WLAN无线网络安全管理三大风险和攻防九式

无线网络并非如此脆弱，部署严格的保护措施并应用最新的加密技术可以充分保护我们的网络免受内部和外部攻击。
在介绍WEP加密破解的文章中，你会发现WEP破解比你想象的要容易得多。任何人都可以使用这些工具来解密这种加密方法，他们只需观察网络上足够多的流量就可以计算出加密密钥。然而，无线网络并非如此脆弱。部署严格的保护措施和应用最新的加密技术可以充分保护我们的网络免受内部和外部的攻击。本文是关于如何保护无线网络的基本介绍。
对于一些人来说，他们可能认为无线网络的安全问题非常复杂。建立安全的无线网络可能需要非常专业的基础知识和复杂的设置。还有人可能会说:“我就是用电脑上网，其他重要的事情都没做。我为什么要为安全问题费心？”所以他们会在安全上放弃计划，导致自己的网络“大开”。对于这个问题的答案，看完下面的内容你可能就没有这样的想法了。
一、无安全措施的WLAN面临的三大风险:
一、网络资源暴露
一旦一些别有用心的人通过无线网络连接到你的WLAN，他们就会像直接连接到你的局域网交换机的人一样，拥有一定的全网访问权限。在这种情况下，除非你事先采取了一些措施来限制未知用户访问网络中的资源和共享文档，否则入侵者可以做任何授权用户可以做的事情。在您的网络上，文件、目录或整个硬盘驱动器都可能被复制或删除，更糟糕的是，那些恶意程序(如键盘记录程序、特洛伊木马、间谍软件或其他程序)可能被安装到您的系统中，并被网络入侵者操纵。后果可想而知。
2。敏感信息被泄露
只要使用合适的工具，就可以实时重构网页，从而抓取你访问过的网站的URL。您刚才在这些页面中输入的一些重要密码将被入侵者窃取和记录。如果是那些信用卡密码之类的，呵呵，想想后果就知道是怎么回事了。
3。充当他人的跳板
在国外，如果一个开放的WLAN被入侵者用来传输盗版电影或音乐，你很可能会收到一封来自RIAA的律师函。更极端的事实是，如果你的互联网连接被他人用来从FTP站点下载儿童色情或其他不适当的内容，或者充当服务器，你可能会面临更严重的问题。此外，开放的WLAN还可能被用来发送垃圾邮件、DoS攻击或传播病毒等。
二。保护我们的WLAN
在了解了一个无保护的WLAN所面临的问题之后，我们应该在问题发生之前采取一些相应的措施，不要等到严重的后果发生之后，才意识到维护一个安全的网络有多么重要。下面的内容就是介绍针对不同级别入侵的各种对策。
1。拥有无线网卡的普通用户
攻击一个没有保护的无线WLAN不需要采取任何特别的措施，只要任何一台装有无线网卡的机器都可以。任何能打开电脑无线网卡的人都是潜在的入侵者。在许多情况下，人们无意中打开了装有无线设备的计算机，而他们恰好在您的WLAN覆盖范围内，因此他们的计算机要么自动连接到您的AP，要么在“可用”AP列表中看到它。一不小心，它们就会闯入你毫无防备的“领地”。事实上，在通常的统计中，有相当一部分的未授权连接来自于这种情况。并不是别人想故意入侵你的网络，有时候只是在好奇心的驱使下，无意中做出的行为。
以下对策可以保护您的网络免受不经意的访问，但这些都是相当基础的内容，它们不能提供针对更有技巧的入侵者的实时保护。虽然这些内容都很“新手”，大部分都那么简单，但是如果你的无线设备能够支持，我还是建议你做好相关设置。
对策一:更改默认设置
最起码要更改默认的管理员密码，如果设备支持，还要更改管理员的用户名。对于大多数无线网络设备，管理员的密码可能是通用的。所以，如果你不更改这个密码，别人就可以很容易地用默认的用户名和密码登录你的无线网络设备，获得整个网络的管理权限。最后，您可能会发现无法登录您的无线局域网。当然，您可以通过恢复出厂设置来重新获得控制权。
