无线网络的安全
由于无线网络使得雇员们在任何地点都能方便连入WLAN,因此无线网络在公司之间已经变得十分流行。但就像其它新技术一样无线网络在安全方面的考虑是不够周到的。这节将描述一些最普通的改进无线网络安全的方法。
#MAC地址过滤
这种方法将那些允许连入access point顾客的无线网卡的MAC地址列成一张表。如果存有多台access point,则在所有的这些access point上列表都有效。管理人们应该时刻注意列表是否被更改。尽管这种方法不是很牢靠(上面曾有谈到),但在过去它是种广泛使用的无线网络保安方法。
#WEP
正如上面曾说的,WEP为顾客和access point之间的通讯提供数据编码的保护水平。值得一提的是WEP应该被开启,因为没有必要为攻击行为大开方便之门。需再次提醒的是:WEP不是万能的,甚至在有些类型的攻击下它很脆弱。
#SSID(Network ID)
为加强无线网络的安全,第一次的尝试是使用网络标识符(SSID)。当一位无线顾客想要与access point联系时,SSID在这期间将被传播。SSID是被固定编入access point和客户端设备的一个7位字符。通过使用SSID,仅有那些持有正确网络标识符的顾客才被允许与access point连接。在WEP启用后,SSID在传播中被从新编码,但如果攻击者拥有与设备的物理连接,他/她将能获取以明文保存的SSID。
一旦SSID被某攻击者俘获,无线网络管理员人必须手工分配一个新的SSID。
#防火墙
使用防火墙来阻止对无线网络的非法存取可能是唯一的可靠手段。正如下面所提及的,对网络的存取需依靠IPSec,secure shell或VPN。这样,防火墙应该被配置成只允许指定的IPSec或secure shell通信。下面将解释从有线访问无线网络:
1.无线顾客端认证并与无线access point关联。为保证更好的安全,access point应被配置成可过滤MAC地址。
2.access point送一个请求给DHCP服务器。然后服务器为顾客分配网络地址。
3.一旦网络地址被分配,无线顾客便已进入无线网络。为能存取有线网络,它可建立一条IPSec VPN通道或使用secure shell.
为防火墙进行安全配置十分重要,只有这样所有的非法联接才会被拒绝。
#网络桥接器[Access Points]
Access Points应该被配置成能过滤MAC地址,尽管MAC地址能被欺骗(看上面)。如果允许与它非法物理连接,管理员们应确保AP被安置于一个安全的地方。
我们知道通过telnet或浏览器或简单网管协议可配置AP。但这里推荐只通过telnet并禁止其他所有别的途径。
#设计考虑[Design Considerations]
在实施任何加强无线网络安全的措施前,适当地计划十分重要。适当计划能排除与无线网络被联系后可能存在的一些风险。
一些计划的要点:
1.用VPN或访问控制列表保护你的无线网络。
2.即使WEP被启用access point也不应该与内部的有线网络相连。
3.无论怎样access point都不应放置在防火墙之后。
4.无线客户应该通过secure shell,IP-Sec或virtual private network建立与网络的连接。这些方式提供了用户授权,认证和编码等措施来加固你的网络安全。