方法。許多無線設備商為了方便安裝產(chǎn)品,交付設備時關閉了WEP功能。但一旦采用這種做法,黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網(wǎng)絡的服務者身份(SSID),在部署無線網(wǎng)絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網(wǎng)絡被發(fā)現(xiàn)的可能。
2、靜態(tài)IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態(tài)IP地址分配,這對無線網(wǎng)絡來說是有安全隱患的,“不法”分子只要找到了無線網(wǎng)絡,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網(wǎng)絡中。因此,建議關閉DHCP服務,為家里的每臺電腦分配固定的靜態(tài)IP地址,然后再把這個IP地址與該電腦網(wǎng)卡的MAC地址進行綁定,設置方法如下:
首先,在無線路由器或AP的設置中關閉“DHCP服務器”。然后激活“固定DHCP”功能,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計算機描述”),以后要固定使用的IP地址,其網(wǎng)卡的MAC地址都如實填寫好,最后點“執(zhí)行”就可以了。
3、采用身份驗證和授權
當攻擊者了解網(wǎng)絡的SSID、網(wǎng)絡的MAC地址或甚至WEP密鑰等信息時,他們可以嘗試建立與AP關聯(lián)。目前,有3種方法在用戶建立與無線網(wǎng)絡的關聯(lián)前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于,如果您沒有其他的保護或身份驗證機制,那么您的無線網(wǎng)絡將是完全開放的,就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應”身份驗證系統(tǒng)。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發(fā)送申請,然后AP發(fā)回口令。接著,STA利用口令和加密的響應進行回復。這種方法的漏洞在于口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應,那么他們就可能找到用于加密的密鑰。采用其他的身份驗證/授權機制。使用802.1x,VPN或證書對無線網(wǎng)絡用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權限。
各個無線網(wǎng)絡設備生產(chǎn)廠商生產(chǎn)的設備的功能不一樣,所以本文中介紹的一些安全措施也許在不同的設備上會有些不一樣,但是安全措施的思路是正確的,能夠保證無線網(wǎng)絡內(nèi)的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線局域網(wǎng)的安全。
原文鏈接:http://wireless.it168.com/a2011/0516/1190/000001190609.shtml