更改您的AP或无线路由器的默认SSID。当您的操作环境附近有其他相邻AP时，更改默认SSID尤其必要。当同一地区有多个同一厂商的AP时，它们可能具有相同的SSID，这样客户端将有相当大的机会连接到不属于它们的AP。尤其不要在SSID中使用个人敏感信息。
更改默认的信道数量可以帮助您避免与邻近的无线局域网发生冲突，但是作为一种安全预防措施，它几乎没有什么作用，因为无线客户端通常会自动扫描所有可用的信道以寻找可能的连接。
对策二:更新AP的固件
有时候，刷新最新版本的固件可以提高AP的安全性。新版固件往往会修复已知的安全漏洞，在功能方面可能会增加一些新的安全措施。随着更新的消费AP的出现，只需简单点击几下，就可以检查和升级新版本的固件。与以前的AP相比，旧产品需要用户从厂商的技术支持网站手动查找、下载和更新固件的最终版本，界面不友好。
很多用了几年的AP都过了保修期，也就是说很难找到新版本的固件了。如果你发现上一个版本的固件不支持安全性能提升的WPA(保护无线电脑网络安全系统)，而更好的版本是WPA2，请认真考虑是否更换你的设备。
其实现在的802.11g设备至少应该支持WPA，技术上有能力更新到WPA2，但是厂商并不总是承诺支持自己的老产品，所以如果你想查看AP是否能支持WPA2，你应该去Wi-Fi联盟的认证数据库里查一下(链接是:http://Wi-Fi . org/open section/certified _ products . ASP？TID=2)，或者在谷歌上搜索。
对策三:屏蔽SSID广播
很多AP都允许用户屏蔽SSID广播，这样可以防止netstumbler扫描，但是也会禁止Windows XP的用户使用其内置的无线零配置应用程序和其他客户端应用程序。在下图1中，如果选择了“Hide ESSID ”,则在ParkerVision的AP上SSID广播会被阻止。(其实SSID和ESSID指的是同一个东西)。
注意:在无线网络中屏蔽SSID广播并不能阻止攻击者使用Kismet或其他无线检测工具(如AirMagnet)。这些工具不依赖SSID来检测现有网络。
对策四:关机或无线传输
关闭无线AP，这可能是普通用户保护自己无线网络所采取的最简单的方法。在整个晚上不用工作的时候，一个简单的定时器可以用来关闭我们的AP。但是，如果你有无线路由器，互联网连接会被切断，这是一个很好的方法。
当你不能或者不想周期性的关闭你的互联网连接时，你就不得不手动禁止你的无线路由器的无线传输(当然你的无线路由器要支持这个功能)。
对策五:MAC地址过滤
MAC地址过滤是通过事先在AP中写入合法MAC地址的列表。只有当客户端的MAC地址与合法MAC地址列表中的地址匹配时，AP才允许客户端与之通信，从而实现物理地址过滤。这样可以防止一些没有经验的入侵者连接到我们的WLAN，但是对于老练的攻击者来说，很容易从公开的无线电波中截取数据帧，分析出合法用户的MAC地址，然后通过自己电脑的MAC地址伪装成合法用户非法访问你的WLAN。
对策六:降低发射功率
虽然只有少数AP有此功能，但降低发射功率还是可以帮助限制有意或无意的非授权连接。但是现在无线网卡的灵敏度在不断提高，甚至这样的网卡任何初级用户都可以购买，尤其是如果你试图阻止某栋楼或者宿舍的一些不必要的连接，可能没有太大的价值。
接下来，我们将进一步介绍中级和高级无线用户可以采用的无线安全技术，以及我们应该如何防范专业的破解工具。2.能熟练使用工具和软件的中级用户
以上措施只能对那些菜鸟有效。现在，让我们提高我们的预防技能，以防止那些更熟练的运营商，他们经常积极地到处搜索无线网络。在这些人当中，有一部分人并无恶意，他们只是喜欢看看周围有多少无线网络可以被检测到，他们从来没有尝试过利用检测到的网络弱点；但是其他的不是这样的。他们一开始就想连接你的无线网络，还有一些别的不良企图。
