合理保護無線訪問點的目的在于,將無線網(wǎng)絡與無權(quán)使用服務的外人隔離開來。往往說來容易做時難。就安全而言,無線網(wǎng)絡通常比固定有線網(wǎng)絡更難保護,這是因為有線網(wǎng)絡的固定物理訪問點數(shù)量有限,而在天線輻射范圍內(nèi)的任何一點都可以使用無線網(wǎng)絡。盡管本身存在著困難,但合理保護無線網(wǎng)絡系統(tǒng)是保護系統(tǒng)避免嚴重安全問題的關(guān)鍵所在。為了最大限度地堵住這些安全漏洞,就要確保網(wǎng)絡人員采取保護無線網(wǎng)絡的六項措施。
規(guī)劃天線的放置
要部署封閉的無線訪問點,第一步就是合理放置訪問點的天線,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外。當然,完全控制信號泄露幾乎是不可能的,所以還需要采取其它措施。
使用WEP
無線加密協(xié)議(WEP)是對無線網(wǎng)絡上的流量進行加密的一種標準方法。盡管存在重大缺陷,但WEP仍有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產(chǎn)品,交付設備時關(guān)閉了WEP功能。但一旦采用這做法,黑客就能立即訪問無線網(wǎng)絡上的流量,因為利用無線嗅探器就可以直接讀取數(shù)據(jù)。
變更SSID及禁止SSID廣播
服務集標識符(SSID)是無線訪問點使用的識別字符串,客戶端利用它就能建立連接。該標識符由設備制造商設定,每種標識符使用默認短語,如101就是3Com設備的標識符。倘若黑客知道了這種口令短語,即使未經(jīng)授權(quán),也很容易使用你的無線服務。對于部署的每個無線訪問點而言,你要選擇獨一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標識符。這樣網(wǎng)絡仍可使用,但不會出現(xiàn)在可用網(wǎng)絡列表上。
禁用DHCP
對無線網(wǎng)絡而言,這很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。
禁用或改動SNMP設置
如果你的訪問點支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡的重要信息。
使用訪問列表
為了進一步保護無線網(wǎng)絡,請使用訪問列表,如果可能的話。不是所有的無線訪問點都支持這項特性,但如果你的網(wǎng)絡支持,你就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議(TFTP),定期下載更新的列表,以避免管理員必須在每臺設備上使這些列表保持同步的棘手問題。
|