現(xiàn)在的無線網(wǎng)絡協(xié)議、功能和安全工具已經(jīng)能夠提供更好的安全保護。為了防止黑客入侵無線局域網(wǎng),首先必須加強用戶認證,控制進入網(wǎng)絡的資格;其次是注重保護以無線方式發(fā)送的信息,對數(shù)據(jù)進行加密傳輸。具體建議如下。
1.正確放置網(wǎng)絡接入點設備的位置
在網(wǎng)絡配置中,要確保無線接入點放置在防火墻保護范圍之外。
2.使用MAC地址阻止黑客入侵
利用基于MAC地址的訪問控制表ACL,只允許經(jīng)過注冊的設備進入網(wǎng)絡。MAC地址過濾就如同給系統(tǒng)的前門再加一把鎖。設置的障礙越多,黑客入侵的難度就越大。
3.加強對無線網(wǎng)絡ID的管理
所有無線局域網(wǎng)都有一個默認的服務標識符SSID或網(wǎng)絡名。將其更改為用文字和數(shù)字符號表示。如果企業(yè)具有網(wǎng)絡管理能力,應該定期更改SSID。不要到處使用SSID,取消SSID自動播放功能。
4.正確認識和使用WEP協(xié)議
WEP是802.11b無線局域網(wǎng)的標準網(wǎng)絡安全協(xié)議。在傳輸信息時,WEP可以通過對無線傳輸?shù)臄?shù)據(jù)進行加密,提供類似有線傳輸?shù)臄?shù)據(jù)保護。在安裝和啟動WEP之后,應立即更改其密鑰的默認值。理想的方式是WEP的密鑰能夠在用戶登錄后進行動態(tài)改變,這樣,黑客企圖截獲無線網(wǎng)絡的數(shù)據(jù),就需要不斷跟蹤這種變化。同時應該看到,WEP協(xié)議的功能雖然很強,也不是萬能的。不能將無線數(shù)據(jù)傳輸?shù)募用鼙U先恳蕾囉赪EP協(xié)議。 WEP只是多層網(wǎng)絡安全措施中的一層。
5.使用虛擬專用網(wǎng)(VPN)技術加強無線網(wǎng)絡安全
除了使用無線網(wǎng)絡自身提供的技術保護通信安全外,使用虛擬局域網(wǎng)VPN技術是進一步加強無線網(wǎng)絡安全的關鍵。VPN具有比WEP協(xié)議更高層的網(wǎng)絡安全性,能夠支持用戶和網(wǎng)絡之間端到端的安全隧道連接。
6.集成無線網(wǎng)絡和有線網(wǎng)絡的用戶管理策略
無線網(wǎng)絡的安全需要依靠不同的協(xié)議和軟件實現(xiàn),它不應該是單獨的體系結構。將有線網(wǎng)絡和無線網(wǎng)絡的安全策略相互結合,可以減少管理的復雜性,提高管理水平,降低管理成本。因此,不論用戶是通過有線方式還是無線方式進入網(wǎng)絡,最好采用集成化的單一用戶標識和密碼。例如,一些機構已經(jīng)通過遠程用戶拔號認證服務RADIUS實現(xiàn)了網(wǎng)絡登錄認證。建議這些機構的網(wǎng)絡管理員將無線局域網(wǎng)集成到已經(jīng)存在的RADIUS服務體系中強化對用戶的管理。這樣不僅能實現(xiàn)對無線網(wǎng)絡用戶登錄系統(tǒng)的認證,還能夠使無線用戶與遠程用戶使用同樣的認證方法和賬戶。
7.注意WLAN設備之間的區(qū)別
雖然802.11b是一個標準的WLAN協(xié)議,所有獲得Wi-Fi認證標志的設備都可以相互進行基本的通信,但這不等于所有這樣的無線設備都完全對等。Wi-Fi認證僅能夠保證設備間的互操作能力,但許多生產(chǎn)廠家的設備并沒有包括增強的網(wǎng)絡安全功能。
8.構建無線網(wǎng)絡不能依靠非專業(yè)人員
現(xiàn)在無線局域網(wǎng)的構建已經(jīng)相當容易,甚至非專業(yè)人員自己就可以在辦公室安裝無線路由器和無線接入點設備,但是在安裝過程中很少考慮到網(wǎng)絡的安全性,黑客很容易使用網(wǎng)絡探測工具,通過掃描網(wǎng)絡攻入并留下后門。建議無線網(wǎng)絡的構建要有專業(yè)網(wǎng)絡管理員參與,不能依靠非專業(yè)人員進行,這樣才能保證安全。