在这一段中，我首先假设前面介绍中建议的所有预防措施都没有使用，那些可能的潜在入侵者可以找到您的无线网络。在这方面，有效的预防措施是使用加密和认证。下面介绍两个方面，特别侧重于加密。
对策7:加密
WLAN管理员应该在网络上运行可用的加密技术。现在有三种成熟可用的技术:WEP、WPA和WPA2。
在三种加密技术中，WEP(无线等效保密)是加密能力最弱的无线安全技术。但目前它的应用最为广泛，这应该归功于它在几乎所有802.11无线产品中的实用性。对于802.11b的产品，由于很多消费无线网络产品的厂商已经不再提供从WEP到WPA的更新，所以你别无选择，只能使用它。其他仍在生产的新产品，如VoIP无线电话，只支持WEP，迫使一些WLAN用户降低安全要求，以适应最低的公共安全级别。
其他WPA(保护无线电脑网络安全系统)或WPA2可以提供足够的无线安全性，因为它们使用更强的加密技术和改进的密钥管理技术。两者的主要区别在于，WPA2支持更强的AES(高级加密标准)加密，但更让用户困惑的是，相比标准的WPA TKIP加密技术，有很多产品允许选择AES加密，但标记为WPA。
大部分802.11g产品支持WPA，但是老产品升级到WPA2还有一个过程。甚至基于WPA2的802.11i标准也在2004年6月获得批准。
我推荐使用WPA，因为它和WPA2一样有效，而且支持面更广，至少我是这么认为的。但是，如果你想使用WPA，你可能需要购买一些新设备，尤其是在使用802.11b的WLAN中。但是，标准的802.11g设备并不是很贵，你可以获得安全的投资回报。
很多消费级AP只支持“个人”版本，也称为WPA-PSK(预共享密钥)，如下图4所示。还有一些消费级无线产品支持WPA2或WPA“企业级”(俗称WPA“RADIUS”)，但如果没有必要的额外RADIUS服务支持，这个功能用处不大。
对于很多个人WLAN来说，使用WPA-PSK可以提供足够的安全保护，但是使用的密码必须足够长，并且没有特定的含义。不要使用字典中的数字或单词，因为像cowpatty这样的程序已经可以完成对WPA-PSK的基于字典的攻击。许多安全专家建议使用128位PSK。现在很多WPA设备都支持字母数字PSK，也就是只需要16个字符就可以满足专家的要求。
网上有很多密码生成器，我们可以通过Google快速搜索。例如，在http://www.elfqrin.com/pwgen.html,的这个页面中，有小写字母、大写字母、数字、空和定制的组合来生成密码，甚至可以估计破解生成的密码需要多长时间。
在这一点的最后，我想提一下，现在已经有厂商开始销售这类产品了，他们承诺无线连接的安全性和保密性可以通过“一键设置”轻松完成。Buffalo Technology基于他们的AOSS (AirStation一触式安全站)技术生产了第一个产品；Linksys最近开始销售基于类似技术的产品，但这项技术是从Broadcom的SecureEasySetup获得许可的。
3。面对拥有WEP/WPS-PSK破解技术的人
虽然WPA和WPA2已经解决了很多WEP带来的问题，但是依然不堪一击，尤其是对于PSK来说。很多人都能破解WEP密钥。WPA和WPA2“个人”的预共享密钥很难破解，时间成本相当长，尤其是使用AES加密的话。即便如此，可能还是破解了。
对策八:增加认证
面对各种新兴的网络攻击，管理员应该在网络中使用认证。身份验证要求客户端计算机在网络中“注册”,从而增加了另一层安全性。一般来说，这个“注册”过程由认证服务器处理的证书、令牌和手动输入的密码(也称为预共享密钥)组成。802.1x通过WEP、WPA和WPA2提供访问控制框架，支持多种类型的EAP(可扩展认证协议)进行真正的认证。George Ou关于认证协议的文章包含了大量关于EPA、WPA和WPA2的内容。
