合理保護(hù)無線訪問點(diǎn)的目的在于,,將無線網(wǎng)絡(luò)與無權(quán)使用服務(wù)的外人隔離開來,。往往說來容易做時(shí)難。就安全而言,,無線網(wǎng)絡(luò)通常比固定有線網(wǎng)絡(luò)更難保護(hù),,這是因?yàn)橛芯網(wǎng)絡(luò)的固定物理訪問點(diǎn)數(shù)量有限,而在天線輻射范圍內(nèi)的任何一點(diǎn)都可以使用無線網(wǎng)絡(luò),。盡管本身存在著困難,,但合理保護(hù)無線網(wǎng)絡(luò)系統(tǒng)是保護(hù)系統(tǒng)避免嚴(yán)重安全問題的關(guān)鍵所在,。為了最大限度地堵住這些安全漏洞,就要確保網(wǎng)絡(luò)人員采取保護(hù)無線網(wǎng)絡(luò)的六項(xiàng)措施,。
規(guī)劃天線的放置
要部署封閉的無線訪問點(diǎn),,第一步就是合理放置訪問點(diǎn)的天線,以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離,。別將天線放在窗戶附近,,因?yàn)椴Ao法阻擋信號(hào)。你最好將天線放在需要覆蓋的區(qū)域的中心,,盡量減少信號(hào)泄露到墻外,。當(dāng)然,完全控制信號(hào)泄露幾乎是不可能的,,所以還需要采取其它措施,。
使用WEP
無線加密協(xié)議(WEP)是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。盡管存在重大缺陷,,但WEP仍有助于阻撓偶爾闖入的黑客,。許多無線訪問點(diǎn)廠商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能,。但一旦采用這做法,,黑客就能立即訪問無線網(wǎng)絡(luò)上的流量,因?yàn)槔脽o線嗅探器就可以直接讀取數(shù)據(jù),。
變更SSID及禁止SSID廣播
服務(wù)集標(biāo)識(shí)符(SSID)是無線訪問點(diǎn)使用的識(shí)別字符串,,客戶端利用它就能建立連接。該標(biāo)識(shí)符由設(shè)備制造商設(shè)定,,每種標(biāo)識(shí)符使用默認(rèn)短語,,如101就是3Com設(shè)備的標(biāo)識(shí)符。倘若黑客知道了這種口令短語,,即使未經(jīng)授權(quán),,也很容易使用你的無線服務(wù)。對(duì)于部署的每個(gè)無線訪問點(diǎn)而言,,你要選擇獨(dú)一無二并且很難猜中的SSID,。如果可能的話,禁止通過天線向外廣播該標(biāo)識(shí)符,。這樣網(wǎng)絡(luò)仍可使用,,但不會(huì)出現(xiàn)在可用網(wǎng)絡(luò)列表上。
禁用DHCP
對(duì)無線網(wǎng)絡(luò)而言,,這很有意義,。如果采取這項(xiàng)措施,黑客不得不破譯你的IP地址,、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù),。無論黑客怎樣利用你的訪問點(diǎn),,他仍需要弄清楚IP地址。
禁用或改動(dòng)SNMP設(shè)置
如果你的訪問點(diǎn)支持SNMP,,要么禁用,,要么改變公開及專用的共用字符串。如果不采取這項(xiàng)措施,,黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息,。
使用訪問列表
為了進(jìn)一步保護(hù)無線網(wǎng)絡(luò),請(qǐng)使用訪問列表,,如果可能的話,。不是所有的無線訪問點(diǎn)都支持這項(xiàng)特性,但如果你的網(wǎng)絡(luò)支持,,你就可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn),。支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議(TFTP),定期下載更新的列表,,以避免管理員必須在每臺(tái)設(shè)備上使這些列表保持同步的棘手問題,。
|