对于专业网络人员来说，配置认证是一项繁琐耗时的工作，更不用说家庭网络用户了。例如，在今年旧金山的RSA会议上，与会者不必担心设置他们的无线连接，因为整页的说明都要求他们遵守规定。好在现在这种现象有所改善，有很多更容易实现的产品可以选择。LucidLink在2005年底提供了一款名为“免费全功能版”的产品，支持不超过三个用户的无线安全和认证设置。无线安全公司的WSC卫士(最近被迈克菲收购)也是类似的产品。这是一个需要预订的产品。如果大量购买，每个用户每月的费用从4.95美元开始。30天试用版可以从http://www . wirelesssecuritycorp . com/WSC/public/wirelessguard . do下载
另一个经验比较丰富的网络人员的好选择是TinyApp，它在LinKsys WRT54G和GS无线路由器上增加了支持PEAP认证的小RADIUS服务，注意LinKsys并不正式支持这个固件，所以安装TinyApp时出现的问题应该由你负责。
4。专业的破解老手
到目前为止，我们对无线入侵者采取的封堵措施还是比较严格的。如果是在有线以太网，那就相当于把他们的端口都堵住了。然而，无论你做得多么好，多么严密的防范，总有一些资深黑客可以穿透你无线网络的所有防御措施。那么我们现在该怎么办呢？现在有很多针对有线或无线网络的入侵检测和防护产品可用，但一般都位于企业应用软件中，所以要收费；不过也有一些开源的产品，但是它们的用户界面对于网络初学者来说并不是很友好。Snort是这方面使用最广泛的一个。
面对网络上层出不穷的各种攻击方式和破解技术，管理员和安全人员与之进行着长期的“攻击与反攻击”、“破解与反破解”的斗争。但总的来说，以下方法可以算是网络安全建设的基础技术。
对策九:实现共同的网络安全
我们可以使用以下几种常见的方法来提高WLAN的安全性。
A、使用认证访问任何网络资源
任何服务、网络共享、路由器等。，在访问时，应该要求用户级身份验证。虽然没有一些认证服务器可能无法真正完成用户级认证，但如果你在Windows XP环境下，至少可以用密码保护所有共享文件夹，禁止Guest登录，不要把整个硬盘
B、对网络进行分段
在防止基于网络的入侵方面，极端的办法就是不要把电脑连上网络。还有一种方法是将网络用户与不适合他们的地方隔离开来。虽然这仍然允许从互联网访问，但基于NAT的路由器可用于建立具有防火墙功能的局域网段。
具有VLAN功能的交换机和路由器也可以用来分隔局域网用户。许多“智能”或可管理的交换机具有VLAN功能，但非管理交换机和消费级路由器通常很难具有这种功能。
C .增加基于软件的防护
最起码，你要安装一个好的杀毒软件，并设置它自动更新自己的病毒库。个人防火墙软件，如ZoneAlarm和BlackICE可以提醒您来自网络的可疑连接。不幸的是，最近间谍软件带来的威胁不容忽视，所以有必要在你的电脑中安装一个反间谍软件。Webroot软件的Spy Sweeper最近好像反响不错，Sunbelt软件的CounterSpy也是不错的产品。注意局域网内的每台机器都必须安装防护软件，这样才能对整个网络形成有效的防护。
D .加密文件
使用强大的加密方法加密您的文件，可以有效地保护它们，防止未经授权的用户访问它们。Windows加密文件系统(EFS)可供XP用户使用，而FileVault可供Mac OS X Tiger用户使用。但是，加密和解密过程需要一些时间和计算机的处理能力，这可能会减慢您的一些操作。
无线网络给我们提供了便利，但我们必须采取一些措施来确保其安全性。没有单一的措施可以保护您免受攻击。况且面对一些“顽固”的入侵者，完美的防护是很难做到的。